2024年2月1日以降、個人用の Gmail アカウントに対してメールを配信する送信者に対し、新しいメール送信者ガイドラインを適用することが発表されました。その要件の1つである DMARC の Gmail への設定方法について紹介します。

• 送信者ガイドライン
  • 送信者ガイドラインの概要
  • 5,000件/日以上の送信者向けのガイドライン
  • SPF、DKIM
  • DMARC
• 設定の方針
• 設定手順
  • ポリシー none で DMARC を設定する
  • DMARC レポートを確認する
  • 検疫対象を徐々に増やす
  • 最終的にすべての不合格メールを拒否する
• DMARC 適用後の確認手順
  • Google Admin Toolbox (Check MX)
  • メール受信側での確認

送信者ガイドライン

送信者ガイドラインの概要

2024年2月1日以降、Gmail で新しい「メール送信者のガイドライン」が適用されます。

対象は「個人用 Gmail アカウントに対してメールを送信するメール送信者」となります。なお個人用 Gmail アカウントとは、末尾が @gmail.com または @googlemail.com のアカウントを指します。メールの送信先が Google Workspace のメールアドレス（企業のアカウント）である場合は、このガイドラインの対象ではありません。

このガイドラインでは、個人用 Gmail アカウントに対してメールを送信するすべてメール送信者に、以下の要件が求められるものです。

• SPF と DKIM が設定されていること
• 送信元のドメインまたは IP に、有効な正引きおよび逆引き DNS レコードが設定されていること
• メールの送信に TLS 接続が使用されていること
• Postmaster Tools で報告される迷惑メール率が 0.10% 未満であること
• メールの形式が基準に従っていること（後述の公式ドキュメント参照）

これらの要件を満たしていない場合、メールが拒否されたり、迷惑メールに分類されたりする可能性があるとされています。詳しくは、以下の公式ドキュメントも参照してください。

• 参考 : メール送信者のガイドライン
• 参考 : メール送信者のガイドラインに関するよくある質問

5,000件/日以上の送信者向けのガイドライン

上記に加えて、1日に5,000件以上のメールを個人用の Gmail アカウントに対して送信する送信者に対しては、以下の要件が追加されます。

• DMARC メール認証が設定されていること
• From: ヘッダー内のドメインが、SPF ドメインまたは DKIM ドメインと一致していること
• マーケティング目的のメールと配信登録されたメールは、ワンクリックでの登録解除に対応しており、メッセージ本文に登録解除のリンクをわかりやすく表示していること

SPF、DKIM

SPF と DKIM は、いずれも E メールの送信者を認証する仕組みです。

スパムメールや攻撃目的のメールは、送信者を偽装している場合があります。メール送信者が SPF や DKIMを正しく設定している場合、メール受信者は、受け取ったメールが本当にそのドメインの所有者から送信されたものであるかを確認できるようになり、なりすましに気がつけるようになります。

当記事で紹介する DMARC を設定するには、SPF と DKIM がすでに設定してあることが前提となります。SPF や DKIM については当記事では細かく説明しません。以下の Gmail 公式ドキュメントをご参照ください。

• 参考 : SPF を使用してなりすましと迷惑メールを防止する
• 参考 : DKIM を使用してなりすましと迷惑メールを防止する

DMARC

DMARC は、メールが SPF または DKIM による認証に合格しなかった場合に、そのメールをどのように処理するか、受信したメールサーバーに指示するための仕組みです。

DMARC は送信者側のドメインの DNS に設定します。SPF と DKIM のいずれかまたは両方のチェックに合格しなかったメールは、この DMARC 設定に従って処理されます。以下の3種類のいずれかの処理方法を指示できます。

ポリシー名	処理方法
none	通常どおり配信
quarantine	迷惑メールまたは検疫として処理
reject	拒否され、配信されない

• 参考 : DMARC を使用してなりすましと迷惑メールを防止する

設定の方針

これまで DMARC を設定していなかったドメインで新しく DMARC を設定すると、何らかの理由で SPF や DKIM に合格しなかったメールがこれまでと違った方法で処理されることになります。そのため、始めはゆるく設定し、徐々にポリシーを厳しくするのがベストプラクティスとなります。

Google からは、以下の方法が紹介されています。

1. ポリシー none で DMARC を設定する
2. DMARC レポートを確認する
3. 検疫対象を徐々に増やす
4. 最終的にすべての不合格メールを拒否する

