なりますしメールや詐欺メールなど、メールの受信者を対象とした悪意のある攻撃は多様化・巧妙化が進み、社会問題にまで発展しています。このようななか、Googleはメール送信者のガイドラインを更新し、特定の条件を満たす送信者にDMARCやDKIMの設定を行うよう促しています。
DMARCやDKIMは、送信ドメイン認証技術の一種で、メールにおけるフィッシングやなりすましを防ぐ役割があります。本記事では、そのうちDMARCに着目し、その仕組みやGmailでの設定方法などを解説します。設定しなければ相手にメールを送信できない恐れもあるため、適切な知識を押さえましょう。
DMARCとは電子メールのフィッシングや悪意のある攻撃を防ぐ認証技術
DMARC(Domain-based Message Authentication Reporting and Conformance)とは、メールによるなりすましや詐欺、フィッシング攻撃などを防ぐための技術です。正規の送信元サーバーから送られてきたメールかどうかを判断する送信ドメイン認証技術の一つとして、2012年に発表されました。
SPFやDKIMとの違い
送信ドメイン認証技術には、DMARCのほかにもSPFやDKIMがあります。DMARCは、そのSPFやDKIMをベースにして、なりすましメールや悪意のある攻撃を防ぐ技術です。
SPFでは、送信元サーバーのIPアドレスとDNSサーバーのSPFレコードを照合し、送信メールの真偽を明らかにします。DKIMの場合、送信メールに付与された電子署名を検証して送信メールの真偽を判別する仕組みです。
いずれも比較的容易に導入できるものの、欠点も存在します。例えば、攻撃者がheader fromアドレスを偽装したり、電子署名の仕組みを悪用したりすると、SPFやDKIMの技術だけではなりすましや攻撃を検知できません。
そこで誕生したのがDMARCです。DMARCでは、SPFやDKIMの認証が失敗したケースを想定し、あらかじめ独自のポリシーを策定します。実際に認証に失敗した際は、そのポリシーに則って受信メールの受信・拒否・隔離といった処理が自動的に実行されます。結果として、SPFやDKIMでは判別が難しかった、なりすましメールや悪意のある攻撃を防げます。
GmailはDMARCの設定が必須?設定しないリスクや役割について
本来、DMARCを設定するかどうかはメール送信者の裁量によって決定できます。しかし、Gmailの場合は、Googleが定めているメール送信者のガイドラインに準拠する必要があり、対応次第では取引先や顧客とのトラブルに発展する恐れがあります。そのため、GmailとDMARCの関係性をしっかりと理解することが重要です。
2024年2月からGoogleの新たなガイドラインが適用される
Googleのメール送信者のガイドラインは、2023年10月に内容が更新され、2024年2月1日から新たなルールが適用されます。具体的には次のスケジュールに沿って進行する見通しです。
- 2024年2月:ガイドライン非準拠の一括送信者のメールを一部エラーで返しはじめる
- 2024年4月:ガイドライン非準拠メールが拒否されはじめる
- 2024年6月:一括送信者は全てのプロモーションメールでワンクリック配信停止を実装が必要
対象は、Gmailアカウント宛てにメールを送るすべての送信者です。Gmailアカウントは、独自ドメインではなく、「@gmail.com」のドメインのメールアドレスを指します。独自ドメインをはじめ、末尾が「@gmail.com」でないメールアドレスは対象に含まれません。
対象に含まれる場合、GmailでSPFとDKIMの設定を行う必要があります。さらに、Gmailアカウントに対して1日に5,000件以上のメールを送信する場合、SPFとDKIMに加えてDMARCの設定が必要です。
DMARCを設定しない場合のリスク
上記にルールに抵触する場合、送信メールに対する受信側の拒否や、迷惑メールフォルダへの分類などの処理が行われる可能性があります。つまり、送信したメールが相手に届かないリスクがあるということです。
対象となるのは、Gmailアカウント宛てにメールを送るすべての送信者なので、個人の消費者や顧客とやり取りする機会の多い小売業やサービス業に大きな影響を与えることが予想されています。メールが相手に届かなければ機会ロスにもつながりません。そのため、Gmailを利用している場合は、状況に応じてSPF・DKIM・DMARCの設定を行いましょう。
【無料版Gmail向け】GmailでDMARCを設定する方法
無料版のGmailを利用している場合は、次の手順に沿ってDMARCを設定しましょう。
- DNSサーバーのTXTレコード画面にアクセス
- TXTレコードに「_dmarc.(ドメイン名)」のホスト名を追加
- 「v=DMARC1; p=none; rua=mailto:(レポートを受け取るドメイン名)」のTXTレコード値を入力
例えば、ドメイン名が「abc.com」であれば、ホスト名には「_dmarc.abc.com」と入力します。
また、DMARCを設定すると継続的にレポートを受信するため、TXTレコード値にはレポート受信用のドメインを指定するのがおすすめです。仮に「dmarc-reports@abc.com」が受信アドレスだとすると、TXTレコード値には「v=DMARC1; p=none; rua=mailto:dmarc-reports@abc.com」と入力します。
上記の設定を行った後は、届いたDMARCレポートを定期的にチェックしましょう。送信したメールが迷惑メールフォルダに振り分けられる、受信側からエラーメッセージが返されるといった傾向がないかをチェックするのがおすすめです。
【Google Workspace向け】GmailでDMARCを設定する方法
Google Workspaceを導入済みの場合は、無料版Gmailを利用している場合と設定方法が異なります。手順は次の通りです。
