Googleの新しいメールの送信ポリシーの対応をやってみたお話

私もほとんど知識がない中で何とか対応した備忘録を書きます！
まえおきは知っていたら読み飛ばしてください！

まえおき：新しいメールの送信ポリシーとは？

2024年2月以降、Gmailアカウントに1日あたり5000件以上のメールを送信する場合、送信ドメイン認証（SPF・DKIM・DMARC）対応が必須になるというものです。

この対応をしないとどうなってしまうかというと、個人用のGmail用にメールが届かなくなってしまうそうです。

Email sender guidelines - Google Workspace Admin Help

それでは個人用のGmailにメール送らないよ！であれば無視していいのかといえばそういうことではないようです。

発表されている送信ポリシーですが、当初はGoogle Workspaceアカウントも対象になっていた（現在は外れている）ので、将来的に適用される可能性がありそうです。

この送信ポリシーが緩くなることは恐らく可能性としては低いかと思いますので、やるならこのタイミングで早めに対応した方がいいと思い、情報を集め始めました。

このあたり勉強不足で、送信ドメイン認証（SPF・DKIM・DMARC）って…なんぞや…というところから始まりました汗

そもそも送信ポリシーは何故必要なのか？

コロナ禍の影響でオンラインショップの利用が増えたことで、企業と個人間のメールが増加し、有名なECサイトや金融機関になりすましたフィッシング詐欺が増えているそうです。
体感としても、フィッシングメールなどの詐欺のニュース記事は毎日のように流れてきますし、自分もプライベートで受信したこともありますし、生成AIなどを使用して文章も巧妙化しているなと感じます。
なので、そのような悪意のあるメールから受信者を守るためにも厳しい送信ポリシーの設定が必要になってくるのだなと思います。

フィッシング対策協議会　Council of Anti-Phishing Japan

送信ドメイン認証（SPF・DKIM・DMARC）って何…？

こちらに関しては私も勉強不足で、いろいろインターネットを検索したりセミナーに参加したりして、自分の中で以下の認識になりました。

---

もともと、メールアドレス（from）は誰でも自由に使える！ 　
→この状態だとなりすましは簡単。
なので、メールアドレス（from）が正しいメールアドレスの所有者が送信したのかチェックする必要がある！
→このチェック方法が「送信ドメイン認証」

---

①SPF：IPアドレスを利用してチェック
IPアドレスのなりすましは困難なので、送信元のIPアドレスをSPFレコードとして事前に登録。
登録内容とそのときのメールの送信元のIPアドレスをチェックしてなりすましかどうか判断する。

②DKIM：電子署名を利用してチェック
メール送信側が送信するメールに電子署名を付与し、メール受信側が受信したときに電子証明が正当かどうか判断する。

③DMARC：SPFとDKIMのチェックが失敗したときにどうするか決める
SPFとDKIMで100％なりすまし判断が出来るかというと、そうではない。
SPFとDKIMのチェックが失敗したときに、どうするか（メールを破棄するか、何もしないか等）送信側があらかじめ決めておくことが出来る。

---

下記のサイトが大変わかりやすいです！

新潮流になるか？GoogleとYahooが発表した「今後は受信しないメール」の条件-エンタープライズIT [COLUMNS]

送信ドメイン認証（SPF / DKIM / DMARC）の仕組みと、なりすましメール対策への活用法を徹底解説-エンタープライズIT [COLUMNS]

このように対応しました

①現状について確認

私もどうしたらいいのかさっぱりだったのですが、いろいろ調べたところ、まずは現状把握や設定がどうなっているのかなどを確認すべきとなっていたのでその通りにしてみました。

自社の状況（メールに関わりそうなところ）
　・Google Workspaceを使用
　・MAツールを介して月に2日ほど1回5000件以上メルマガ発信している
　・HENNGE Email DLPを使用している（脱PPAP、セキュリティ）

送信ドメイン認証の設定状況
　うちって送信ドメイン認証どこまでできているの？の確認方法を教えて頂きました！（感謝！）

方法その①：下記サイトでチェック

https://emailsecuritycheck.service.ncsc.gov.uk/check

Google Admin Toolbox

方法その②：送信メールから確認
　①自社のメールアドレスから、個人の「@gmail.com」にメールする
　②受信したメールのメニュー「メッセージのソースを表示」をクリック
　③設定がされていればソースにSPFやDKIMなどが表示されている
　※このときDKIMのドメインがfromメールアドレスと一致しているか確認

メールのソースを表示しメールヘッダーを確認する

確認したところ、自社はSPFのみ設定がされているようでした。。
DKIMも方法①で微妙な判定を受けていて、再度調べ直したら設定がされていないようでした。。

②設定したときの影響度合いを確認

現状を確認し、定期的なメルマガ発信時に影響がありそうで、DKIMとDMARCの設定をしなければならないことが分かりました。

設定方法はGoogleヘルプページの言う通りにやるしかないという状態です。

実際に実行してみれば、おそらくそこまで時間はかからないのかな？と思いますが、実行したときの影響度合いが分からないし、そもそもやっていいのか…（やらないといけないんですけど）がすごく不安でした。

一人情シスなので社内に技術的に相談出来るような相手がいないに等しく、自分で決めて自分でやらないといけないので、少しでも情報を集めて精度を上げる必要があります。

なので、メルマガ発信に使用しているMAツールと脱PPAPなどのHENNGEさんに自社の現状と、こうやろうと思っているのだけど影響はないかどうか問い合わせをさせて頂きました。
おそらく同じような問い合わせがたくさん来ていると思うのですが…何分一人なもので頼らせて頂きました。
丁寧に返答を頂きまして、自分がやらないといけない作業の解像度が上がりました！（感謝！）

