Gmailの送信者ガイドラインに対応できている企業は34.6%？ 調査から見えた課題と対応を進めるポイントとは

2024年2月に適用が開始されたGmailの新しい「メール送信者のガイドライン」（以下、新ガイドライン）。いよいよ猶予期間も終わり、6月以降ガイドラインに対応していないメールは受け取りを拒否されてしまいます。

メールマガジンや通知メールなど、ビジネスでメールを活用している事業者はどこまで対応を終えているのか、そして今後の課題とは？ リンクが5月末に実施した「Gmail ガイドライン変更に伴う、メール送信者を対象とした意識調査」から見えてきた新ガイドライン対応の今を、メール配信サービスのプロダクトマネージャーである菱沼憲司が解説します。

〈 調査概要〉
調査方法：インターネット調査
調査主体：株式会社リンク
調査期間：2024年5月29日（水）- 2024年6月5日（水）
調査対象：メールマガジンや一斉配信、システムからの通知メールを配信する全国の事業者の社員
調査対象地域：全国
回答数：1,000
https://baremail.jp/news/release_20240620.php

1.すでに影響が出はじめているGmailへの送信

―メールを活用している事業者に配信する宛先のドメインを尋ねたところ、Gmailが55.7％と最も多く、次いでYahoo!メールと、Webメールサービスが多いことが分かりました。この数字を菱沼さんはどう見ていますか。

リンクでは2022年・2023年に、受信者に対してメールに関するアンケート調査を実施しています。このときもGmailが1位、Yahoo!メールが2位となっていたので、結果について驚きはありません。

背景としては、若い世代が携帯を契約する際にキャリアのメールアドレスが付いていない、格安プランを選ぶ人が増えていることがあると思います。そのためメールアドレスは必然的にGmailやYahoo!メール、iCloudなどのWebメールサービスを利用することになります。その他の年齢層についても、キャリアの乗り換えが一般的になり、キャリア変更に伴ってアドレス変更が必要となるキャリアメールは使い勝手が悪いというのが正直なところなのでしょう。Webメールサービスを利用していればその心配もいらないため、今後もこの傾向は変わらないどころか利用者はますます増えていくのではないでしょうか。

―Googleは2024年6月以降新ガイドラインに対応していないGmail宛のメールは、受け取りを拒否すると発表しています。ところが今回の調査ではGmailにメールを送信している事業者のうち、新ガイドラインにすべて対応できているのはわずか34.6％にとどまっています。

メールよりもLINEなどのチャットツールやSNSを利用するのは当たり前になっていますが、これはあくまで個人間でのコミュニケーションに限られます。Webサービスの契約手続きや商品の購入など、証跡として残す必要があるものは、依然としてメールが主流になっています。SNSとの使い分けが進んだことで、逆に今メールで送られているものは重要なものしかないと言えるかもしれません。

新ガイドラインへの対応ができていないということは、今後、多くの人が利用しているGmailに重要なメールが届かなくなるということです。そう考えるとすべて対応できている企業が34.6％というのは、かなり厳しい数字だと思います。

―新ガイドラインの適用が始まり、実際にメール配信への影響は感じていますか？

新ガイドラインは、ワンクリック登録解除の対応期限となっていた6月以降、本格的な適用が始まるとされていましたが、実際にはそれより前から影響は出てきています。一番分かりやすいのがリトライの増加です。

私たちのメールリレーサービスを利用しているお客さまの配信状況を見ても、Gmail宛に送ったメールがリトライになるケースが大幅に増えています。今のところ最終的には届いてはいるものの、配信ボリュームが多い場合はリトライを何度も繰り返すために、再送処理が追いつかずにエラーになってしまうケースも見受けられます。

これはあくまで推測ですが、Gmail側としてもいきなり受け取りを拒否するのは影響が大き過ぎると考えて、猶予期間としてメールを遅延させていたのではないでしょうか。最近Gmail宛のメールで再送や遅延が増えている事業者は、新ガイドラインへ準拠できていない可能性があります。このまま放置していると、いつメールの受け取りを拒否されてもおかしくない。まさにイエローカードが突きつけられている状態と言えます。

