2024年2月までに対策すべきGmailの送信者ガイドラインとは。SPFレコードやDKIMについて解説

2023年10月、Googleは「メールの送信者ガイドライン」をアップデートしました。主にメールのなりすましやフィッシング詐欺などの悪意あるメールから、受信者を保護することが目的です。先んじて2022年11月には個人向けのGmailアドレスにメールを送信する場合は、「SPFレコード」または「DKIM」という認証設定が必須になりました。

新しいガイドラインの対象や義務、認証設定として必要なSPFレコード、DKIM、DMARCについて解説します。

◆目次
1. Gmailの送信ガイドラインとは？
2. 個人向けは2023年3月から対策が強化されていた
3. 2024年2月から何が変わるか
4. SPFレコードとは
5. DKIMとは
6. DMARCとは
7. きちんと設定をして「届かない」、「送信されない」、といった事態を防ごう

1. Gmailの送信ガイドラインとは？

Gmailの「メール送信者のガイドライン」は、Gmailアカウントに対して一括送信メールを送信する事業者に向けたルールです。昨今、フィッシング詐欺やなりすましメールなど、悪意ある攻撃者からのメール被害が増加しています。

ガイドラインを遵守することで、送信したメールが迷惑メールに振り分けられたり、ブロックされたりすることを防ぐことができます。

つまり、ガイドラインを守らないとメールを送信したにもかかわらず「届かない」「迷惑メールに振り分けられる」といった事象が発生しうるということです。

2. 個人向けメール配信は2022年11月に対策強化

2022年11月には個人のGmailアカウントに一括メールを配信する場合、後述する「SPFレコード」または「DKIM」の設定が義務付けられました。これによって、ECサイトなどでは自社の会員に販促メールが届かない、注文確認メールが届かないといったトラブルも見受けられました。

今回のガイドラインの改訂では、対象が個人だけでなく企業や学校まで拡張されています。

3. 2024年2月から何が変わるか

新しい「メール送信者のガイドライン」について、対象と義務を解説します。

①1日あたり5,000件以上のメールを送信する送信者が対象

メール送信者のガイドラインの対象となるのは、「Gmailアカウントに1日あたり5,000件以上のメールを送信する送信者」です。ここでいう「Gmailアカウント」は以下の2種です。

　・末尾が @gmail.com または googlemail.com の個人アカウント
　・職場または学校で導入している Google Workspace のアカウント（末尾が @gmail.com でないアカウント）

末尾が@gmail.comではないアカウント＝独自ドメインのアカウントも含まれるため、実質的に個人、そして企業や団体に1日5,000件以上メールを配信する事業者がすべて該当することになります。

②送信メールを認証すること

対象となる事業者は、以下の認証要件を満たす必要があります。

　・ドメインにSPF“および”DKIMを設定する※またはではない
　・送信ドメインに DMARC メール認証を設定する

つまり、SPF・DKIM・DMARCすべての設定を行う必要があります。
それぞれについては後述します。

③未承諾のメールまたは迷惑メールを送信しないこと

メールの送信を許諾しているユーザーのみにメールを配信します。許諾済みユーザーであれば迷惑メールと報告されるリスクが減ります。迷惑メールとして報告される頻度が高くなると、Googleは「ドメインの評価が下がる可能性がある」としています。

なお、ドメインの評価はGoogleの提供する Postmaster Tools というツールでモニタリングできます。

④受信者がメールの配信登録を容易に解除できるようにすること

ガイドラインでは受信者が「ワンクリックで登録解除できるようにすること」とあります。ただし、これはメール配信プラットフォーム等にもよりますので、メール配信プラットフォーム側へ対応状況や方法などを確認することをおススメします。

推奨されるその他の登録解除方法として、以下も提示されています。

　・受信者が、登録しているメーリング リストを自分で確認して、リストごとに登録解除するか、すべてのリストの登録をまとめて解除できるようする
　・何回もメールが返送された受信者を自動的に登録解除する
上記もメール配信プラットフォームの機能等によりますが、基本的に受信者が自らの意思で配信解除できるようになっていれば問題ないかと思います。

出典：メール送信者のガイドライン
https://support.google.com/mail/answer/81126

4. SPFレコードとは

SPFはSender Policy Frameworkの略で、メールの送信元認証の仕組みの1つです。SPFレコードを設定することで、受信者側はなりすましメールなどを防ぐことが可能です。

また送信者側も、IPアドレスやドメインが正規のものであることを証明できるため、迷惑メールに振り分けられたり、ブロックされたりするリスクを減らせます。

SPFレコードについての詳細は以下の記事でも解説していますので、ご参考ください。
SPFレコードとは？ 正しい書き方や確認方法を理解してメール配信に生かそう。

5．DKIMとは

DKIMはDomainKeys Identified Mailの略です。DKIMもSPFレコードと同様、メールの送信元認証の技術の1つです。

DKIMは電子署名という仕組みを用いて、そのメールが「改ざんされていないこと」を証明します。

つまり、SPFレコードとDKIMの両方を設定することで、送信者が正規の送信者であり、メールの内容が改ざんされていない、ということを証明できるのです。

6．DMARCとは

DMARCはDomain-based Message Authentication Reporting and Conformanceの略で、メールの送信元認証を通らなかったメールをどう扱うかのポリシーを、メール送信者側で宣言する仕組みです。

DMARCによって送信者は、受信者の安全を確保しやすくなると同時に、なりすましをしている不正な送信者を特定しやすくなります。

7．きちんと設定をして「届かない」、「送信されない」、といった事態を防ごう

ガイドラインの適用は2024年2月からですが、Googleはそれを待たずに設定することを推奨しています。1日にメールを5,000通以上配信している、あるいは配信する可能性のある企業の方は今一度設定を確認し、SPFレコード、DKIM、そしてDMARCの3つを漏れなく設定することをおススメします。

BrizzyではMarketoをはじめとしたMAの運用代行や導入支援を行っていますので、お困りごとがあった際には、お気軽にご相談ください。