Slide 1

Slide 1 text

メールを受信トレイに届けよう Gmailガイドラインの話 2024/02/10 Mie Word Press Meetup 2024/02/12 伊勢IT交流会

Slide 2

Slide 2 text

もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房

Slide 3

Slide 3 text

かつてはメールを届けるのは難しくなかった 送信者 メールサーバ(ローカルなど) 相手のメールサーバ 受信者

Slide 4

Slide 4 text

そうこうしてると…沢山の業者が沢山のメールを送り付けきた 指先一つで◯万通! Yeah!!! 広告メール フィッシングメール 迷惑メール

Slide 5

Slide 5 text

なんやかやあって…色々対策が取られてきた なんやかんや 法律・技術的 広告メール フィッシングメール 迷惑メール ちょっとは少なくなった

Slide 6

Slide 6 text

現在 受信者にとって必要なメールでも 送信者がちゃんとしてないと届かない

Slide 7

Slide 7 text

現在 受信者にとって必要なメールでも 送信者がちゃんとしてないと届かない←今日の話

Slide 8

Slide 8 text

2024年2月のGmailガイドライン変更 2024年2月のGmailガイドライン変更 → ちゃんと設定してないとGmailで受け取らないよ https://support.google.com/a/answer/81126?hl=ja

Slide 9

Slide 9 text

具体的には… ←は一緒。それに加え、 1. SPF、DKIM、DMARC を3つとも対応 2. DMARCアライメントに合格 3. 配信登録の解除を簡単にしろ 5,000 件/日以上のメールを送信する送信者 送信者全員 1. ドメインに SPF または DKIM メール認証を設定&合格 2. RFC 5322準拠を厳密に見るよ 3. 迷惑メール率 0.10% 未満に維持、 決して 0.30% 以上にならないように 4. メールの送信に TLS 接続を使用 Gmail アカウントにメールを送信する 2024年4月以降、米Yahooも同様のガイドラインを変更する予定。左はGoogleWorkspaceも影響出てる気がする。

Slide 10

Slide 10 text

具体的には…今日の話 ←は一緒。それに加え、 1. SPF、DKIM、DMARC を3つとも対応 2. DMARCアライメントに合格 3. 配信登録の解除を簡単にしろ 5,000 件/日以上のメールを送信する送信者 送信者全員 1. ドメインに SPF または DKIM メール認証を設定&合格 2. RFC 5322準拠を厳密に見るよ 3. 迷惑メール率 0.10% 未満に維持、 決して 0.30% 以上にならないように 4. メールの送信に TLS 接続を使用 Gmail アカウントにメールを送信する 2024年4月以降、米Yahooも同様のガイドラインを変更する予定。左はGoogleWorkspaceも影響出てる気がする。

Slide 11

Slide 11 text

SPF、DKIM、DMARCとは?メールが本物かをDNSを使って調べる仕組 送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、 なりすましメール対策への活用法を徹底解説@IIJ https://ent.iij.ad.jp/articles/172/ より引用 SPF:メール送信サーバが本物か? DKIM:送信メールの署名が本物か? DMARC:失敗時の処理、レポートの設定

Slide 12

Slide 12 text

何の設定もしていない場合(レンタルサーバを利用) • レンタルサーバのメール送信サーバのSPFが、 設定されている(場合が多い)のでSPF: Passになる。 →何もしなくても基本は送れてる。 • Gmailでは「経由」とかかれている。 信用度はやや低く、場合によっては迷惑メールにも入る。

Slide 13

Slide 13 text

何の設定もしていない場合(レンタルサーバを利用) • レンタルサーバ側がSPFレコードを設定してない • 自社で管理しているがSPFレコードを設定してない →Gmailに届かない(戻ってくる) ※ 何も設定してなくて、Gmailに転送設定とかしてるとエラーにも気づかない 現在問題なく送れていても、自社ドメインのSPF、DKIMは ちゃんと設定したほうが良い

Slide 14

Slide 14 text

送信メールのメール・ドメイン認証(SPF、DKIM、DMARC) 具体的にどうやって対応させるか?

Slide 15

Slide 15 text

小規模の場合(メール送信口が単一) ※自社ドメインのDNSと メールを管理しているサーバが一緒 Webページ お問い合わせページ Gmail (IMAP,POP) レンタルサーバ メール用・DNS 他社 Outlook WebMail

Slide 16

Slide 16 text

設定方法 • 基本はレンタルサーバの設定のチェックを入れるだけ(簡単) • ただし、自動で有効にはしてくれないので、自分でやる必要がある レンタルサーバによっては最近自動で設定してくれてるらしい

Slide 17

Slide 17 text

確認方法 • 自分のGmail等に送って確認するのが早い • PASSって出てれば通ってる。FAILなら要確認 • 設定していない項目は出てこない ヨシ!

