最近また、メールが届かないというご相談急増!その対策は?
去る2023年10月、突然Googleから発表された「メール送信者のガイドライン」。本誌でも何回か関連コラムを書かせていただきましたが、早いものでその新ルール適用開始から1年ちかくになります。
1年前は「SPF」「DKIM」「DMARC」という言葉すら知らない方も多かったのに、この1年で一気に一般化していったのにはとても感慨深いものがあります。
2024年11月18日、札幌で開催されたJPAAWG(Japan Anti-Abuse Working Group )に、いわゆる”Gmailのルールブック”であるEmil Gustafsson氏が登壇し、Gmail側の思惑などを発表されましたが、そのなかで日本の「メール送信者ガイドライン」対応率についても発表があり、2024年11月時点の日本の導入達成率は先進国のなかで「平均的」な達成率になっていたそうです。
この情報はEメール関係者であればみんな驚いたと思います。なぜならば、1年前(2023年)の日本のDKIM・DMARC導入率は、先進国最下位、全世界的に見てもアフリカなどのインターネット後進国とほぼ同位とまで言われていたからです。それが先進国の平均的な水準まで導入できているなんて、この急な普及拡大には驚くばかりです。
この結果を聞いた感想として、「なんでも右に倣え」「他社がやってるならウチも」の精神が強い日本ならではですねぇ・・・といったらイジワルでしょうか。
ところでSPFやDKIMがメールの真正を証する認証と分かりやすいのに対し、DMARCはいまいち機能がよくわからないし、メリットも明確ではないので「とりあえず設定だけしておいて、後で手をつけよう」と放置されやすい傾向にあるようです。しかし実際には正しく運用することで、自分のドメイン(メールアドレス)に関する多くの有益な情報を無償で得ることができるうえに、インターネット犯罪を未然に防ぐ効果も期待できる、実はすごいポテンシャルを持った機能だったりします。
現在多くの方が ”とりあえず最低限のGmail対策は完了した”として安心されている段階だと思いますので、ここで改めて今後役に立ちそうなEC事業者が知っておくべきDMARCの効能3つについて詳しくご紹介します。
1.メールの送信状況を可視化できる
DMARCレポートには、SPFやDKIMの認証に失敗したメールだけでなく、認証に成功したメールの数もすべて書かれています。つまり、業務メール・カートのトランザクションメール・メルマガなど、皆さんが関わる全経路から送られた自社ドメインのメール通数について全体を把握することができます。
ある会社ではDMARCを導入することによって、担当者A・担当者B・担当者Cが同じ顧客リストに対してそれぞれメルマガ送信しており、一人の顧客に対して1日に複数通のメルマガを送り付けている状態であったことに気づいた例もありました。
またDMARCレポートではどのIPアドレスからメールが送信されたのかも確認できますので、万が一何らかのシステムで不正利用(クレマスアタックなど)が発生した場合、DMARCの結果から、急激に認証失敗数が増えたIPを見つけることで、どのシステムで問題が起きていたのか特定しやすくなるというメリットもあります。
2.SPF、DKIMの認証結果が分かる
DMARCレポートには、SPFとDKIMのそれぞれの認証結果やアライメントがそのまま表示されます。そのため認証失敗が多くなっている場合には、自分のドメインのDNS設定やメールサーバの設定に不備が発生している可能性に気づくことができます。
もちろんそれ以外の原因である可能性もありますが、まず何らかの原因により受信者に届いていないメールが発生していることに気づくことができますので、自発的に調査に取り掛かることができます。
毎日自社のDNSやシステム設定の正常性を確認することは現実的ではありませんので、こういった認証結果から、異常の発生に早く気付くことができるというのはEC事業者には大きなメリットだと思います。
3.なりすましの検出・防御ができる(※重要)
DMARCの効能のうち、本効能が一番EC運営に関わる方には重要だと思うのですが、1.2で記載した各機能は、自社ドメインになりすましたメール(フィッシングなど)が送られていないかの監視にも応用できます。たとえば、自分たちで把握していないIPアドレスから大量にメールが送信されて、かつ、それらのメールが認証に失敗している場合は、不正な攻撃者が自分たちのドメインを勝手に使って攻撃メールを送っている可能性があります。
このような攻撃が起きてることが分かれば、DMARCの設定を強化(DNSに記載したpの値をrejectに変更)するだけで、なりすましメールを受信させなくするといった防御策をとることもできるのです(実際には段階を踏むことが多いですが)。
フィッシングメールの可能性があるメールでは、お客様は安心して開封したり、URLにアクセスしたりできなくなってしまいます。メールマーケティングの視点でもECの視点でも、受信者が安心して開封できるメールだけを送信するためことは重要だと思いますので、この機能はご活用になることをお勧めします。
この3点以外にもDMARCを正しく運用することで得られるメリットは沢山あります。しかしながらGmail対策として軽く設定だけしておしまい!となっているかたがかなり多く、せっかくの機能が活かせていない状態であるのをよくお見掛けします。DMARCは良いことづくめの機能ですから、是非有効に使ってみてください。
