Gmailの新しいセキュリティ要件とは?メールセキュリティ対策で重要なSPF、DKIM、DMARCについて詳しく解説！

みなさん、こんにちは。

近年、サイバー攻撃の約90％がメールを通じて行われているといわれており、企業にとってメールセキュリティは無視できない重要な課題となっています。

特に、スパムやフィッシングメールからのなりすましを防いだり、送信されたメールの内容が改ざんされていないかを確認するためのセキュリティ技術は、企業が自社の信頼性を守るために欠かせません。

Google が提供するグループウェアGoogle Workspaceで使用できるメールサービスGmailでは、SPF、DKIM、DMARCといったセキュリティ技術の設定ができるため、ビジネスでも安心して活用できます。

本記事では、Gmailの新しいセキュリティガイドラインとSPF、DKIM、DMARCといったメールセキュリティ技術の仕組みについて詳しく解説します。

Google Workspaceを活用した社内のセキュリティ強化について、一度プロに相談してみたい方は、ぜひ弊社のサービスをご利用ください。

＼Googleツールを徹底活用したDX／

【2024年2月〜】Gmailの新しいセキュリティガイドライン

Gmailでは、2024年2月1日より、セキュリティ強化のため新しいガイドラインが適用されています。

これは、メールの安全性と信頼性を高めるための新要件で、企業が守るべきポイントが複数定義されています。

「すべての送信者に適用される要件」と「1日あたり5,000件を超えるメールを送信する送信者に適用される要件」の2つがありますので、順に確認してみましょう。

すべての送信者に適用される要件

以下の要件がすべての送信者に適用されます。

• SPFまたはDKIMのメール認証を送信元ドメインに設定する。
• 送信元のドメインまたはIPアドレスに有効なフォワードおよびリバースDNSレコード（PTRレコード）が設定されていること。
• メール送信にTLS接続を使用し、暗号化された状態で送信。
• GoogleのPostmaster Toolsで報告される迷惑メール率を0.3%未満に維持。
• メールがRFC 5322のInternet Message Format標準に準拠している。
• DMARCの「quarantine（検疫）」適用ポリシーを使用する。
• メーリングリストや受信ゲートウェイなどを通じて転送する場合、ARCヘッダーを追加。

1日あたり5,000件を超えるメールを送信する送信者に適用される要件

1日あたり5,000件以上のメールを送信する場合は、より厳格な要件が課されます。

• SPFおよびDKIMをドメインに設定し、DMARCも適用する。
• メーリングリストの送信者は、List-idヘッダーを追加。
• メールのFromヘッダーのドメインが、SPFやDKIMのドメインと一致していることが求められる。
• マーケティングメールでは、ワンクリックで登録解除できるリンクを表示し、ユーザーが簡単に配信解除を行えるようにする。

SPF、DKIM、DMARCといった難しい用語が出てきましたが、こちらは次章からわかりやすく解説します。

Google Workspaceを使用している企業で、ドメインをスクエアスペースで管理している場合、SPFやDKIMの設定が自動的に構成されていることが多いです。これにより、メールの信頼性やセキュリティが確保されます。

気になる方は管理者に確認してみると良いでしょう。管理者がいない場合は、弊社にてサポートも可能です。お気軽にお問い合わせください。

SPF（Sender Policy Framework）とは

SPF（Sender Policy Framework）は、特定のドメインから送信されるメールが、そのドメインの正規のサーバーから送信されたものかを確認する技術です。

SPFを設定すれば、信頼性の高い送信元からのメールであることの証明が行われるようになり、スパムやフィッシングメールからのなりすましを防ぐことができます。

・SPFの仕組み

SPFは以下のような仕組みで実行されます。

1. メールが送信される
2. 受信サーバーが、DNSサーバーからSPFレコードを参照
3. 受信サーバーが、送信元がSPFレコードに一致しているかを確認
4. 一致している場合、受信サーバーはメールを受信
   それ以外の場合、ブロックまたはスパム判定される

DKIM（DomainKeys Identified Mail）とは

DKIM（DomainKeys Identified Mail）は、送信されたメールの内容が改ざんされていないことを確認する電子署名技術です。

DKIMを設定すれば、受信者側はメールが正当な送信元から送信され、途中で改ざんされていないことを確認できます。

・DKIMの仕組み

DKIMは、以下のような仕組みで実行されます。

1. メールが送信される
2. 送信サーバーが秘密鍵で電子署名を付与
3. 受信サーバーがDNSサーバーに公開鍵を依頼
4. DNSサーバーから受信サーバーに公開鍵が付与され、署名を検証
5. メールが改ざんされていないことが確認できれば、正常に受信
   改ざんされている場合はブロックやスパムとして判定

DMARC（Domain-based Message Authentication, Reporting & Conformance）とは

DMARC（Domain-based Message Authentication, Reporting & Conformance）は、SPFやDKIMと連携し、メールの認証およびポリシーの適用を行う技術です。

SPFやDKIMの結果をもとに、メールを受信するか拒否するかを判断します。

・DMARCの流れ

DMARCは、以下のような仕組みで実行されます。

1. メールが送信される
2. SPFとDKIMの結果を参照し、認証チェックを実施
3. 認証が通過した場合は受信し、不正と判断される場合はポリシーに従って拒否または検疫

まとめ

いかがだったでしょうか。今回は、Google Workspaceで使用できるGmailの新しいセキュリティガイドラインとSPF、DKIM、DMARCといったメールセキュリティ技術の仕組みについてわかりやすく解説しました。

Gmailでは、SPF、DKIM、DMARCといった認証技術を設定することで、簡単な管理でセキュリティを大幅に強化できます。これらの技術を正しく設定することで、ビジネスの安全性を高め、不正ななりすましやフィッシング攻撃から組織を守ることが可能です。

Google Workspaceの活用で社内のDX化を進め、ビジネスのさらなる発展を目指しましょう。

社内のDX化に関して「自社では対応できない」と感じた場合は、専門家から支援を受けるのもおすすめです。

「Google Workspaceを活用した社内のセキュリティ強化について、一度プロに相談してみたい」方は、ぜひ弊社のサービスをご利用ください。

＼Googleツールを徹底活用したDX／

弊社では、今後も中小企業・ベンチャー企業の方にお役立ちする情報について、ブログでわかりやすく紹介していく予定です。引き続きご覧ください！