2023年10 月、Google と Yahoo は、大量送信者は2024年2月より DMARC およびその他の送信者のベストプラクティスを導入する必要があると発表しました。この義務付けが発表されてから1年が経過した今、私たちはこの変更がメールのエコシステムにどのような影響を与えたかを確認する機会を得ました。
これらの変更は、電子メールの世界のチューンナップのようなもので、内部でいくつかの問題を修正することで、電子メールをスムーズに実行し続けることができます。ただし、チューンナップと同様に、これは 1 回限りの作業ではありません。電子メールをより安全で使いやすく、スパムのない状態に保つには、電子メール コミュニティ全体の継続的な協力と監視が必要です。私たちは、受信トレイが安全であることを確実にするために、引き続き協力して取り組んでいきます。
Neil Kumaran、Gmail セキュリティ & トラスト担当グループ プロダクト マネージャー
電子メールの脅威がますます拡大し、電子メールを悪用した被害が後を絶たない中、新しい要件が変化をもたらしていることは心強いことです。 本記事の執筆時点でYahooのデータはまだ入手できていませんが、Gmailと同様、DMARCの義務化によってスパムやフィッシングメールが大幅に減少したことは容易に理解できます。Yahooのデータが得られたら、またお知らせします。
なぜ DMARC なのか?
なぜDMARCが最新の送信者要件に含まれるのか疑問に思う人もいるでしょう。その主な理由は、電子メールがサイバー犯罪者にとってこれまでも、そしてこれからも主要な攻撃手段であるということです。ひとたび電子メールが侵害されると、悪意のある人物はネットワーク、データベース、サードパーティ ベンダーなどの組織リソースにアクセスできるようになります。DMARC は、電子メール ドメインを監視および制限するための主要な制御手段です。
送信ドメインを保護しない大量送信者の増加により、悪意のある行為者は隠れやすくなっています。Google と Yahoo の両者はどちらも、スパムとフィッシング トラフィックの増加に対応しており、迷惑メールによって受信トレイが溢れないようにすることで受信トレイの利便性を保つよう努めています。
デジタル マーケティング サービス、ニュースレター、CRM など、顧客に代わってメールを送信する多くの SaaS プラットフォームは、配信率がサービスの有効性に直接影響するため、メール配信のベストプラクティスに大きな投資をしています。Yahoo と Google の取り組みにより、これらのプラットフォームは、SPF レコードの正確性、DKIM 署名、DMARC 推奨事項の提供など、DMARCのベストプラクティスをオンボーディングプロセスに組み込むことに大きな関心を寄せています。
また、顧客を教育する責任も増しています。 したがって、ドメイン所有者とサードパーティサービスプロバイダーの両方が、それぞれの組織を最適にサポートするために、DMARCを理解するための支援を受けることが不可欠です。 私たちは皆、共にこの問題に取り組んでいるのです。
Ash Morin、dmarcian アメリカ大陸展開担当ディレクター
メールエコシステムへの影響
世界最大の受信トレイプロバイダー 2 社が主導する DMARC 送信者要件により、メールエコシステムの同業者は業界標準に合わせるよう促されています。尚、別の大手受信トレイプロバイダーである Microsoft は、送信者に DMARC を義務付けるための準備を進めていますが、この記事の執筆時点ではタイムラインを発表していません。
ドメイン所有者と連携して代理でメールを送信するメール サービス プロバイダー (ESP) も、顧客のニーズに合わせて、DMARC の機能と、その実証済みの認証プロトコルである SPF および DKIM の確保に取り組んでいます。私たちがソースと呼ぶこれらの企業は、他者に代わってメールを送信するインフラ ストラクチャを持つ企業です。ESP、インターネット サービス プロバイダー、サポート/チケット システム、支払いプロバイダー、電子商取引サービスなどのサービスがこれに該当します。
メール プロバイダーがどこであっても、すべてのユーザーは可能な限り最も安全で安心なエクスペリエンスを受ける権利があります。相互接続されたメールの世界では、私たち全員が協力して取り組む必要があります。
Marcel Becker、Yahoo シニアプロダクトディレクター
今後はどうなりますか?
Google と Yahoo の 2024 年の義務では、DMARC ポリシーを p=none にする必要があると規定されています。これにより、特定のドメインに代わってメールを送信しているソースを監視できますが、配信には影響しません。これは DMARC導入 の最初のフェーズですが、フィッシングやドメインの不正使用に対する保護は提供されません。
dmarcian では、この急増中に流入したドメインの大半が p=noneのままであり、Google または Yahoo がガイダンスを更新してより強力なレベルの施行を要求するまで、この状態が続く可能性が高いことに気付きました。今年、基本要件の導入に苦労した組織もありましたが、組織が自分たちに代わって送信している有効なソースを特定するプロセスを進めるにつれて、新たな作業の波が予想されます。
DmarcianはDMARCの普及を広めるという使命の一環として、 dmarc.io で最大かつ最も包括的な送信者リソースを作成しました。この無料のデータベースは、DMARCとSPFおよびDKIMのサポート技術をサポートする能力に関する詳細な情報とともに、世界中の何千ものグローバルな送信者をリストアップしています。 この情報は、DMARC Management Platformの強力な送信元分類エンジンに反映され、メールドメインの有効な用途を特定する作業をより簡単にします。これは、DMARC 管理プラットフォームの強力なソース分類エンジンに取り込まれ、電子メール ドメインの有効な使用を識別する作業がはるかに簡単になります。
Google と Yahoo の義務化から得られる教訓の 1 つは、テクノロジーとしての DMARC が、専門の IT 技術者やサイバーセキュリティ専門家の領域から、マーケティング部門や中小企業の経営者に影響を与えるものへと移行しつつあることです。
この変化に対応するため、dmarcian は無料の教育リソースを提供するとともに、このダイナミックな変化を反映するために継続的にサービスを改善することに尽力しています。私たちは、電子メールをより良くするための作業に携わる人々の仕事を容易にするためにここにいます。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
