ポッドキャスト:Google/YahooのDMARC要件に関する考察
当社のデプロイメント担当ディレクターであるアッシュ・モリンが、Mailgunのポッドキャスト『Email’s Not Dead』の収録に参加し、GoogleとYahooが2024年2月1日から適用を開始したDMARC送信者要件について議論しました。
アッシュは、『Email’s Not Dead』のシーズン2第7話「スプーフィング、フィッシング、そしてDMARCへの愛」およびシーズン3第5話「DMARCの実装」にゲスト出演しました。
シーズン5の第4話では、お馴染みの司会者ジョナサン・トーレスとエリック・トリニダードがアッシュをゲストに招き、Yahoo!とGoogleによる新しいメール認証基準の更新について、彼がこれまで見てきた状況や今後の見通しについて解説してもらいました。
「発表直後から、多くの問い合わせが寄せられるようになりました。既存の顧客からの質問だけでなく、エコシステム内からも寄せられました」とアッシュ氏は語った。 「『それはどういう意味なのか?』という声が多数寄せられました。そしてその直後には、『規格に変更はあるのか?もしないなら、現在の状況はどうなっているのか?実際に問題ないのか?』といった質問が続きました。DMARCを導入し、p=reject 組織でさえも、p=reject 。」
エリックは、要件に関するニュースを聞いたアッシュに、その感想を尋ねた。「私が本当に気になっているのは、既存の標準規格について何か新しい取り組みをしているのかということです。というのも、人々がその標準を理解するだけでなく、送信者として実装するまでに何年もかかったからです」とアッシュは述べた。 「他にも、代わりにメールを送信してくれるシステムやベンダー、サードパーティのサービスプロバイダーがたくさんある。彼らにとってはどういう意味になるのか?結局のところ、私たち全員が一つだけ同意していることがある。それは、『よし、DMARCが必要だ』ということだ。」
メール送信にサブドメインを利用することや、それらのサブドメインを保護することについて尋ねられた際、アッシュ氏は、これはdmarcianが常に推奨しているアプローチであり、セグメンテーション戦略のベストプラクティスに当てはまると述べた。「メールの送信フローをセグメント化することは、さまざまな理由から非常に重要です。セキュリティもその一つですが、企業が必ずしもそうするとは限りません。 ご存知の通り、特に長年運営されている組織――MailgunやAmazon、Microsoftといった大手企業――の場合、一見すると、そうしたドメインを見ると『ああ、このドメインは昔からよく見かけるな』と思ってしまいます。ですから、彼らはできるだけそのドメインから送信したいと考えるのです。しかし、それはお勧めできません。 「すべての卵を同じカゴに入れるべきではない」と言いますが、これを実質的にやっていることになります。そして、もし一つの卵が腐っていれば、カゴ全体を台無しにしてしまう可能性があります。馬鹿げた例えだと分かってはいますが、残念ながら、これは事実なのです。」
送信者要件が何を意味するのか、そして絶えず変化し続けるメール環境に対して人々がどのように対応しているのかについて、引き続き語られる彼らの対談は、ぜひお見逃しなく。
私たちがサポートします
メールセキュリティのエキスパートチームを擁し、「ドメインセキュリティを通じてメールとインターネットの信頼性を高める」というミッションを掲げるdmarcianは、組織が保有するドメイン資産の評価から、長期的なDMARCの導入・管理にいたるまで、万全の体制でサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
