2023年10月、GoogleとYahoo!は新たにメール送信者向けガイドラインを発表しました。
背景にあるのは「なりすましメール」「詐欺メール」の被害です。実際のメールアドレスを悪用して社員や関係者を装い、「マルウェアに感染させて顧客情報を流出させる」「偽の口座にお金を振り込ませる」といった手口が横行しており深刻な問題になっています。
Googleは2024年の2月から、Yahoo!では同年の第一四半期から適用がはじまる新しいガイドラインは、これらの悪質なメールに対処するために受信時の認証を厳しくするというもの。
これにより今後はガイドラインを意識した運用を心がけないと、顧客へのご案内やメールマガジンが受信NGとなってしまうかもしれません。
今回は、このメール送信者向けガイドラインの具体的な内容を深掘りしていきます。企業のメルマガ担当の方は、ぜひチェックしてください。
今後必要になる対応として、まず挙げられるのが、送信元が悪質ではないと証明する「ドメイン認証の設定」です。具体的には「SPF」「DKIM」「DMARC」という3つの認証に対応する必要があります。
「SPF」はIPアドレスを認証することで、なりすましメールを防止する仕組みです。受信側のサーバーはメールが届いたタイミングで送信元サーバーの「SPFレコード」に、IPアドレスが登録されているかをチェック。送信側があらかじめIPアドレスの登録をしていないメールは、なりすましメールとしてはじかれます。
次の「DKIM」は、署名によるメール送信元の確認です。受信側サーバーがなりすましメールや改ざんメールを検知できるように、送信側はメールに電子署名を付与して責任の所在を明らかにします。
最後の「DMARC」は、SPF・DKIMの認証結果を活用して、メールの安全性を判断するための仕組み。送信側があらかじめ「DMARCポリシー」を宣言しておくことで、メール認証が失敗した場合の推奨アクションを設定できます。これにより受信側のサーバーは、SPF・DKIMで判断しきれなかった受信メールを適切に取り扱えるようになります。
なお、これらのドメイン認証は@gmail.com、@outlook.jp、@yahoo.co.jpといったフリーメールでは設定することができません。そのため、現在フリーメールを利用している場合は、ドメインの取得が必要です。
上記のうち、どのような要件が適用されるかは、GoogleやYahoo!のアカウントに送信する1日のメール量で決まります。1日5,000通未満の場合、必要になるのはSPFかDKIMどちらかの認証のみ。5,000通以上の場合には、SPF・DKIM・DMARCすべての対応が必須です。
加えてメールマガジンを送信する場合には、ユーザーがワンクリックで購読停止を申請できるようにリンクを表示する必要があります。購読停止のリクエストがあった場合には、2日以内に解除対応をしなければなりません。
上記に加えて、「苦情報告率」を基準値未満にすることも必須条件です。
苦情報告とは、受信者がメールを迷惑メールとして報告すること。この割合が基準値を超えてしまうと、自社のメールがGoogle、Yahoo!から迷惑メールとして認識されてしまいます。
そのような事態を防ぐためには、「顧客がしっかり理解・納得した状態でメルマガ配信を行う」「不満につながるようなメッセージを送らない」「購買停止の方法をわかりやすくする」「長期間開封していない顧客にはメール配信をしない」など、これまで以上にきめ細やかな配信管理が必要になるでしょう。
ちなみにGoogleはこの基準値を0.3%未満に設定しています。Yahoo!は今のところ、具体的な数値は発表していません。
以上、GoogleとYahoo!が新たに発表した、メール送信者向けガイドラインの内容について解説をしました。
現在はIT技術の急速な進展にともない、セキュリティ・コンプライアンスに関する企業の意識向上が重視されています。リスク回避のためにも、ぜひ最新情報をキャッチアップして、ステークホルダーから信頼される体制を構築しましょう。