- Google Workspaceの管理コンソールにログイン
- SPFとDKIMの設定
- DMARCのレポート受信用のメールアドレスを用意
- DNSサーバーでDMARCのレコードを設定
手順ごとに具体的な設定方法を解説します。
1. Google Workspaceの管理コンソールにログイン
SPFやDKIM、DMARCなどの機能を利用するには、有料版のGmailにアップグレードする必要があります。有料版のGmailは、Google Workspaceというサービスで提供されています。
Google Workspaceは、20種類近くの有料版Googleサービスで構成されたグループウェアです。管理コンソールを使って各種サービスの有効化やユーザー管理を一括で設定できます。そのほか、Googleドライブの容量拡張やセキュリティ・サポートの充実化といったメリットもあります。
DMARCを設定するには、まずGoogle Workspaceに登録して管理コンソールにアクセスしましょう。管理コンソールの導入方法や使い方については、こちらの記事で詳しく解説しています。
2. SPFとDKIMの設定
DMARCはSPFとDKIMをベースにした技術なので、事前にSPFとDKIMの設定が必要です。SPFとDKIMは次の手順に沿って設定を行います。
- 管理コンソールからSPFとDKIMの認証レコードを生成する
- DNSサーバー上で認証レコードを記述する
- 管理コンソール上でSPFとDKIMの認証を開始する
詳細な設定方法に関しては、こちらの記事で詳しく解説しています。
3. DMARCのレポート受信用のメールアドレスを用意
GmailでDMARCを設定すると、メールの受信サーバーから定期的にレポートを受信します。受信するレポートの数はメールの送信件数やドメイン数によって異なり、1日に数百から数千ものレポートを受け取るケースもあります。そのため、あらかじめレポート受信用のメールアドレスを作成するのがおすすめです。
例えば、「dmarc_report@ドメイン名」など、誰が見てもわかりやすいメールアドレスを設定するのが良いでしょう。その際のドメインは、DMARCレコードをホストするドメインと同様のものを設定するのが一般的です。両者のドメインが異なる場合、DNSレコードの追加といった手間がかかるためです。
4. DNSサーバーでDMARCのレコードを設定
DNSサーバーの管理画面にアクセスし、DMARCのレコードを追加します。設定方法は利用しているDNSサーバーによって異なりますが、ネームサーバー設定変更画面で手続きを行うのが一般的です。
設定画面では、サーバーアドレスに「v=DMARC1; p=none; rua=mailto:(レポート受信用のメールアドレス)」と記述します。例えば、レポート受信用のメールアドレスが「dmarc_report@abc.co.jp」の場合、ホスト名は「_dmarc.abc.co.jp」、サーバーアドレスは「v=DMARC1; p=none; rua=mailto:dmarc_report@abc.co.jp」となります。
設定が完了すれば、テストメールを送信しましょう。受信したテストメールのメッセージ画面を開き、右上の三点リーダから[メッセージのソースを表示]をクリックします。
[元のメッセージ]の項目内にあるSPF・DKIM・DMARCの表記が「PASS」になっていれば、設定が正しく反映されています。
GmailでDMARCを設定する際のよくある疑問
GmailでDMARCを設定する際に不明な点が浮かびあがることもあるでしょう。以下でDMARC設定時のよくある疑問を紹介しているので、参考にしてください。
SPFとDKIMの設定が反映されない
DMARCを設定するには、SPFとDKIMの情報が正確に反映されている必要があります。ただし、SPFとDKIMは、情報が反映されるまでに少なくとも48時間かかります。もしSPFとDKIMの情報が反映されていない場合は、設定完了後、48時間以上経過してからDMARCの設定に取りかかりましょう。
送信メールがDMARC認証に合格しない場合の対処法は?
DMARCは、認証に合格した場合にのみメールを受信する仕組みです。そして、その認証に合格するには、受信メールがSPFまたはDKIMの認証をクリアしなければなりません。そのため、DMARCの設定によって送信メールが相手に届かない場合は、まずSPFまたはDKIMの認証を合格しているかを確認しましょう。
SPFとDKIMの認証に問題がなければ、続いてDNSサーバー上のポリシーを確認します。あまりにも厳格なポリシーが設定されていると、受信メールがDMARC認証に不合格となる可能性が高まります。
DMARCやDKIMの仕組みを活用してGmailのトラブルを避けよう
これから先、Gmailを利用する際は、2023年10月に更新されたGoogleのメール送信者のガイドラインをしっかりと確認しておくことが大切です。「@gmail.com」宛てにメールを送信する、あるいは1日に5,000件以上のメールを送信する場合、SPFやDKIM、DMARCといった対策が求められます。
SPFやDKIMに加え、より充実したセキュリティ対策を行いたいなら、Google Workspaceに登録するのがおすすめです。料金こそかかるものの、Google Workspaceを導入することでストレージ容量を拡張できるほか、充実したセキュリティ機能を活用できるメリットがあります。
電算システムでは、環境構築やコンサルティングなど、Googleサービスの導入支援サービスを提供しています。Gmailはもちろん、Google Workspaceのサポートにも対応しています。専門領域に精通した数多くのエンジニアが在籍しているので、スピーディかつ質の高いサポートを行えるのが強みです。「Googleサービスを活用したいが具体的なイメージが湧かない」といったお悩みを抱える方は、ぜひ電算システムへと気軽にお問い合わせください。
