GoogleおよびYahoo!の送信者要件が欧州企業に与える影響

2024年2月、Google とYahooは、1日あたり5,000通以上のメールを送信する組織（いわゆる大量メール送信者）に対し、一連の段階的な措置の実施を開始しました。これらの措置は、特にドメインベースのメッセージ認証・報告・準拠（DMARC）に関連するものです。

GoogleとYahoo!は、この取り組みを通じて、インターネット上で送信されるスパムやなりすましコンテンツの総量を削減することを目指しており、特に組織のメールインフラの認証に重点を置いています。スパム対策とメールセキュリティの向上を目的としたこの取り組みでは、Sender Policy Framework（SPF）、DomainKeys Identified Mail（DKIM）、およびDMARCの各規格が採用されています。

本記事では、GoogleおよびYahoo!の要件仕様について解説し、欧州の企業に及ぼす潜在的な影響に焦点を当てています。特に、欧州の電子メール環境全体でDMARCを導入する際の課題や、規制への準拠に必要な手順について取り上げています。

• 欧州のメール送信者への影響：詳細な分析
• DMARC導入における課題
  • 技術
  • 各国のデータ保護法
• GDPRとの関連性
• 欧州におけるDMARCのガイドラインと義務化
  • 出典
  • 指針を公表している国々
  • ガイドラインを公表している国
• 変化への備え：コンプライアンス遵守に向けた手順

欧州のメール送信者への影響：詳細な分析

ヨーロッパで人気のメールサービス

ヨーロッパのメールサービス市場には、Gmailと並んで人気のあるGMX、T-Online、Orange、BT Internetなどのプロバイダーが存在します。顧客とのコミュニケーションにこれらのプラットフォームを利用している企業にとって、新しいポリシーの遵守は極めて重要です。

例えば、GMXやT-Onlineといったメールプロバイダーは、ドイツで高い評価を得ています。これらのサービスを利用するドイツ企業は、メールの配信率とレピュテーションを確保するために、自社のメール運用をDMARCに準拠させる必要があります。もしドイツの小売企業がDMARCを適切に導入していなければ、マーケティングメールが拒否されたりスパムとしてマークされたりする可能性があり、顧客へのリーチに重大な影響を及ぼす恐れがあります。

もう一つの例はフランスで、ここでは「Orange」が広く利用されているメールサービスです。フランスの企業、特にEコマース企業は、顧客との円滑なコミュニケーションを維持するために、DMARC規格に準拠する必要があります。準拠していない場合、注文確認や発送通知といった重要な取引関連メールがフィルタリングされてしまい、顧客の不満を招き、ひいてはビジネスチャンスの喪失につながる恐れがあります。

欧州全域に事業を展開する多国籍企業は、地域ごとの事情に合わせて複数のメールシステムを利用している場合があります。例えば、英国の事業ではBT Internetを、オランダではKPNを利用しているといった具合です。こうした多様なシステム全体でDMARCへの準拠を確保することは困難を伴う場合があり、各メールプロバイダーの固有の要件を満たすためには、連携した取り組みや、場合によっては異なる設定が必要となります。

スペインやイタリアなど、一部の国では、DMARCに対する認知度が低い可能性があります。こうした認知度の低さは、中小企業（SME）における導入の遅れにつながり、その結果、メールのなりすましやフィッシング攻撃に対する脆弱性が高まる恐れがあります。

DMARC導入における課題

技術

組織のメールインフラにDMARCを導入するのは、DKIMとSPFという2つのプロトコルに依存しており、各メッセージの「From」アドレスに表示されるメールドメインと、いずれかのプロトコルが「整合」している必要があるため、複雑な作業となる場合があります。

---

---

欧州の一部の地域では、DMARCの利点や必要性について、さらなる認識を高めることが強く求められている可能性があります。これは、従来からテクノロジーに精通していない分野において特に当てはまります。例えば、イタリア各地にある小規模な図書館のネットワークでは、DMARCが電子メール通信をどのように保護できるかを知らず、フィッシングやなりすまし攻撃に対して無防備な状態にある可能性があります。

さらに、欧州の企業の多くは中小企業であり、リソースの制約から、こうした変化への適応が困難となる可能性があります。こうした企業は、SPF、DKIM、DMARCプロトコルを効果的に導入するために、指導や外部からの支援を必要とする場合があります。

社内にITの専門知識を持たない組織では、DMARCの導入に苦労する可能性があります。dmarcianでは、誰もが簡単にDMARCを利用できるようにすることを使命としており、導入プロセスのあらゆる段階をサポートするための技術的専門知識を有しています。また、組織のDMARC導入を支援できる戦略的パートナーのネットワークも構築しています。

