メインコンテンツへスキップ
GmailとYahooのDMARC要件の理解

GmailとYahooのDMARC要件の理解

2024年1月2日
エコシステムニュースメール技術セキュリティ・インサイト

2025年11月6日 更新
以下でご覧いただけるように、Googleは2023年に発表した送信者要件の適用に関する次の段階を発表しました

当社のドメインチェッカーをご利用いただくと、DMARCポリシーの適用レベルや、SPFおよびDKIMレコードの状態を素早く確認できます。要件を満たすためのサポートが必要な場合は、お気軽にご相談ください。お問い合わせいただくか30日間の無料トライアルを開始してください。

2025年5月2日 更新
MicrosoftはGmail、Yahoo、Apple Mailに続き、同社の一般向けメールサービスであるoutlook.com、hotmail.com、live.comにおいて、大規模な送信者(1日あたり5,000通以上のメールを送信するユーザー)に対してDMARCの適用を義務付けることになりました。

2025年5月5日より、マイクロソフトは、大量送信者の要件を満たさない電子メールを拒否するようになります

元記事:

2023年10月3日、GoogleとYahooは、2024年2月より、大量メール送信者はDMARCを導入しなければならないという要件を発表しました。 

「誰もがDMARCを利用できるようにする」という私たちの使命の一環として、皆様をサポートいたします。このガイドでは、お客様のメールインフラの規模や複雑さに関わらず、役立つ情報をご提供します。 

どのような人々が影響を受けるのでしょうか?

2024年2月より、世界最大級のメールボックスプロバイダーのいずれかに対して1日5,000通以上のメッセージを送信する場合、ご利用のメールドメインのDNSにDMARCポリシーが設定されている必要があります。これらのメッセージはDMARCアラインメントに合格しなければ、配信されません。これには、Constant ContactやMailChimpなどのサードパーティのメールサービスプロバイダー(ESP)が、お客様のメールドメインを使用して組織に代わって送信するメッセージも含まれます。

注:Google Workspaceでドメインをホスティングしている場合、社内メッセージの送信量もこの1日あたりの制限にカウントされる可能性があります。

なぜこんなことが起きているのでしょうか?

GoogleとYahoo!はともに、電子メールの重要性を認識しており、その安全性とセキュリティを強化するための取り組みを進めています。メールの検証に注力することで、不要なスパムや悪意のある送信者がユーザーの受信箱に届くのを防ぐ一助となっています。 

DMARCを導入しているドメインからメールを送信することには、受信トレイへの到達率を向上させるという追加の利点があります。DMARCレコードは、ISPが送信者を「確立されたメール標準を遵守し、スパムに関するリスクを低減することに真剣に取り組んでいる」と認識するのに役立ちます。 

この変化にどう備えればよいでしょうか?

まずは、ご自身のメールドメインの状態を確認することから始めるとよいでしょう。当社のドメインチェッカーは、DMARCの準拠状況に加え、その基盤となっているオープンソースプロトコルであるSPFおよびDKIMの状態も確認します。SPFとは、そのドメイン経由でメールを送信する権限を持つサーバーやサービスのリストであり、DKIMとは、メールの内容が改ざんされていないことを確認するための改ざん防止シールのようなものです。 

DMARCは、メールが送信先へ届く過程でレポートを生成することで、自社ドメインから送信された不正なメールをどのように処理すべきかを外部に通知します。これらのレポートは、dmarcianの強力なDMARC管理プラットフォームに送信することができ、これによりメールドメインの利用状況を可視化し、管理することが可能になります。このプラットフォームは、DMARC準拠に向けた各段階、さらにはその先においても、実践的な知見を提供します。

社内の(あるいは社外の)IT担当者がメールやDNSの管理を担当している場合、dmarcianは、堅牢なツールと豊富なリソースライブラリを通じて、そのプロセスのあらゆる段階をサポートいたします。 

社内にIT担当者がいない場合でも、dmarcianの業界最高水準のプラットフォームと技術的知見を活用し、DMARCを効果的かつ正確に導入できるMSP(マネージド・サービス・プロバイダー)やパートナーのネットワークをご用意しています。 

30日間の無料トライアルを始めましょう

技術要件

世界最大級のメールプロバイダーのいずれかに対して、1日あたり5,000通以上を送信する方は、以下の手順に従ってください:

DNSにDMARCポリシーを設定しておく必要があります。GoogleやYahoo!の場合、p=none モニターモードポリシーp=none 、これはセキュリティ制御を最大限に活用するための第一歩に過ぎません。

