219
177

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

闇の魔術に対する防衛術Advent Calendar 2023

Day 3

Gmailが2024年2月から(大量)送信者に求めてることが分からない闇への防衛術(前編)

Last updated at Posted at 2023-12-02

メールの世界にGmailさんが新たな闇を投入

(インターネットの)メール受信・送信は闇あふれる世界だと思うのですが(*1)、そこに 2023年10月7日、新たな闇要素をGmailさんが投げ込んでくれました。(正しくは2023/12月頭現在、闇がモリモリ増えてる。補足①②参照) (*2 最下部キャプチャあり)

えーと、「1日あたり 5,000 件を超えるメールを送信する送信者」はこの事項を守ってね……とあります。要件と書いてあり、2024/2/1から実施と急なうえに、項目が

  • SPFとDKIMの設定
  • 逆引き
  • 迷惑メール率
  • メール形式
  • Gmail の From: ヘッダーのなりすまし
  • ARC
  • DMARC
  • ダイレクトメールの場合(……なんとかかんとか)
  • 登録解除

と9個もある。 何これ……?と様々な人を戸惑わせています。

インターネットにつながっているそこそこの規模の組織は、1日あたり 5,000 件以上Gmail (とGoogleWorkspace) に送るでしょうから、これは特別な誰かに向けた案内でありません。これはGmailからインターネット全体への要請と言えそうです。

このGmailさんが投げ込んだ闇への防衛術を書いてみました。 この前編と後編、2部構成の予定です。実は読み解くとそう闇でもありません
(読み解かないと分からないものだから、紛うことなき闇ともいえるけどね)。

後編を公開しました、こちらです(2023/12/9追記)。

*1 闇の例

この案内の問題点、この案内の考え方

例えば、法律の施行があれば、法律の目的や背景は国会で議論があり公表され、その所轄官庁は法律のガイドラインを作ってサイトに掲示します。法律の条文を読んで意味が分からなければそちらを頼りにして、何をすればいいのか/してはいけないのか分かります。

今回のGmail様お達しの最大の問題点は、前述のように対象がインターネットほぼ全体であるのに 実施する事項だけ9個書いてあり、その背景・目的・考え方が一切書いていないため、何をどのように実施すればいいのか実務上これだけでは判断に迷うことです。

Gmailが要は何をインターネットに対して言っているのか、わかる文章が別のところにあります。

このBlogのM3AAWGという組織はメッセージング、マルウェア、およびモバイルの不正利用に対抗するための国際的な非営利組織です。Gmail,米Yahoo,Microsoft,SendGrid,Mailchimp などがメンバーです(メンバー一覧 https://www.m3aawg.org/about/roster

"No Auth, No Entry" という表現があります。訳すと「認証なくして送信なし」つまり、 受信側が認証できるようにしてメール送ってね 、これが今回一番Gmailがメールを送る各組織に求めていることです。
同時に米Yahooも同じことを求めていて、M3AAWG も Blog で賛同を示しているので、メールに関する世界的なプレイヤーはみんなこれ求めていると捉えていいのだと思います。

Gmailが投げ込んだ闇、実はこういうこと(推測)

今回の案内が求めている全体像は、たぶんこういうことです。

  1. インターネットのフィッシングメールとか迷惑メール困るでしょ。ああいうメール減らさないといけないでしょ。そうしないとみんなメール見なくなるでしょ。
  2. だから受信側が正しくフィルタリングできるように、一定以上メールを送る組織は、必ずSPFとDKIMをつけてメールがドメインに紐づくようにして送ってね。
  3. DMARCで組織のフィッシングメールに関するポリシーも公開してね。まずは何もしない none でいいから DNS にレコード書いて必ず公開してね。
  4. DKIMを自組織のドメインの署名でつけてメールを送れば、君のとこが送った迷惑メールの率 1 が分かるから見てね。
  5. 迷惑メールの率が高いメールは、受信者にとって良くないメールだから、受信者に届かないようにするよ。過去にオプトイン(メール配信の許諾)をされていても関係ないよ。
  6. 迷惑メールの率が高くなって、君のとこが送ったメール届かないのは困るよね。だから、受信者が君の迷惑メールを迷惑メールに振り分ける前に、メールを簡単に止められるようにしてくださいね。

Gmailの案内や米Yhaoo.com, M3AAWGのBlog 各情報をまとめて整理してようやくこうなのかな?と整理できました。送信者≒インターネットにつながっているそこそこの規模の組織すべてが理解しなければいけない事項のはずなのに、肝心なことが書いてない。いい感じで闇ですね。