―遅延が増えてきた事業者は、どのような対応を取るべきなのでしょうか。

まずはバウンスメールやメールログを確認することをお勧めします。そこにはエラーになっている理由が書かれているはずで、「送信元IPアドレスにPTRレコードがないので制限しています」とか、「DKIMに合格していないので制限しています」といった詳しい原因が分かります。

そのエラーメッセージも参考にしながら、遅延が起きているメールでガイドラインに準拠できていない項目を改めてチェックし、対応していくしかありません。すでに猶予期間は終わっていますので、早めに対応を進めてほしいですね。

2. 最大の課題は自社のメール送信環境の把握!?

―　新ガイドラインに対応する際、77.4%の人が困難な点があると回答しています。さらに課題となった点を見てみると、「自社のメール送信状況や送信環境の把握」が 67.2%で最も多く、次いで「自社の対応要否の確認」が 50.3%と、そもそも自社のメールの状況を把握できていないという状況が浮き彫りとなりました。これにはどのような背景があるのでしょうか。

マーケティングオートメーション（MA）ツールや、顧客管理システム、ワークフローツールなど、SaaSの利用が一般的になったことで導入のハードルが下がり、部署単位で個別に契約するケースも増えました。こういったサービスには必ずといっていいほどメール機能が組み込まれています。その結果、自社のメールサーバ以外の様々な環境からもメールが送信されるようになっています。

つまり自社のメール送信状況をすべて把握するためには、どの部署がどんなSaaSを契約していて、メール配信を行っているのかきちんと管理する必要があるわけですが、意外とできていないというのが実情のようです。メールというツールが当たり前になり過ぎてしまったがために起こっている現象と言えるかもしれません。

―未完了となっている項目について見てみると、注目された SPF・DKIM・DMARC といった送信ドメイン認証への対応よりも、DNSの正引き・逆引きの設定や STARTTLS 対応が落とし穴となっていることが分かりました。これはどういうことでしょうか。

STARTTLS の対応や、DNS設定変更の作業自体はそれほど難しいものではありません。おそらく、誰が推進していくのか責任の所在が曖昧になっていることが要因ではないかと思います。DNSやメールサーバの管理を外部のベンダーに委託するケースも増えていることもあり、対応を依頼するごとに作業コストが発生し稟議を回して承認を取るとなると、依頼自体が手間になっている可能性があります。その結果、STARTTLSやDNSへの対応が進まず、放置されてしまっているのだと思います。

これまではメール配信についてそこまでしっかり管理しなくても、何の問題もありませんでした。ところが新ガイドラインが発表されたことで、メール送信環境を把握して管理する必要が出てきました。しかし、この役割を誰が果たすのか？　情報システム部が対応するのか、メール配信を行っている担当者なのか、メールを送る仕組みをつくったエンジニアなのか、あるいはアプリケーションの開発会社か。対応者を明確にしないことには、新ガイドラインへの対応はもちろん、今後必要になってくるDMARC運用もなかなか進まないと思います。

一番の理想は、社内で旗振り役となるチームを作ることです。重要なメールがGmail宛に届かないというのは企業にとって死活問題になりかねません。まだ新ガイドラインへの対応が終わっていない事業者はチームを早急に作って、対応のスピードを上げてほしいですね。

3. DMARCの導入から次のステップへ

―新ガイドラインが発表された際に話題となったのがDMARCです。日本国内ではDMARCの導入は遅れていると言われていましたが、今回の調査では回答者の約60％が導入を終えていることが分かりました。これはDMARCの導入は着実に進んでいると見ていいのでしょうか。

たしかに数字だけを見ると、導入が進んでいることは間違いありません。ただDMARCには「none」「quarantine（隔離）」「reject（拒否）」と3段階のポリシーがあって、quarantineやrejectまでポリシーを引き上げることで、初めてDMARC対応が完了したといえます。

