Upgrade to Pro — share decks privately, control downloads, hide ads and more …

メールを受信トレイに届けよう - Gmailガイドラインの話

moyashi
February 10, 2024

メールを受信トレイに届けよう - Gmailガイドラインの話

受信者にとって必要なメールであっても、送信者がちゃんと設定してないと届かない。2024/2月のGmailの送信者ガイドラインをもとに、SPF、DKIM、DMARCでの設定ポイントと罠を紹介。メール怖いの話。

moyashi

February 10, 2024
Tweet

More Decks by moyashi

Other Decks in Technology

Transcript

  1. メールを受信トレイに届けよう
    Gmailガイドラインの話
    2024/02/10 Mie Word Press Meetup
    2024/02/12 伊勢IT交流会

    View full-size slide

  2. もやし工房
    石黒 光茂
    @koike_moyashi
    mitsushige.ishiguro
    もやし工房

    View full-size slide

  3. かつてはメールを届けるのは難しくなかった
    送信者 メールサーバ(ローカルなど) 相手のメールサーバ 受信者

    View full-size slide

  4. そうこうしてると…沢山の業者が沢山のメールを送り付けきた
    指先一つで◯万通!
    Yeah!!!
    広告メール
    フィッシングメール
    迷惑メール

    View full-size slide

  5. なんやかやあって…色々対策が取られてきた
    なんやかんや
    法律・技術的
    広告メール
    フィッシングメール
    迷惑メール
    ちょっとは少なくなった

    View full-size slide

  6. 現在
    受信者にとって必要なメールでも
    送信者がちゃんとしてないと届かない

    View full-size slide

  7. 現在
    受信者にとって必要なメールでも
    送信者がちゃんとしてないと届かない←今日の話

    View full-size slide

  8. 2024年2月のGmailガイドライン変更
    2024年2月のGmailガイドライン変更
    → ちゃんと設定してないとGmailで受け取らないよ
    https://support.google.com/a/answer/81126?hl=ja

    View full-size slide

  9. 具体的には…
    ←は一緒。それに加え、
    1. SPF、DKIM、DMARC を3つとも対応
    2. DMARCアライメントに合格
    3. 配信登録の解除を簡単にしろ
    5,000 件/日以上のメールを送信する送信者
    送信者全員
    1. ドメインに SPF または
    DKIM メール認証を設定&合格
    2. RFC 5322準拠を厳密に見るよ
    3. 迷惑メール率 0.10% 未満に維持、
    決して 0.30% 以上にならないように
    4. メールの送信に TLS 接続を使用
    Gmail アカウントにメールを送信する
    2024年4月以降、米Yahooも同様のガイドラインを変更する予定。左はGoogleWorkspaceも影響出てる気がする。

    View full-size slide

  10. 具体的には…今日の話
    ←は一緒。それに加え、
    1. SPF、DKIM、DMARC を3つとも対応
    2. DMARCアライメントに合格
    3. 配信登録の解除を簡単にしろ
    5,000 件/日以上のメールを送信する送信者
    送信者全員
    1. ドメインに SPF または
    DKIM メール認証を設定&合格
    2. RFC 5322準拠を厳密に見るよ
    3. 迷惑メール率 0.10% 未満に維持、
    決して 0.30% 以上にならないように
    4. メールの送信に TLS 接続を使用
    Gmail アカウントにメールを送信する
    2024年4月以降、米Yahooも同様のガイドラインを変更する予定。左はGoogleWorkspaceも影響出てる気がする。

    View full-size slide

  11. SPF、DKIM、DMARCとは?メールが本物かをDNSを使って調べる仕組
    送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、
    なりすましメール対策への活用法を徹底解説@IIJ
    https://ent.iij.ad.jp/articles/172/ より引用
    SPF:メール送信サーバが本物か?
    DKIM:送信メールの署名が本物か?
    DMARC:失敗時の処理、レポートの設定

