Bleeping Computerは4月1日(米国時間)、「Google now blocks spoofed emails for better phishing protection」において、GoogleがGmailの「メール送信者のガイドライン」を本格的に運用開始したと伝えた。このガイドラインは2023年10月に公表され、2024年2月から試験的に運用が開始されている。2024年4月からガイドラインに準拠しないメールは段階的に拒否されるようになる。
-
Google now blocks spoofed emails for better phishing protection
Gmail送信者のガイドラインの概要
Googleは不正なメールや迷惑メールを防止するため、個人用Gmailアカウントへのメール送信者に「メール送信者のガイドライン」への準拠を求めている。このガイドラインはGoogle Workspaceの送信者には適用されない。
ガイドラインでは1日当たりのメール送信件数が5,000件未満か、それ以上かで条件を分けている。5,000件未満の送信者に適用される条件は次のとおり。
- ドメインにSPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)認証を実装する
- 送信元ドメインおよびIPアドレスにDNSの正引きおよび逆引きレコードが存在する
- メールの送信にTLS(Transport Layer Security)接続を使用する
- 迷惑メールの送信率を0.1%未満に維持する。0.3%を超えてはならない
- RFC 5322 - Internet Message Formatに準拠したメール形式を使用する
- 「From:」ヘッダーのなりすましをしない
- メーリングリストおよび受信ゲートウェイによるメール転送にはARC(Authenticated Received Chain)ヘッダーを追加する。ARCヘッダーの存在により転送メールであることが明示される。メーリングリストの場合は「List-id:」ヘッダーも必要
1日当たりのメール送信件数が5,000件以上の場合、上記の条件に加えて次の条件も満たす必要がある。
- ドメインにDMARC(Domain-based Message Authentication, Reporting, and Conformance)認証を実装する
- ダイレクトメールの場合は送信者の「From:」ヘッダー内のドメインがSPFおよびDKIMのドメインと一致する必要がある
- マーケティング目的のメールおよび配信登録されたメールはワンクリックでの登録解除に対応しなければならない。また、登録解除のリンクをメール本文にわかりやすく表示する必要がある
今後はガイドラインに準拠しないメールの送信を試みると、一時的なエラーを受け取るようになる。Googleはメール送信者に対し、このエラーを監査することでガイドラインに準拠していないメールを特定し、問題を解決するよう促している。
また、Googleは「メール送信者のガイドラインに関するよくある質問 - Google Workspace 管理者 ヘルプ」を公開しており、不明点がある場合はこちらを閲覧して解決することが望まれている。