  • まず、当社のDMARCインスペクターを使用して、DMARCレコードが設定されているか確認してください。
  • DMARCレコードをお持ちでない場合は、当社の DMARCレコードウィザード 作成するには。
    • ほぼすべてのDMARCプロジェクトは、 p=noneから始まります。ウィザードのデフォルト設定はこの値です。 
    • その後、DMARCレコードをDNSに公開する必要があります。
  • DMARCの監視機能を有効にすることは、コンプライアンス違反のメール送信元があるかどうかを把握するための第一歩です。 
  • データを理解するには、可視化ツールが必要になるでしょう。30日間の無料トライアルをご利用いただければ、ご自身のドメインに関する洞察を得られるほか、導入プロセスについてもサポートいたします。

メッセージはDMARCに合格する必要があります。メッセージがDMARCアラインメントに合格するには、次の2つの方法のいずれかがあります。

  • メッセージは、メッセージの「From:」ヘッダーと同じドメインを使用しているため、DKIMの検証を通過します。これは、メールヘッダー内の「d=」の値に相当します。
  • メッセージは、メッセージの「From:」ヘッダーと同じドメインを使用しているため、SPFを通過します。これは、メールヘッダー内の「Return-Path」の値です。このヘッダー値は、「バウンスドメイン」、「エンベロープ・フロム」、または「MailFrom」と呼ばれることもあります。
  • この2つの選択肢のうち、DKIMは転送時にも有効性が保たれるため、より簡単で信頼性の高い方法と言えます。GoogleやYahooのポストマスターが推奨しているのと同様に、dmarcianもDKIMを優先するアプローチを推奨しています。ただし、有効なSPFレコードが存在している必要があります。

送信元のIPアドレスには、PTRレコードが設定されている必要があります。これは「フォワードDNSおよびリバースDNS」や「ホスト名」とも呼ばれます。

  • 独自のメールサーバーを運用している場合は、各IPアドレスに対応するPTRレコードがDNSに設定されていることを確認する必要があります。
  • 自社でメールサーバーを運用していない場合、その責任は利用しているメールサービスプロバイダーに委ねられます。DMARCは、ドメインが誰によって、どのような目的で、どのようにメール送信に利用されているかを監視する手段であるため、基本的なDMARCモニタリング(p=none)を行うことで、利用しているメールサービスプロバイダーが規定を遵守しているかを確認することができます。
  • 正規のメールサーバーにPTRレコードがないことはめったにありません。悪意のある攻撃者は、メールを送信するために、接続された他のデバイス(スマートデバイスや家庭用モデムなど)を乗っ取る方法を習得しています。PTRレコードが存在しないことは、受信者にとって、そのIPアドレスがメール送信用に適切に設定されていないことを示す明確なサインとなります。

スパムを送らないでください

  • Yahoo!では、配信を承諾した受信者のみにメッセージを送信するようお願いしています。登録時に定められた配信頻度を遵守し、リストを購入しないようにしてください。
  • Gmailでは、スパム苦情率を0.3%未満に抑えることが求められます。Gmailでは、スパム率を把握できるよう、無料のレピュテーションサービスも提供しています。

メッセージの書式を正しく設定してください:電子メールは、RFC 5322 で定められた基準を満たす必要があります。

gmail.com や yahoo.com を偽装しないでください。Google と Yahoo は、独自の DMARC ポリシーの適用を強化し始めています。「@gmail.com や @yahoo.com のアドレスとして」送信できるメールサービスを利用している場合、配信に重大な問題が生じる可能性があります。最善の策は、プロバイダーにサポートチケットを送信し、具体的にどのようなリスクがあるかを正確に把握することです。

ワンクリックでの配信停止機能を実装する:メールを確実に配信するためには、2024年6月までにワンクリックでの配信停止機能を実装する必要がありますYahoo!によると、ワンクリックでの配信停止機能は、ユーザーの要求から2日以内に処理される必要があります。また、Googleは、メッセージ本文に明確に目立つ配信停止リンクを記載する必要があるとしています。

送信者ガイドラインの適用開始日

Yahooによると、今年上半期を通じて順守状況を監視しながら、送信者ガイドラインの適用を段階的に進めていくとのことです

  • 2024年2月より、Yahoo!は以下の基準を適用します。 すべての送信者、具体的には:
    • メールの適切な認証
    • 苦情発生率を低く抑える

  • 2024年2月より、以下の要件について 一括送信者 より厳格化され、具体的には以下の通りです:
    • 2024年6月より、ワンクリックで簡単に配信停止できるようになります
    • SPFとDKIMの両方による認証
    • DMARCポリシーの公開

Googleによる送信者規制の実施日は以下の通りです:

  • 2024年2月より、送信者要件を満たしていない大量送信者に対し、要件に準拠していないメールトラフィックのごく一部について、一時的なエラー(エラーコード付き)が表示されるようになります。これらの一時的なエラーは、送信者がガイドラインに準拠していないメールトラフィックを特定し、準拠していない原因となっている問題を解決できるよう支援することを目的としています。

  • 2024年4月より、Googleは基準を満たさないメールトラフィックの一部を拒否し始め、その拒否率を徐々に引き上げていきます。例えば、送信者のトラフィックの75%が当社の要件を満たしている場合、Googleは基準を満たさない残りの25%のトラフィックの一部を拒否し始めます。

  • 以下の要件の施行は2024年6月から開始されます:
    • ポリシーが「none」(p=none)に設定されたDMARCレコード。
    • マーケティングメッセージのワンクリック配信停止
    • ユーザーから報告されたスパム率が0.3%を超える場合、または送信者が認証要件やワンクリック配信停止要件を満たしていない場合、緩和措置は適用されません。
30日間の無料トライアルを始めましょう

Gmail/YahooのDMARC要件に関するよくある質問

なりすましメールは、5,000通という一括送信制限の対象になりますか?

はい。「なりすましメールも、当社の執行措置の対象となるメールとしてカウントされます。なりすまし問題を抱えている場合は、いずれにせよDMARC執行ポリシー(p=quarantine p=reject)を導入すべきです。」 —Yahoo

サブドメインも要件の対象となりますか?

はい。DMARCポリシーが公開されている組織レベルドメインのすべてのサブドメインは、DMARC検証の対象となります。これらのサブドメインから送信されたメールがポリシーに準拠していない場合、影響を受けることになります。サブドメインもDMARC導入の対象範囲に含まれるため、無視すべきではありません。

スパム率を確認するにはどうすればよいですか?

Googleの無料で便利な「Postmaster Tools」が、そのお手伝いをします。

要件を満たさなかった場合、どうなるのでしょうか?

「要件を満たしていない場合、メールがスパムフォルダに振り分けられたり、受信拒否されたりする可能性があります。メールが受信拒否された場合、その理由に関する情報を含む特定のエラーコードが返されます。」 —Yahoo

DMARCは配信率をどのように向上させるのでしょうか?

DMARC を使用すると、送信者は、自社ドメインから送信されていない可能性のあるメールに対して受信者がどのように対応すべきかを指定できます。送信者が公開したポリシーに応じて、メールは拒否されたり、スパムフォルダに振り分けられたり、あるいは何の処理も行われない場合があります。DMARC は主に、第三者があなたのドメインを偽装する行為からあなたを守ります。もしそれが現在抱えている問題であるならば、配信率の向上にもつながるでしょう。

小規模な送信者に対する要件はありますか?

以下はGoogleからの情報です:

2024年2月1日より、Gmailアカウント宛てにメールを送信するすべての送信者は、本セクションに記載されている要件を満たす必要があります。

  • ドメインに対してSPFまたはDKIMメール認証を設定してください。
  • 送信元のドメインまたはIPアドレスに、有効なフォワードDNSレコードおよびリバースDNSレコード(PTRレコードとも呼ばれます)が設定されていることを確認してください。詳細はこちら
  • メールの送信にはTLS接続を使用してください。Google WorkspaceでTLSを設定する手順については、「メールの送信に安全な接続を必須にする」をご覧ください。
  • Postmaster Toolsで報告されるスパム率を0.10%未満に保ち、スパム率が0.30%以上になることがないようにしてください。スパム率の詳細についてはこちらをご覧ください
  • メッセージをインターネットメッセージフォーマット規格(RFC 5322)に従ってフォーマットする。
  • Gmailの「From:」ヘッダーを偽装しないでください。GmailではDMARC隔離ポリシーの適用が開始されます。Gmailの「From:」ヘッダーを偽装すると、メールの配信に影響が出る可能性があります。
  • メーリングリストや受信ゲートウェイなどを通じて定期的にメールを転送する場合は、送信メールにARCヘッダーを追加してください。ARCヘッダーは、そのメッセージが転送されたものであることを示し、あなたを転送者として特定します。また、メーリングリストの送信者は、送信メッセージに、そのメーリングリストを指定する「List-id:」ヘッダーを追加する必要があります。

そして、ヤフーからの情報によると:

ご参考までに、2024年2月より、 すべての送信者に対して以下の基準を適用いたします:

  • メールの適切な認証
  • 苦情発生率を低く抑える

この会話を続けたいですか?dmarcianフォーラムへどうぞ。

DKIMDMARCGoogleSPFYahoo

関連記事