    View full-size slide

  12. 何の設定もしていない場合(レンタルサーバを利用)
    • レンタルサーバのメール送信サーバのSPFが、
    設定されている(場合が多い)のでSPF: Passになる。
    →何もしなくても基本は送れてる。
    • Gmailでは「経由」とかかれている。
    信用度はやや低く、場合によっては迷惑メールにも入る。

    View full-size slide

  13. 何の設定もしていない場合(レンタルサーバを利用)
    • レンタルサーバ側がSPFレコードを設定してない
    • 自社で管理しているがSPFレコードを設定してない
    →Gmailに届かない(戻ってくる)
    ※ 何も設定してなくて、Gmailに転送設定とかしてるとエラーにも気づかない
    現在問題なく送れていても、自社ドメインのSPF、DKIMは
    ちゃんと設定したほうが良い

    View full-size slide

  14. 送信メールのメール・ドメイン認証(SPF、DKIM、DMARC)
    具体的にどうやって対応させるか?

    View full-size slide

  15. 小規模の場合(メール送信口が単一)
    ※自社ドメインのDNSと
    メールを管理しているサーバが一緒
    Webページ
    お問い合わせページ Gmail
    (IMAP,POP)
    レンタルサーバ
    メール用・DNS
    他社
    Outlook WebMail

    View full-size slide

  16. 設定方法
    • 基本はレンタルサーバの設定のチェックを入れるだけ(簡単)
    • ただし、自動で有効にはしてくれないので、自分でやる必要がある
    レンタルサーバによっては最近自動で設定してくれてるらしい

    View full-size slide

  17. 確認方法
    • 自分のGmail等に送って確認するのが早い
    • PASSって出てれば通ってる。FAILなら要確認
    • 設定していない項目は出てこない
    ヨシ!

    View full-size slide

  18. 中・大規模の場合(メール送信口が複数)
    Webページ
    お問い合わせページ
    ネットショップ メルマガ・DM
    CRM・請求書
    お問い合わせ
    メール対応
    何かの別システム 社員・個人メール
    Google Workspace
    shop.example.com
    www.example.com
    cs.example.com
    mag.example.com
    sys.example.com [email protected]

    View full-size slide

  19. 中・大規模の場合 - 設定方法
    メールを送る箇所 それぞれでDKIMを設定、
    SPFレコード修正(DNSに設定を入れる)→結構めんどくさい
    恐らくDNSの手動設定変更は避けて通れない
    何個かポイントと罠があるので 紹介

    View full-size slide

  20. 設定方法 - その前に
    ポイント
    DNSを設定変更するので、反映&戻すのに時間がかかる。
    レコード変更時(既にあるレコードの更新前の場合は、変更前)に
    TTL(有効期限)を短くしておくと、間違えた時にもリカバリーしやすい。

    View full-size slide

  21. SPF
    TEXT v=spf1 ip4:xxx.x.2.1 -all
    TEXT v=spf1 include:example.com -all

    TEXT v=spf1 ip4:xxx.x.2.1 include:example.com include:xxxx.com …
    ↑こう言う書き方(複数行)はできない
    ↑横長に書いていく

    View full-size slide

  22. SPF - 罠
    罠:DNSルックアップ回数は10回まで
    v=spf1 a:example.com include:_spf.google.com include:amazonses.com ~all
    1 2 3
    3回のようだけど...
    a:example.com
    include:_spf.google.com ←この中でさらに3回呼び出してる
    include:amazonses.com
    3つしかなくても、6回になる
    10回超えるとSPFが失敗になる

    View full-size slide

  23. SPF - 罠 - 数えてくれるサービス
    MxToolBox「SPF Record Check – Lookup SPF Records」 https://mxtoolbox.com/spf.aspx

    View full-size slide

  24. DKIM
    設定方法
    <セレクタ>._domainkey.<ドメイン名>
    ※同じDNSで同じセレクタは使えない
    Aサービス用
    default._domainkey.example.com. IN TXT "v=DKIM1;.....“
    Bサービス用
    default._domainkey.example.com. IN TXT "v=DKIM1;....." ←これはできない