まず 1. の手順で、DMARC 設定を新規に追加します。このときポリシーを none にします。この設定では、受信側のメール処理方法はこれまでと変わりませんが、送信側は DMARC レポートを受け取れるようになります。これにより 2. の手順で、SPF や DKIM に合格しなかったメールが実際にどのくらい存在するか、ポリシーを本格的に適用する前に確かめることができます。

3. の手順では、DMARC レポートで確認した結果に応じて、ポリシーを quarantine に設定します。いきなりすべてのメールを検疫扱い（迷惑メール扱い）とするわけではなく、全メールの5%程度を対象とすることで、万一の悪影響を予防します。対象の割合は、DNS レコードの設定で任意の値に調整できます。DMARC レポートを引き続き注視し、徐々にパーセンテージを上げていきます。

DMARC レポートで送信したメールの大多数が SPF や DKIM にパスしていることが確認できたら、最後に 4. の手順で、ポリシーを厳格な reject に設定します。

• 参考 : チュートリアル: DMARC のおすすめのロールアウト方法

設定手順

ポリシー none で DMARC を設定する

前述の手順 1. で、ポリシーが none の DMARC を設定する手順です。

お使いの DNS において、自組織のドメインのゾーンに、TXT レコードを追加することで DMARC を設定します。ここではお使いのドメインが example.com であると仮定して解説します。以後、example.com はお使いのドメインに置き換えて読んでください。

example.com のゾーンに、以下のホスト名で TXT レコードを追加します。

_dmarc.example.com

TXT レコードの値は、以下のようにします。

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com

ここで dmarc-reports@example.com は、実際には DMARC レポートを受け取るメールアドレスとします。このメールアドレスでは大量の DMARC レポートを受け取る可能性があるため、個人のメールアドレスは使用せず、管理用のメールアドレスまたは DMARC レポートを受け取る専用のメールアドレスを記載してください。また、DMARC レポートを受け取る専用サービスのアドレスを利用することもできます。

なお v= は DMARC のバージョンを指定するタグであり、p= はポリシーを設定するタグです。

DMARC レポートを確認する

設定したレポート受信用メールアドレスに届く DMARC レポートを確認します。以下のような傾向がないかを確認します。

• 自組織から送信した正当なメールが、受信者に届くものの、迷惑メールフォルダに振り分けられる
• 受信者からバウンスメールまたはエラーメッセージが返される

これらの問題が起きる場合は、SPF や DKIM の設定を見直したり、以下の記事を参照してください。

• 参考 : DMARC に関する問題のトラブルシューティング

検疫対象を徐々に増やす

DMARC レポートを1週間程度確認しても問題がなければ、TXT レコードを以下のように編集して、5%のメールを迷惑メール対象にします。

v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc-reports@example.com

pct= タグにより、対象メールを5%に指定しています。自組織があまり大量メールを配信していない場合は、この割合をもっと大きなものにしても問題ありません。

DMARC レポートの確認結果に応じて、この値を徐々に大きくします。

最終的にすべての不合格メールを拒否する

最終的には、以下のポリシーを設定します。

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com

p=reject; となっており、pct= タグが省略されているため、すべてのメールが対象となります。これが最も厳格な DMARC ポリシーです。

DMARC 適用後の確認手順

Google Admin Toolbox (Check MX)

Google から提供されている Google Admin Toolbox という Web ツールで、自ドメインの SPF、DKIM、DMARC が設定されているか確認することができます。

以下のリンクからツール画面に遷移し、自社のドメイン名を入力することで、設定が適切に行われているかを確認できます。

• 参考 : Check MX

メール受信側での確認

DMARC を設定したあと（ポリシー none の状態のときを含め）、DMARC が受信側で適切に検証できるかどうかを確認するには、DMARC を設定したドメインの Gmail から、テストメールを他のドメイン宛てに送信してください。その後、受信側でメールのヘッダを確認します。

メールのヘッダに、ARC-Authentication-Results および Authentication-Results というセクションがあります。これらの箇所に dmarc=pass と記載されていれば、受信側で DMARC 検証が成功していることになります。

もし受信側も Gmail である場合、以下のスクリーンショットのように、「メッセージのソースを表示」を選択すると、検証結果がわかりやすく表示されます。