米Google（グーグル）は2023年10月に「メール送信者のガイドライン」のアップデートを公表し、24年2月から試験的に運用を行い、4月から適用を開始した。ガイドラインでは、送信ドメイン認証技術への準拠や、ワンクリック登録解除の実装などが求められている。対応していない場合は、個人用「Gmail」アカウントの「@gmail.com」「@googlemail.com」にメールが届かなくなるとされていることから、特にECをはじめとしたBtoCビジネスでは、大きな影響が出ると予想される。ガイドラインに対応していくためのポイントを考察する。
（取材・文／岩田晃久）
 

送信件数により異なる要件

　電子メールにおいては、不正メールや迷惑メールが長年問題視されており、最近はなりすましメールによる被害が拡大傾向にある。グーグルはガイドラインを強化、明確化することで、メールによるセキュリティー被害を防止する狙いだ。

　今回のガイドラインは、Gmailアカウントに対して1日に送信するメールが5000件未満か、5000件以上かで適用される要件が異なる。共通要件としては、▽送信元のドメインまたはIPアドレスに、有効な正引きおよび逆引きDNSレコードがある▽「Postmaster Tools」で報告される迷惑メール率を0.3％以下にする▽メッセージ形式がRFC 5322標準に準拠している▽Gmailのなりすましをしない（Fromアドレスを@gmail.comとしてメール送信しない）▽TLS接続してメール送信する―などが挙げられる。

　特に注意したいのが、迷惑メール率に関する要件だ。Postmaster Toolsはグーグルが提供するツールで、メールの配信エラーや、迷惑メールが報告された数などを確認することができる。迷惑メール率を低い状態を維持するために、信頼性の低いサイトのURLを記載しないなど、スパムメールと疑われる内容にしないといった基本的なことや、後述する送信ドメイン認証技術に対応していくことが有効となる。

　1日に5000件以上のメールを送信する場合は、上記の要件に加えて、▽SPF（Sender Policy Framework）レコードおよびDKIM（DomainKeys Identified Mail）署名の設定（5000件未満の場合は、SPFまたはDKIM署名が必要）▽DMARC（Domain-based Message Authentication, Reporting and Conformance）を設定する▽マーケティング／配信登録メールをワンクリックで配信停止できるようにする―の各点への対応も求められる。注意したいのは、5000件の中にサブドメインも含まれることだ。

　4月からはSPF、DKIM、DMARCに対応していないメールが、6月からはワンクリック配信停止を施していないメールが徐々に届かなくなっているとされる。
 
　NRIセキュアテクノロジーズのクラウドセキュリティ事業部の斉藤弘之・グループマネージャーは「SPF、DKIM、DMARCの三つの送信ドメイン認証技術に対応しなければならないことが、ガイドラインの大きなポイントだ」と述べる。ワンクリック配信停止についても「ガイドラインで強く書かれているため、強制力が高くなっていく可能性がある」との見解を示す。