メールを受信トレイに届けよう - Gmailガイドラインの話

Transcript

1. メールを受信トレイに届けよう Gmailガイドラインの話 2024/02/10 Mie Word Press Meetup 2024/02/12 伊勢IT交流会

2. もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房

3. かつてはメールを届けるのは難しくなかった 送信者 メールサーバ（ローカルなど） 相手のメールサーバ 受信者

4. そうこうしてると…沢山の業者が沢山のメールを送り付けきた 指先一つで◯万通！ Yeah!!! 広告メール フィッシングメール 迷惑メール

5. なんやかやあって…色々対策が取られてきた なんやかんや 法律・技術的 広告メール フィッシングメール 迷惑メール ちょっとは少なくなった

6. 現在 受信者にとって必要なメールでも 送信者がちゃんとしてないと届かない

7. 現在 受信者にとって必要なメールでも 送信者がちゃんとしてないと届かない←今日の話

8. 2024年2月のGmailガイドライン変更 2024年2月のGmailガイドライン変更 → ちゃんと設定してないとGmailで受け取らないよ https://support.google.com/a/answer/81126?hl=ja

9. 具体的には… ←は一緒。それに加え、 1. SPF、DKIM、DMARC を３つとも対応 2. DMARCアライメントに合格 3. 配信登録の解除を簡単にしろ 5,000

   件/日以上のメールを送信する送信者 送信者全員 1. ドメインに SPF または DKIM メール認証を設定＆合格 2. RFC 5322準拠を厳密に見るよ 3. 迷惑メール率 0.10% 未満に維持、 決して 0.30% 以上にならないように 4. メールの送信に TLS 接続を使用 Gmail アカウントにメールを送信する 2024年4月以降、米Yahooも同様のガイドラインを変更する予定。左はGoogleWorkspaceも影響出てる気がする。

10. 具体的には…今日の話 ←は一緒。それに加え、 1. SPF、DKIM、DMARC を３つとも対応 2. DMARCアライメントに合格 3. 配信登録の解除を簡単にしろ 5,000

    件/日以上のメールを送信する送信者 送信者全員 1. ドメインに SPF または DKIM メール認証を設定＆合格 2. RFC 5322準拠を厳密に見るよ 3. 迷惑メール率 0.10% 未満に維持、 決して 0.30% 以上にならないように 4. メールの送信に TLS 接続を使用 Gmail アカウントにメールを送信する 2024年4月以降、米Yahooも同様のガイドラインを変更する予定。左はGoogleWorkspaceも影響出てる気がする。

11. SPF、DKIM、DMARCとは？メールが本物かをDNSを使って調べる仕組 送信ドメイン認証（SPF / DKIM / DMARC）の仕組みと、 なりすましメール対策への活用法を徹底解説@IIJ https://ent.iij.ad.jp/articles/172/ より引用 SPF：メール送信サーバが本物か？

    DKIM：送信メールの署名が本物か？ DMARC：失敗時の処理、レポートの設定

12. 何の設定もしていない場合（レンタルサーバを利用） • レンタルサーバのメール送信サーバのSPFが、 設定されている（場合が多い）のでSPF: Passになる。 →何もしなくても基本は送れてる。 • Gmailでは「経由」とかかれている。 信用度はやや低く、場合によっては迷惑メールにも入る。

13. 何の設定もしていない場合（レンタルサーバを利用） • レンタルサーバ側がSPFレコードを設定してない • 自社で管理しているがSPFレコードを設定してない →Gmailに届かない（戻ってくる） ※ 何も設定してなくて、Gmailに転送設定とかしてるとエラーにも気づかない 現在問題なく送れていても、自社ドメインのSPF、DKIMは ちゃんと設定したほうが良い

14. 送信メールのメール・ドメイン認証（SPF、DKIM、DMARC） 具体的にどうやって対応させるか？

15. 小規模の場合（メール送信口が単一） ※自社ドメインのDNSと メールを管理しているサーバが一緒 Webページ お問い合わせページ Gmail (IMAP,POP) レンタルサーバ メール用・DNS 他社

    Outlook WebMail

16. 設定方法 • 基本はレンタルサーバの設定のチェックを入れるだけ（簡単） • ただし、自動で有効にはしてくれないので、自分でやる必要がある レンタルサーバによっては最近自動で設定してくれてるらしい

17. 確認方法 • 自分のGmail等に送って確認するのが早い • PASSって出てれば通ってる。FAILなら要確認 • 設定していない項目は出てこない ヨシ！

18. 中・大規模の場合（メール送信口が複数） Webページ お問い合わせページ ネットショップ メルマガ・DM CRM・請求書 お問い合わせ メール対応 何かの別システム 社員・個人メール

    Google Workspace shop.example.com www.example.com cs.example.com mag.example.com sys.example.com [email protected]

19. 中・大規模の場合 - 設定方法 メールを送る箇所 それぞれでDKIMを設定、 SPFレコード修正（DNSに設定を入れる）→結構めんどくさい 恐らくDNSの手動設定変更は避けて通れない 何個かポイントと罠があるので 紹介

