DMARCの導入拡大:GoogleとYahoo!による義務化
2023年10月、GoogleとYahooは、2024年2月より、大量送信者はDMARCおよびその他の送信者向けベストプラクティスを導入しなければならないと発表しました。この義務化が発表されてから1年が経過した今、私たちはこれを機に、メールエコシステムにどのような影響が及んだのかを確認したいと思います。
これらの変更は、いわばメールの世界における「整備」のようなものです。内部の仕組みをいくつか調整することで、メールの円滑な運用を維持することができます。しかし、整備と同様に、これは一度きりの作業ではありません。メールのセキュリティを強化し、使いやすさを向上させ、スパムを排除し続けるためには、メールコミュニティ全体による継続的な協力と警戒が必要です。私たちは、皆様の受信トレイが安全であり続けるよう、今後も協力し合って取り組んでまいります。
ニール・クマラン、Gmail セキュリティ&トラスト グループ プロダクト マネージャー
電子メールを標的とした脅威が拡大し続け、悪用による被害も増えている中、新たな要件が効果を上げていることは喜ばしいことです。Yahoo!はまだ具体的なデータを公表していませんが、Gmailと同様に、同社のDMARC導入義務化によりスパムやフィッシングメールが大幅に減少したことは容易に想像できます。Yahoo!の具体的な数値が明らかになり次第、必ずお知らせいたします。
なぜDMARCなのか?
更新された送信者要件にDMARCが盛り込まれた理由について疑問を抱く方もいらっしゃるでしょう。その主な理由は、電子メールがこれまで、そして現在もなお、サイバー犯罪者にとって主要な攻撃手段であり続けているからです。電子メールが侵害されると、悪意のある攻撃者はネットワーク、データベース、サードパーティベンダーなどの組織のリソースにアクセスできるようになります。DMARCは、電子メールドメインを監視・制限するための主要な手段です。
送信ドメインのセキュリティ対策を講じていない大量送信者が急増しているため、悪意のある攻撃者はより巧妙に身を隠せるようになっています。GoogleもYahoo!も、スパムやフィッシングのトラフィック増加に対応しており、不要なメールに溢れかえることなく、受信トレイを有効に活用できるようにすることを目指しています。
デジタルマーケティングサービス、ニュースレター、CRMなど、顧客に代わってメールを送信する多くのSaaSプラットフォームは、受信トレイへの到達率がサービスの有効性を直接反映するため、配信率向上のベストプラクティスに多大な注力を注いでいます。YahooとGoogleによる今回の取り組みにより、これらのプラットフォームは、SPFレコードの正確性の確保、DKIM署名、DMARCに関する推奨事項の提供など、オンボーディングプロセスにDMARCのベストプラクティスを取り入れることへの関与をさらに深めることになりました。
アッシュ・モリン、dmarcian アメリカ地域 導入担当ディレクター
また、これにより、顧客への啓発活動に対する責任も増大しています。 したがって、ドメイン所有者とサードパーティのサービスプロバイダーの双方が、それぞれの組織を最大限に支援できるよう、DMARCを理解するための支援を受けることが不可欠です。私たちは皆、この課題に共に立ち向かわなければなりません。今こそ、これまで以上に。
生態系への影響
世界最大級のメール受信サービスプロバイダー2社によって主導されたDMARCの送信者要件は、メールエコシステムに関わる各社がこの業界標準に準拠するよう促しました。もう1つの大手メール受信サービスプロバイダーであるマイクロソフトも、同様の送信者要件の適用を開始しています。
ドメイン所有者に代わってメール配信を行うメールサービスプロバイダー(ESP)も、DMARCおよびその実証済みの認証プロトコルであるSPFや DKIMの機能を確実に動作させるため、顧客のニーズに合わせて対応を進めています。これら いわゆる、いわゆる「送信元」とは、他者に代わってメールを送信するためのインフラを持つ企業のことです。これには、ESP、インターネットサービスプロバイダー、およびサポート/チケットシステム、決済プロバイダー、EC事業者向けサービスなどのその他のサービスが含まれます。
メールプロバイダーがどこであれ、すべてのユーザーには、可能な限り安全で安心な利用環境が保障されるべきです。メールが相互につながり合う現代において、それを実現するには、私たち全員の協力が必要です。
マルセル・ベッカー、Yahoo! プロダクト担当シニアディレクター
次は?
GoogleおよびYahoo!による2024年の要件では、DMARCポリシーを p=noneに設定する必要があるという要件が含まれています。これにより、特定のドメインを名乗ってメールを送信している送信元を監視することは可能ですが、配信自体には影響を与えません。これはDMARC導入の第一段階ですが、フィッシングやドメインの悪用に対する保護機能は提供しません。
dmarcianでは、この急増期に流入したドメインの大部分が p=noneの状態に留まっており、GoogleやYahooがガイドラインを更新し、より強力な適用を要求するまでは、この状態が続く可能性が高いと見ています。今年、基本的な要件を満たすのに苦労した組織もある中、組織が自社に代わって送信している有効な送信元を特定するプロセスを進めるにつれ、さらなる作業の波が予想されます。
DMARCの普及を推進するという当社の使命の一環として、dmarc.ioにて、世界最大かつ最も包括的な送信者リソースを構築しました。この無料で自由に利用できるデータベースには、世界中の何千もの送信者が掲載されており、DMARCおよび関連技術であるSPFやDKIMへの対応状況に関する詳細な情報が記載されています。この情報は、当社のDMARC管理プラットフォームに搭載された強力な送信元分類エンジンに活用され、お客様のメールドメインの正当な利用を特定する作業を大幅に容易にします。
GoogleとYahoo!の要件から得られる教訓の一つは、DMARCという技術が、専門のIT技術者やサイバーセキュリティの専門家の領域から、マーケティング部門や中小企業の経営者にも影響を及ぼすものへと移行しつつあるという点だ。
こうした変化に対応するため、dmarcianは無料の教育リソースを提供するとともに、このダイナミックな変化を反映させるべく、サービスの継続的な改善に取り組んでいます。私たちは、メールをより良いものにするために尽力されている皆様の業務を、少しでも楽にするお手伝いをしたいと考えています。
当社の無料DMARCリソースをご覧ください:
私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
