2024年2月から、 Google のガイドラインにて宣言されているメール送信者の要件が適用となり、 DMARCやSPF、DKIMの設定が適切に行われていないドメインからのメールは、 Gmail および Google Workspace のアカウントに対して配信されなくなります。

このガイドラインはかなり前から話題になっており、既に対応済みの方も多いかとは思いますが、弊社のお客様でも先日この件の対応を行いましたので、DMARCやSPF、DKIMについて解説しつつ、対応内容をまとめていきます。

DMARCやSPF、DKIMとは

これらは全て、電子メールが正当なものであるかを認証・検証するための仕組みです。

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、電子メールが正当な送信者から送られたものであることを確認し、不正な送信を防ぐための技術規格です。

DMARCはSPF（Sender Policy Framework）およびDKIM（DomainKeys Identified Mail）の認証結果を組み合わせ、その上でさらに異常検知時のポリシーの適用ルールとレポーティング機能を提供します。

SPFは電子メールを送信するサーバーのIPアドレスが、そのドメインの送信者として正当に許可されているかを確認するためのものです。

DKIMは電子メールが送信途中で改ざんされていないことを保証するため、メールにデジタル署名を追加するものです。

DMARC/SPF/DKIMの重要性

インターネット上でのメール送信では、送信者の身元を確認することが非常に重要です。

DMARC、SPF、DKIMは、フィッシング詐欺やスパム、メール送信元のなりすましを防ぐための重要な技術です。

これらを適切に設定することで、受信者は送信者が正当であることを確認でき、不正なメールを検知、フィルタリングすることができます。

DMARC/SPF/DKIMが適切に設定されていない場合のリスク

これらの設定が適切に行われていない場合、送信するメールのドメイン名を偽装したフィッシング攻撃やスパムメールが送信されるリスクがあります。

受信者はこれらの不正なメールを正規のドメインから送信されたものと認識し、受信者の個人情報漏洩や金銭的な損失につながる可能性があります。

また、ドメインの評価が損なわれ、そのドメインから送信されるメールが迷惑メールとして判定されるなどの影響も懸念されます。

DMARC/SPF/DKIMを適切に設定することのメリット

これらの設定が適切に実施されている場合、対象となるドメインからの不正なメール送信の可能性を大幅に減少させることができます。

これにより、そのドメインならびに組織そのものの信頼性が向上し、メール配信の成功率が高まります。

さらに、DMARCポリシーによるレポート機能を利用することで、メールの送信状況や送信したメールの到達状況をモニタリングし、セキュリティポリシーの遵守状況を評価することや、送信したメールの判定結果を定量的に把握することが可能になります。

Google Workspace における DMARC/SPF/DKIM の設定方法

Google Workspace でこれらの設定を有効化するのは簡単です。

SPF を使用してなりすましと迷惑メールを防止する – Google Workspace 管理者 ヘルプ

上記ページにある通り、まず最初に SPF を有効化する必要があります。

SPF の適用は、対象のドメインを管理している DNS レコードに対して、特定の TXT レコードを追加するだけです。

また、 DKIM も同様に下記の手順に従って、表示される文字列を TXT レコードとして DNS に登録すれば適用完了です。

ドメインで DKIM を有効にする – Google Workspace 管理者 ヘルプ

その後、 DMARC を有効にする必要があります。

DMARC を使用してなりすましと迷惑メールを防止する – Google Workspace 管理者 ヘルプ

DMARC では、 SPFやDKIMによって異常判定されたメールを、ポリシーに従って受信サーバー側で振り分ける指示を出します。つまり、 SPFやDKIMが未設定状態で DMARC を先に指定してしまうと、以降の全てのメールに対してセキュリティポリシーによる振り分けが行われる可能性があります。

そのため、 DMARC は必ず最後に設定してください。

Google Workspace で DMARC を設定する際の注意点

弊社のお客様環境でも発生した事象となりますが、 SPFやDKIMの設定後、すぐに DMARC を設定しても Google Workspace のメールアドレスから送信されるメールに対して、 DMARC は即座に反映されません。

Google のページにも “SPF と DKIM を設定してから DMARC を設定するまでに、48 時間の間隔を空けてください。” とある通り、 SPF/DKIM が設定されてから、私の観測では 24 時間以上経過してから DMARC設定が有効になりました。

これはおそらく、 DMARC が SPF/DKIM よりも先に適用されてしまい、そのドメインからのメールが全て不通となる自体を避けるための措置だと思われます。

そのため、DMARCを設定後に「有効にならないな」と思っても、24時間〜48時間程度あけてから確認することで、有効になる場合があります。

まとめ

DMARC、SPF、DKIMの適切な設定は、電子メールのセキュリティを確保し、ドメインのなりすましなど不正なメール送信を防ぐために非常に重要な要素です。

特にGoogle WorkspaceやGmail宛のメールは、これらの設定が適切に行われていない場合、自社からのメールが届かないといったリスクもあります。

そのため、これらの適切な設定を行うことで、不正なメールから組織を守り、信頼されるコミュニケーションを確立しましょう。

弊社のご紹介

弊社ではIT技術顧問というサービスを提供しております。

このような DMARC/SPF/DKIM の設定など、社内システム/ツールの保守運用の一環として承ることも可能となっておりますので、よろしければご利用ください。

IT技術顧問｜株式会社ウィズワンダー (withwonder.co.jp)