20. 設定方法 - その前に ポイント DNSを設定変更するので、反映＆戻すのに時間がかかる。 レコード変更時（既にあるレコードの更新前の場合は、変更前）に TTL(有効期限)を短くしておくと、間違えた時にもリカバリーしやすい。

21. SPF TEXT v=spf1 ip4:xxx.x.2.1 -all TEXT v=spf1 include:example.com -all ↓

    TEXT v=spf1 ip4:xxx.x.2.1 include:example.com include:xxxx.com … ↑こう言う書き方（複数行）はできない ↑横長に書いていく

22. SPF - 罠 罠：DNSルックアップ回数は10回まで v=spf1 a:example.com include:_spf.google.com include:amazonses.com ~all 1

    2 3 ３回のようだけど... a:example.com include:_spf.google.com ←この中でさらに３回呼び出してる include:amazonses.com ３つしかなくても、６回になる 10回超えるとSPFが失敗になる

23. SPF - 罠 - 数えてくれるサービス MxToolBox「SPF Record Check – Lookup

    SPF Records」 https://mxtoolbox.com/spf.aspx

24. DKIM 設定方法 <セレクタ>._domainkey.<ドメイン名> ※同じDNSで同じセレクタは使えない Aサービス用 default._domainkey.example.com. IN TXT "v=DKIM1;.....“ Bサービス用

    default._domainkey.example.com. IN TXT "v=DKIM1;....." ←これはできない

25. DKIM – 罠 罠：サービスによっては、セレクタ名が変更できないものがある セレクタを入れる場所はない

26. DMARC DMARCの役割 1. SPF、DKIMが失敗したときメールをどうするか？を公開しとく → なにもしない、隔離、受信拒否から選択 2. メール通過レポートの送り先メールアドレスを公開しておく

27. DMARC - 罠 罠：サブドメインで設定しない場合は、 親ドメインの設定がサブドメインに自動的に反映される （継承する） @sub.example.com DMARC 設定なし @example.com

    DMARC p=REJECT を設定 →@sub.example.comのDMARCもREJECTになる

28. DMARC - noneポリシー 政府は2023年7月改定の令和5年度版政府統一基準において、 「中央省庁・自治体・独立行政法人などは2024年7月までに DMARCを導入すること」とし、ポリシーにNoneを設定する期 間を可能なかぎり短く、長くても1年以内にすると明記していま す。 https://it.impress.co.jp/articles/-/25853 →

    noneで計測し、ある程度したら違うのに変える。 noneにしっぱなしにしない

29. DMARCアライメント - ２つのFROM ２つのFROMがある 1. ヘッダFROM [email protected] メールソフトで設定するやつ 2. エンベロープFROM

    メールサーバが勝手につけるfrom 時間の関係で省略したけど、SPFは実はこっちを見てる

30. DMARCアライメント - ２つのFROM • SPFとDKIMが設定してあれば1、2が一致してなくてもSPF、DKIM、DMARCはPassにな るが、5,000通/日以上送る場合は、２つのFROMのドメインを一致させる必要がある。 →の一番上の状態 • 設定できないサービスもあるが、 メール配信サービスはできる場合が多い。

    キーワード：アライメント SPF認証 SPFアライメント DKIM認証 DKlMアライメント DMARC認証 Pass Pass Pass Pass Pass Pass Fail Pass Pass Pass Fail Fail Pass Pass Pass Fail Pass Pass Pass Pass Pass Pass Pass Fail Pass Pass Pass Fail Fail Pass Pass Fail Pass Fail Fail Fail Pass Fail Fail Fail Fail Pass Pass Fail Fail Pass Fail Fail Fail Fail Fail Fail Pass Fail Fail Fail Fail Fail Fail Fail 罠：SPF、DKIM、DMARCがPassでも届かない（5000通以上の場合）

31. その他 「迷惑メール率 0.10% 未満に維持、 決して 0.30% 以上にならないように」 • 綺麗ではないメールアドレスに一気に送らない •

    メール配信システムを使わないと厳しい（駄目メールには２度と送らないなど） • 5,000通以下でも守らないと駄目な条件。 一度Gmailに嫌われると簡単には直らないと思うので、怖い。 • 計測ツールで定期的に見る

32. その他 - 計測 - Google Postmaster Tools Google Webmaster Toolsのメール版

    Gmail 宛メールへの配信エラー、スパムレポート、フィードバック ループなどの詳細がわかる ※ある程度の量が必要。設定後からしか数値はでない。無料。

33. SPF、DKIM、DMARCがPassなってる＝安全では無い ここまでの設定や規制は↓の部分だけ From: [email protected] よく来る↓は送信ドメインのSPF,DKIM,DMARCが通ってれば、全てPassになる。 Subject: 【◯◯銀行】ログインパスワード変更のご案内【緊急】 From: ◯◯銀行お客様サポート <[email protected]>

34. まとめ メール怖い ◯ 万 人 に 送 っ と い

    て ね 送れて当たり前的なイメージも持たれやすい