こう目的や骨子を沿えて書いてくれればわかりやすいのに、なんで実施事項だけ書いたのか不思議です。しかも発表から実施まで4か月しかないのに、最初1か月はこの内容の変遷も多くありました。

中でも、2023/10/7に発表された当初、

  • 英語ページ:SPF and DKIM
  • 日本語ページ:SPF または DKIM

だったのですが。2週間後に

  • 英語ページ:SPF and DKIM
  • 日本語ページ:SPF および DKIM

にしれっと変わってました。意味ぜんぜん違う……そんな闇投げ込まないでくれGoogleさん、ってとこです。

(個人的)おススメ対応事項

Gmailの説明と上記の考え方、日本のメール配信の慣習、そのあたりを総合すると、メールを送る組織、送るシステムで急ぎ対応するポイントは、

  • SPFとDKIM(自組織ドメインで署名=作成者署名)に対応してメールを送ること
  • 送信に使用するIPアドレスを逆引きしてホスト名が出てくる。そのホスト名を正引きしたIPアドレスは元のIPアドレスであること
  • 迷惑メールの報告率が0.3%未満であることを Gmail postmastertools で確認する
  • DMARCを p=none で発行する(DNSレコードに書く)

だと思います。

「登録解除」の整備がどこまで必要か、迷惑メールの率を見て決定でいいのかな?と思っています。ここは個人的な推測なので情報収集中です(たぶん2024/2を迎えてからもウォッチ) 2

迷惑メールの率が高ければ(今回のGmailうんぬん関係なく)配信停止を容易にする、メールアドレスの登録プロセスを見直す、メールの送信頻度を減らす、そのような総合的な対応が必要で、「登録解除」の整備もあわせて実施することが良いと思います。

上の4項目は、Gmailが掲げている9個から減ったり変わったりしています。 後編では、Gmailの要請する9つについてそれぞれ説明し、なぜ上の4つがポイントなのかを書いていきます。(2023/12/10 公開予定)


補足①@2023/12/05 GoogleWorkspaceのドメイン対象外に

1日5,000通Gmailに送るの定義からGoogleWorkspaceのドメインが外れた模様です……

image.png

ちなみに同じ時刻の日本語版はこうですが。いずれ変わるのでしょう……orz

image.png

補足②@2023/12/06 TLSと迷惑メール率の内容が更新

TLSのことが加わり、迷惑メール率の内容が更新されました。

image.png

内容を見てみましょう。

Requirements for all senders
Use a TLS connection for transmitting email. For steps to set up TLS in Google Workspace, visit Require a secure connection for email.

すべての送信者の要件
メールの送信には TLS 接続を使用します。Google Workspace で TLS を設定する手順については、「メールに安全な接続を使用する」を参照してください。

ということですが、インターネットの送信者すべてに対して「Google Workspace で TLS を設定する手順については……」のくだりがマジで分かりません。
Gmail へ送るのに StartTLS 使ったほうがいいのは間違いないです(StartTLS使わないと赤い警告マークが今でも出ますし)。

Keep spam rates reported in Postmaster Tools below 0.10% and avoid ever reaching a spam rate of 0.30% or higher.

Postmaster Tools で報告されるスパム率を0.10%未満に保ち、0.30%以上にならないようにしましょう。

0.10%と0.30%ってどっちが基準なの❓と思いますが

  • 常日頃から0.10%未満になるよう運用し
  • 突発的に高くなっても0.30%以上ならないようにしてね

という意味合いだと 思います 思いたい。


*2 大量送信者向けに 2023/12/07 時点で掲げられている英語の内容、2023/12/03 時点で掲げられている日本語の内容は以下のキャプチャの通りです。英語版の方が新しいので、そちらを見た方がいいです。
2023/10/7から1か月くらい、内容に変遷があったので油断なりません。 2023/12/07時点、英語版はちょくちょく変わるのでまったく油断なりません。

image.png

image.png

  1. ※迷惑メール報告率 → 迷惑メール率に更新。迷惑メール率はある期間の「The spam rate is the percentage of emails marked as spam by users vs emails sent to the inbox for active users. If a substantial number of emails are delivered directly to spam folders, you may see a low spam rate even though users may still be marking your inboxed emails as spam.」のもよう。https://support.google.com/mail/answer/9981691?hl=en&ref_topic=6259779&sjid=2575571263572719365-AP#zippy=%2Cspam-rate

  2. ※2023/12/07この文を改訂

219
177
3

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
219
177

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?