ウェビナー「Google & 米国Yahoo!の迷惑メール対策強化について」に参加しました

西山
2023-12-21
2023-12-21

こんにちは。日々是発見が楽しみな西山です。

12月初頭に、Googleと米国Yahoo!が足並みを揃え、これまでより厳格な「迷惑メール対策の強化実施」を発表したことが話題となっています。

Google:https://blog.google/products/gmail/gmail-security-authentication-spam-protection/
米国Yahoo!:https://blog.postmaster.yahooinc.com/post/730172167494483968/more-secure-less-spam

今ホットなこの話題に関して、12月15日に開催された「Google & 米国Yahoo!の迷惑メール対策強化について」というウェビナーに参加してきました。
有用な情報がいくつもありましたので、本記事でその内容をかみ砕いてご紹介します。

※ウェビナーの内容はGoogle・米国Yahoo!の公式見解ではありません。開催されたJPAAWG (Japan Anti-Abuse Working Group) もGoogle・米国Yahoo!と直接のつながりはないとのことです。

ウェビナーの内容

まず、Googleから発表された迷惑メール対策強化の内容についておさらいしておきます。

  • Googleユーザー宛メール(@gmail.com)について、送信元メールドメインのドメイン認証(SPF、DKIM、DMARC)の設定が必要。※今回、Google Workspace宛は対象外
  • 1日の送信メール数が5000通以上の場合はSPF・DKIM・DMARCいずれも必須、5000通未満の場合はDMARCとSPF・DKIM「いずれか」が必須。
  • マーケティングメールはワンクリックで配信解除できることが必須。
  • GoogleのPostmaster Toolsで報告される迷惑メール率が0.3%を超えないことが必須(0.1%を維持する)。
  • 上記の要件は2024年2月から適用される。

他にもメール転送時のARCヘッダ、TLS接続によるセキュア送信など細かな内容もあります。全文はGoogleが随時更新している「メール送信者のガイドライン」をご覧ください。

以下、ウェビナーでの資料・セッション・質疑応答を内容別にまとめ再構成しました。

「5000通」をカウントする単位・時間は何なのでしょうか?
単位は送信メールの「ヘッダーFrom」で、24時間あたりの送信数をカウントするとのこと。
送信元IPは重視されないと思われる。
ヘッダーFromをサブドメインで分ける(sales.example.com と notify.example.com のように)と、通数も別々にカウントされるのでしょうか?
明言されていないが、別ではなく合計でカウントされると思っておいた方がいい。
「5000通」という具体的な値が発表されていますが、しきい値で受信・拒否が明確に分かれるのでしょうか?
恐らく違う。メール送信量が「たくさん」の例えとして「5000通」という数字を出した程度だろう。
送信通数が4999通で5000通以下だからセーフ、という話ではない。
2024年2月というタイムリミットは変更されないのでしょうか?
今のところそのような発表はない。
現実的には、Googleが情勢を見て判断するだろう。これまでのGoogleのやり方から推測すると、2月1日という「X-Day」でいっせいに切り替わるのではなく、段階的にロールアウトされることも考えられる。
マーケティングメールの配信解除は、本文中に解除リンクを記載すればいいのでしょうか?
本文中の解除リンクではなく、メールに「List-Unsubscribe」ヘッダを記載し、Gmailの画面に「メーリングリストの登録解除」ボタンが表示されていないといけない。またDKIMも必須となる(ヘッダ改ざん防止のため)。

※ Googleの基準とは別に、日本では特定電子メール法に基づき解除リンクが必要です。
マーケティングメールの配信解除をクリックされた時、Fromアドレス単位で解除処理をすればいいですか? そのドメインからのメールを全て停止した方がいいですか?
メールの目的によってFromアドレスを使い分けているなら、ドメインからのメールを全て止めなくてもFromアドレス単位の処理で問題ないだろう。
Postmaster Toolsの迷惑メール率はどの期間で集計されますか? また迷惑メール率は0.3%と0.1%のどちらで管理すればいいですか?
迷惑メール率は日次で計算される。
突発的に迷惑メール率がスパイクしても0.3%を超えないよう、余裕を見て0.1%以下で推移するよう管理するのが望ましい。

ウェビナー参加者の皆様も「5000通」という数字が気になるようで、

  • メールをサブドメインに分割して5000通以下にしたら規制を回避できますか?
  • 2月1日実施と発表されているけど、反対の声も多いんじゃないですか?(撤回されるんでしょそう言ってくださいお願いします

といった質問が多く出ていましたが、パネリストの方々の見解はいずれも「No」でした。厳しいですね。

参加した感想

Googleは何年も前からSPF・DKIM・DMARCによるなりすまし防止を推奨しており、今回満を持してそれを利用した制限に踏み切った。いずれこのようなアクションがあるだろうと予想されていた。

という趣旨の発言がありました。今回求められている対応も「いつかやらねばならなかったこと」なのだと思います。
12月に発表して2月実施というのは性急なスケジュールですが、猶予時間を延ばしてもやらないところはやらないしな……とも思います(Windowsサポート終了とか、ね)。

また、ある参加者の方から面白い質問が出ていました。

SPF・DKIMを整備した上でDMARCレコードで「p=reject」を宣言すれば、自社からのメール到達率を上げられるのでしょうか?
  • p=rejectを宣言するとGmailユーザー宛になりすましメールが届かなくなる ⇒ 迷惑メール報告数が減る ⇒ 自社メールの到達率が上がる

「攻めの対策」とも言える考え方で、パネリストの方々も「興味深い」「効果は期待できるのでは」と仰られていました。

SPF・DKIM・DMARCに対応できていない事業者にとって今回の対策強化は厳しい内容ですが、この機会に頑張って整備しておけば、Googleが今後さらに対策強化(大量送信メールのしきい値を5000通から1000通に変更する、とか)しても慌てずに済む、と前向きにとらえた方がいいように感じました。