米GoogleはメールサービスGmailの迷惑メール対策を強化するための「メール送信者のガイドライン」を、2024年6月から本格的に適用している。この影響でメールが届かなくなる状況は「Gmail届かない問題」などと呼ばれ話題になった。
同ガイドラインのポイントの1つは、「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」に対応する必要があることだ。DMARCとは、なりすましメールかどうかを受信側が判断できるようにする技術である「送信ドメイン認証」の一種である。1日当たり5000件以上のメールを送信する場合、送信元がDMARCに対応していないとGmailに届かない恐れがある。
このため同ガイドライン適用を機に、DMARCに対応する企業が大幅に増加した。Googleの狙い通りであり、望ましい状況といえる。だが迷惑メール対策としての実効性を考えると、まだ十分ではない。「ポリシー」が甘いからだ。
ポリシーが「none」では無意味
DMARCの特徴の1つは、送信したメールを受信側が認証できなかった場合の処理を、送信側がポリシーとして受信側に指定できる点である。例えばあなたが企業Aを名乗るメールを受信したとする。このメールが本当に送信側のメールサーバーから正しく送られたのかといった「認証」をできなかった(失敗した)場合、一般に受信側は受信を拒否すべきだろう。
一方で、企業AのDMARC対応が不十分なために認証に失敗した可能性もある。そこでDMARCでは、送信側が認証失敗時の処理をポリシーで指定できるようにしている。具体的には、受信側は送信側のDNS(Domain Name System)サーバーにアクセスしてポリシーを取得する(図1)。