Slide 18

Slide 18 text

中・大規模の場合(メール送信口が複数) Webページ お問い合わせページ ネットショップ メルマガ・DM CRM・請求書 お問い合わせ メール対応 何かの別システム 社員・個人メール Google Workspace shop.example.com www.example.com cs.example.com mag.example.com sys.example.com [email protected]

Slide 19

Slide 19 text

中・大規模の場合 - 設定方法 メールを送る箇所 それぞれでDKIMを設定、 SPFレコード修正(DNSに設定を入れる)→結構めんどくさい 恐らくDNSの手動設定変更は避けて通れない 何個かポイントと罠があるので 紹介

Slide 20

Slide 20 text

設定方法 - その前に ポイント DNSを設定変更するので、反映&戻すのに時間がかかる。 レコード変更時(既にあるレコードの更新前の場合は、変更前)に TTL(有効期限)を短くしておくと、間違えた時にもリカバリーしやすい。

Slide 21

Slide 21 text

SPF TEXT v=spf1 ip4:xxx.x.2.1 -all TEXT v=spf1 include:example.com -all ↓ TEXT v=spf1 ip4:xxx.x.2.1 include:example.com include:xxxx.com … ↑こう言う書き方(複数行)はできない ↑横長に書いていく

Slide 22

Slide 22 text

SPF - 罠 罠:DNSルックアップ回数は10回まで v=spf1 a:example.com include:_spf.google.com include:amazonses.com ~all 1 2 3 3回のようだけど... a:example.com include:_spf.google.com ←この中でさらに3回呼び出してる include:amazonses.com 3つしかなくても、6回になる 10回超えるとSPFが失敗になる

Slide 23

Slide 23 text

SPF - 罠 - 数えてくれるサービス MxToolBox「SPF Record Check – Lookup SPF Records」 https://mxtoolbox.com/spf.aspx

Slide 24

Slide 24 text

DKIM 設定方法 <セレクタ>._domainkey.<ドメイン名> ※同じDNSで同じセレクタは使えない Aサービス用 default._domainkey.example.com. IN TXT "v=DKIM1;.....“ Bサービス用 default._domainkey.example.com. IN TXT "v=DKIM1;....." ←これはできない

Slide 25

Slide 25 text

DKIM – 罠 罠:サービスによっては、セレクタ名が変更できないものがある セレクタを入れる場所はない

Slide 26

Slide 26 text

DMARC DMARCの役割 1. SPF、DKIMが失敗したときメールをどうするか?を公開しとく → なにもしない、隔離、受信拒否から選択 2. メール通過レポートの送り先メールアドレスを公開しておく

Slide 27

Slide 27 text

DMARC - 罠 罠:サブドメインで設定しない場合は、 親ドメインの設定がサブドメインに自動的に反映される (継承する) @sub.example.com DMARC 設定なし @example.com DMARC p=REJECT を設定 →@sub.example.comのDMARCもREJECTになる

Slide 28

Slide 28 text

DMARC - noneポリシー 政府は2023年7月改定の令和5年度版政府統一基準において、 「中央省庁・自治体・独立行政法人などは2024年7月までに DMARCを導入すること」とし、ポリシーにNoneを設定する期 間を可能なかぎり短く、長くても1年以内にすると明記していま す。 https://it.impress.co.jp/articles/-/25853 → noneで計測し、ある程度したら違うのに変える。 noneにしっぱなしにしない

Slide 29

Slide 29 text

DMARCアライメント - 2つのFROM 2つのFROMがある 1. ヘッダFROM [email protected] メールソフトで設定するやつ 2. エンベロープFROM メールサーバが勝手につけるfrom 時間の関係で省略したけど、SPFは実はこっちを見てる

Slide 30

Slide 30 text

DMARCアライメント - 2つのFROM • SPFとDKIMが設定してあれば1、2が一致してなくてもSPF、DKIM、DMARCはPassにな るが、5,000通/日以上送る場合は、2つのFROMのドメインを一致させる必要がある。 →の一番上の状態 • 設定できないサービスもあるが、 メール配信サービスはできる場合が多い。 キーワード:アライメント SPF認証 SPFアライメント DKIM認証 DKlMアライメント DMARC認証 Pass Pass Pass Pass Pass Pass Fail Pass Pass Pass Fail Fail Pass Pass Pass Fail Pass Pass Pass Pass Pass Pass Pass Fail Pass Pass Pass Fail Fail Pass Pass Fail Pass Fail Fail Fail Pass Fail Fail Fail Fail Pass Pass Fail Fail Pass Fail Fail Fail Fail Fail Fail Pass Fail Fail Fail Fail Fail Fail Fail 罠:SPF、DKIM、DMARCがPassでも届かない(5000通以上の場合)

Slide 31

Slide 31 text

その他 「迷惑メール率 0.10% 未満に維持、 決して 0.30% 以上にならないように」 • 綺麗ではないメールアドレスに一気に送らない • メール配信システムを使わないと厳しい(駄目メールには2度と送らないなど) • 5,000通以下でも守らないと駄目な条件。 一度Gmailに嫌われると簡単には直らないと思うので、怖い。 • 計測ツールで定期的に見る

Slide 32

Slide 32 text

その他 - 計測 - Google Postmaster Tools Google Webmaster Toolsのメール版 Gmail 宛メールへの配信エラー、スパムレポート、フィードバック ループなどの詳細がわかる ※ある程度の量が必要。設定後からしか数値はでない。無料。

Slide 33

Slide 33 text

SPF、DKIM、DMARCがPassなってる=安全では無い ここまでの設定や規制は↓の部分だけ From: [email protected] よく来る↓は送信ドメインのSPF,DKIM,DMARCが通ってれば、全てPassになる。 Subject: 【◯◯銀行】ログインパスワード変更のご案内【緊急】 From: ◯◯銀行お客様サポート

Slide 34

Slide 34 text

まとめ メール怖い ◯ 万 人 に 送 っ と い て ね 送れて当たり前的なイメージも持たれやすい