各国のデータ保護法

データ保護法が厳格な国では、企業はDMARCの導入を現地の規制に適合させるために支援を必要とする場合があります。DMARCで求められるデータの報告や取り扱い方法は、GDPRやその他の現地のデータ保護法と抵触する可能性があり、コンプライアンス上のジレンマを引き起こす恐れがあります。

DMARCレポートにおける重要なポイントの一つは、集計レポートと詳細レポートの違いです。

• 集計レポート（RUA）：ドメインを使用したメールトラフィックの包括的な概要を提供し、個々のメールに関する詳細な情報ではなく、DMARCチェックの合格率・不合格率に関するデータを表示します。通常、毎日生成され、ドメイン所有者はこれを利用して、長期的な視点からメール認証戦略の有効性を評価することができます。

• フォレンジックレポート（RUF）：DMARC認証に失敗した個々のメールについて、ヘッダー情報や失敗理由など、詳細な情報を提供します。ただし、フォレンジックレポートには個人を特定できる情報（PII）を含む可能性のある詳細情報が含まれるため、プライバシー上の配慮が必要です。このため、多くのレポーターはフォレンジックレポートを生成していません。

GDPRとの関連性

新しい電子メールに関する要件は、特に電子メール通信におけるデータ処理やプライバシーに関して、欧州のGDPRと重なる部分があります。GDPRの同意に関する要件は、企業がメーリングリストやエンゲージメントの追跡を管理する方法に影響を与える可能性があり、DMARCポリシーやGDPRの規定に準拠するためには慎重な対応が求められます。

GDPRの施行状況はEU各国で大きく異なり、規制の適用においてより積極的かつ厳格な国もあります。特にスペイン、アイルランド、イタリア、ドイツといった国々は、GDPRの施行に積極的に取り組んでいます。

例えば、注文確認、発送通知、およびプロモーションキャンペーンのために顧客のメールアドレスを収集している欧州のオンライン小売業者を例に挙げよう。GDPRの下では、この小売業者は、個人データの機密性と完全性を確保する責任を負っており、これには、不正または違法な処理、および偶発的な紛失、破壊、または損傷からの保護も含まれる。

EU全域におけるGDPRの執行方針は、啓発と制裁措置のバランスを重視するものであり、多くの当局は、特にGDPR導入当初の数年間において、コンプライアンスを促進するためのガイダンスやツールを提供することを優先している。

欧州におけるDMARCのガイドラインと義務化

欧州ではDMARC導入に関する統一的な指針は存在しないものの、欧州委員会は、あらゆる企業におけるメッセージングインフラの改善に向けた提言を公表した。

出典：

• EUのインターネット標準
• UEインターネット標準 – 方法論
• 電子メール通信のセキュリティ基準 ― EUにおける導入状況の分析― 2024年3月

欧州におけるDMARC導入への取り組みには対照的な傾向が見られます。一部の国では法的義務として導入を義務付け、電子メールセキュリティ対策の統一を図っている一方、他の国では単なる推奨にとどまっているため、導入状況はばらつきが見られます。以下は、本記事執筆時点でDMARC導入に関するガイドラインや義務化措置を導入している欧州諸国のリストです。

指針を公表している国：

• イギリス
• オランダ
• デンマーク

ガイドラインを公表している国：

• 欧州連合
• フランス
• ドイツ
• アイルランド
• スコットランド

---

---

変化への備え：コンプライアンス遵守に向けた手順

企業は円滑な移行を図るため、今から準備を始めるべきです。主な対策としては、DMARC、SPF、DKIMの設定や、Google Postmasterなどのツールを用いたコンプライアンス状況の監視が挙げられます。また、スパム率を規定の閾値以下に抑えることや、欧州各国におけるメール通信の細かな違いを考慮することも重要です。

要件の概要

• ドメインのDNSには、DMARCポリシーが設定されている必要があります
• メッセージはDMARCに準拠している必要があります
• 送信元のIPアドレスには、PTRレコード（DNSポインタレコードとも呼ばれる）が設定されている必要があります。
• スパムを送らないでください
• メッセージの書式を正しく設定してください
• gmail.com や yahoo.com を偽装しないでください
• ワンクリックで配信停止できる機能を追加する

---

---

こうした変化に対応することは、効果的なメールコミュニケーションを維持し、配信トラブルを回避するために不可欠です。今から準備を始めることで、企業はコンプライアンスを遵守しつつ、顧客への効果的なリーチを継続することができます。

GoogleおよびYahoo!の要件の適用は段階的に行われ、まずは要件を満たさない大量送信トラフィックのごく一部に対して一時的な配信停止措置を講じることから開始されます。今後1年間で、この措置は要件を満たさないメールの完全な受信拒否へと移行していく予定です。GoogleおよびYahoo!は、送信者がこれらの新しい基準に適応できるよう、引き続き最新のガイドラインや支援を提供していきます。

私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。

---

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。