③DKIMを設定する

DKIMを設定する必要があります。

流れとしては、以下の通りです。
①GoogleWorkspace側でDKIM鍵を発行
②①をDNSサーバーに登録
③GoogleWorkspace側で認証する

ドメインで DKIM を有効にする - Google Workspace 管理者 ヘルプ

また、自社はHENNGEも利用しているので、そちらも設定する必要があります。

https://support.hdeone.com/hc/ja/articles/360008742693

こちらもヘルプページの通りに行って無事に完了しました！

④DMARCを設定する

ここが一番悩んだポイントでした…。

DKIMの設定から48時間以上空けて行う必要があるそうで、③の作業日から数日空けて行いました。

DMARCを設定する前に、DMARCのレポートを受診するためのメールボックスの準備を推奨しているそうです。
とりあえずどんな頻度でどんなレポートが届くのか想像がつかなかったため、アドミンである自分のメールアドレスに指定することにしました。
あまりに量が多かったり等様子を見ながら必要そうであれば準備しようと思います。

下記のサイトを参考にさせて頂きました！（感謝！）

偽造された迷惑メールに対するセキュリティを DMARC で強化する - Google Workspace 管理者 ヘルプ

GoogleWorkspaceでのDKIM・DMARCの設定方法

DMARC を使う - DMARC レコードの例

DMARCとは（初心者向け） - Qiita

とりあえずは「p=none（DMARCの認証の結果がどうであれ特になにもしない）」でDNSサーバーで設定をしました。

---

サブドメイン名：_dmarc.ドメイン名
レコード種別：TXT
レコード： “v=DMARC1; p=none; rua=mailto:レポートを受信するメールアドレス; ruf=mailto:レポートを受信するメールアドレス”

---

DNSサーバーに設定したあと、認証されているか確認したところ、サイトのチェックやgmailにメールを飛ばしてみたのですが…反映されていない…。

コードも確認しましたが間違ってなさそうなので、何がダメなのか全然わからずあたふたしていたらXで、時間がかかってるだけかも？とお言葉を頂いて落ち着きました。

DNSの更新にはどれくらいの時間がかかりますか？| DNSの伝搬

DKIMを設定したときはすぐに反映されたので、そんな感じでいたのですが、最大72時間かかるかも…と記載があったので、不安になりつつ1日放置してみることにしました。

翌日、確認したところ、DMARCのレポートは来ているものの、認証チェックしてもDMARCが通らない…ということで再度調査しました。

DMARC Inspector - dmarcian

上記のDMARCチェッカーで確認したところ、DMARCが「_dmarc.ドメイン名ドメイン名」になっていると表示されて、これが原因では！？となりました。

Googleのヘルプページを見てみると、

たとえば、_dmarc.solarmora.com と入力した場合にドメインホストによってドメイン名が自動的に追加されると、TXT レコード名が _dmarc.solarmora.com.solarmora.com のように誤った形式になります。

DMARC レコードの追加 - Google Workspace 管理者 ヘルプ

と、記載されていたので、どうやらここの認識が甘かったようです。

利用しているDNSサーバーのヘルプページも再度確認して、サブドメイン名を「_dmarc.ドメイン名」→「_dmarc」に変更したところ、無事にDMARCの反映がされました！！
設定してから数分で反映がされたので、反映にあまりにも時間が掛かっている場合は何かしら設定にミスがあると考えていいかもしれません…(;´･ω･)

⑤DMARCレポートの確認

DMARCレポートなのですが、ZIPファイルでxml形式で送られてきました。
開いてみたところコードの羅列でぱっと見全然分からなかったので調べたところ、解析ツールがありましたのでこちらを利用しました。

DMARC Report Analyzer - DMARC Email XML Parser - MxToolbox

下記サイトでレポートの自力での読み方を分かりやすく解説してくださっていて、こちらも参考にさせて頂きました。（感謝！）

DMARCレポートとは？ 設定方法や集計レポートの読み方、解析ツールを解説 - ベアメールブログ

今後について

とりあえず2024年2月からのポリシー適用には間に合ったと思います。
しかしながら、今後の適用スケジュールを確認すると、さらに今後も厳しくなりそうですね。
4月頃からさらにポリシーに適用していないメールの受信拒否の割合が増え、6月頃にはすべての商用メールにはワンクリックで登録解除を実装する必要があるとのことです。

Email sender guidelines FAQ - Google Workspace Admin Help

DMARCも「p=none」で設定しておりますので、レポートを確認しながら厳しい設定に変えていく必要があるかと思います。
また6月のワンクリックで登録解除を実装についても、配信しているメールを確認して対応を進める必要があるかと思います。

情報を集めつつ、上記2点の対応を今後も進めていこうと思います！

まとめ

送信ポリシーってなに？？ドメイン認証ってなに？？というところから始まったのですが、現代はありがたいことにインターネットにはいろんな情報が載っておりますし、SNSなどで教えてくださる方もいらっしゃって何とか対応出来ました。
この場を借りてお礼申し上げます。
普段プライベートでECサイトのメールを受信したりしていても気が付かない世界だと思いますので、今回の対応をしてとても勉強になりました。
チャットツールが普及しはじめても、メールはまだまだ消滅したりはしないのかなと思います。
フィッシングメールはだんだんと巧妙になってきていますし、対策しても対策しても…いたちごっこの部分はありますが、アンテナを高くして自ら引っかからない、自社の社員も定期的に情報を流すようにしていきたいと思います。