    View full-size slide

  25. DKIM – 罠
    罠:サービスによっては、セレクタ名が変更できないものがある
    セレクタを入れる場所はない

    View full-size slide

  26. DMARC
    DMARCの役割
    1. SPF、DKIMが失敗したときメールをどうするか?を公開しとく
    → なにもしない、隔離、受信拒否から選択
    2. メール通過レポートの送り先メールアドレスを公開しておく

    View full-size slide

  27. DMARC - 罠
    罠:サブドメインで設定しない場合は、
    親ドメインの設定がサブドメインに自動的に反映される
    (継承する)
    @sub.example.com DMARC 設定なし
    @example.com DMARC p=REJECT を設定
    →@sub.example.comのDMARCもREJECTになる

    View full-size slide

  28. DMARC - noneポリシー
    政府は2023年7月改定の令和5年度版政府統一基準において、
    「中央省庁・自治体・独立行政法人などは2024年7月までに
    DMARCを導入すること」とし、ポリシーにNoneを設定する期
    間を可能なかぎり短く、長くても1年以内にすると明記していま
    す。
    https://it.impress.co.jp/articles/-/25853
    → noneで計測し、ある程度したら違うのに変える。
    noneにしっぱなしにしない

    View full-size slide

  29. DMARCアライメント - 2つのFROM
    2つのFROMがある
    1. ヘッダFROM
    [email protected]
    メールソフトで設定するやつ
    2. エンベロープFROM
    メールサーバが勝手につけるfrom
    時間の関係で省略したけど、SPFは実はこっちを見てる

    View full-size slide

  30. DMARCアライメント - 2つのFROM
    • SPFとDKIMが設定してあれば1、2が一致してなくてもSPF、DKIM、DMARCはPassにな
    るが、5,000通/日以上送る場合は、2つのFROMのドメインを一致させる必要がある。
    →の一番上の状態
    • 設定できないサービスもあるが、
    メール配信サービスはできる場合が多い。
    キーワード:アライメント
    SPF認証 SPFアライメント DKIM認証 DKlMアライメント DMARC認証
    Pass Pass Pass Pass Pass
    Pass Fail Pass Pass Pass
    Fail Fail Pass Pass Pass
    Fail Pass Pass Pass Pass
    Pass Pass Pass Fail Pass
    Pass Pass Fail Fail Pass
    Pass Fail Pass Fail Fail
    Fail Pass Fail Fail Fail
    Fail Pass Pass Fail Fail
    Pass Fail Fail Fail Fail
    Fail Fail Pass Fail Fail
    Fail Fail Fail Fail Fail
    罠:SPF、DKIM、DMARCがPassでも届かない(5000通以上の場合)

    View full-size slide

  31. その他
    「迷惑メール率 0.10% 未満に維持、
    決して 0.30% 以上にならないように」
    • 綺麗ではないメールアドレスに一気に送らない
    • メール配信システムを使わないと厳しい(駄目メールには2度と送らないなど)
    • 5,000通以下でも守らないと駄目な条件。
    一度Gmailに嫌われると簡単には直らないと思うので、怖い。
    • 計測ツールで定期的に見る

    View full-size slide

  32. その他 - 計測 - Google Postmaster Tools
    Google Webmaster Toolsのメール版
    Gmail 宛メールへの配信エラー、スパムレポート、フィードバック ループなどの詳細がわかる
    ※ある程度の量が必要。設定後からしか数値はでない。無料。

    View full-size slide

  33. SPF、DKIM、DMARCがPassなってる=安全では無い
    ここまでの設定や規制は↓の部分だけ
    From: [email protected]
    よく来る↓は送信ドメインのSPF,DKIM,DMARCが通ってれば、全てPassになる。
    Subject: 【◯◯銀行】ログインパスワード変更のご案内【緊急】
    From: ◯◯銀行お客様サポート

    View full-size slide

  34. まとめ
    メール怖い










    送れて当たり前的なイメージも持たれやすい

    View full-size slide