ところが実際には、ひとまず新ガイドラインに対応するためにDMARCをnoneで導入し、その後はまだ手をつけられていませんという事業者がほとんどだと思います。

―ポリシーをnoneから引き上げるためには何をすればいいのでしょうか。

まずは自社のドメインからどんなメールが送られているのか、すべてのメール送信環境を把握する必要があります。そこで必要になるのが、DMARCレコードを設定すると受け取ることができるDMARC集計レポートです。DMARCレポートでは、どのIPアドレスからメールが送信されているか、送信されたメールがSPF・DKIM・DMARC の認証に成功しているかなど、自社ドメインを差出人（ヘッダFrom）に設定しているメールの送信状況について網羅的に把握することができます。

私たちもDMARCの運用支援をしていますが、メールサーバを管理している部署の皆さんは「自分たちはすべてのメール送信環境を把握できています」と言うものの、実際にDMARCレポートを見てみると、把握していないサーバからメールが送信されているということが発覚します。

MAツールは使っていないという話だったのに実はある部署が契約していましたとか、会社の規模が大きくなればなるほど、把握していないメールがどんどんでてきます。もし、メール送信環境をすべて把握できていると信じて、確認せずにポリシーをquarantineに引き上げていたら、MAツールから送っていたメールがすべて迷惑メールフォルダに隔離されていたことになります。こういう事態を防ぐためも、DMARCレポートの確認は絶対に必要です。

―ただ、DMARCを導入している事業者の内「DMARC分析ツールを活用し、DMARCレポートを日頃から確認している」と回答したのは32.3％とこれも低い数字になっています。DMARCレポートが活用されていない理由はどこにあるのでしょうか。

DMARCレポートは、XML形式のファイルが毎日大量届くことになるため、専用の分析ツールを使わないと内容を把握することは現実的に難しいです。しかも分析ツールの多くがメールセキュリティソリューションとして作られていたので、専門のエンジニアでないと利用が難しい上に、それなりのコストもかかるので導入のハードルが高かったと考えられます。

最近はDMARCの普及が進んだことで、分析ツールの選択肢も多くなっています。例えば私たちベアメールのDMARC分析ツールは、メールの正常性を診断・モニタリングするサービス「迷惑メールスコアリング」の一機能として提供しています。セキュリティ対策という観点ではなく、メールを届けるためのツールというコンセプトで開発しているので、エンジニア以外の方でも使いやすい、分かりやすいUI/UXになっています。コスト面でも、利用しやすい価格になっていると思います。2024年3月からサービス提供をスタートしたばかりですが、DMARCの運用支援を含めご利用いただいているお客さまはどんどん増えています。

―今後DMARC運用はどう進めていけばいいのでしょうか。

「なりすましメールを無くす」という世の中の流れからすると、次の段階では「DMARCポリシーをquarantine以上に設定していないメールは受け取りを拒否します」というガイドラインがGoogleから発表されると見ていいと思います。

さきほどGoogleは新ガイドラインの適用にあたって猶予期間を設けて、メールをリトライさせているのではないかという話をしましたが、今回noneでOKとしたのは、この期間を利用してDMARCのポリシーを引き上げる準備をしてくださいというメッセージだと思っています。

会社の規模にもよりますが、DMARCのポリシーを引き上げるためには、少なくとも数ヵ月から半年はかかってしまいます。新ガイドラインへの対応が終わり、次はDMARCポリシーの引き上げに向けて動き出している事業者も増えています。いざというときに慌てないように、時間のある今のうちからDMARCのポリシー強化に向けた運用を進めておくことをお勧めします。

そのためにも、まずはチームをつくり、DMARCレポート分析ツールを使って会社の全メール環境を把握する。これが第一歩です。そこから先どうしたらいいのか分からないのであれば、外部の専門家の力を借りて支援サポートに入ってもらうというのも選択肢の一つです。ぜひ、DMARCポリシー引き上げに向けて積極的に取り組んでほしいですね。