Google & ⽶国Yahoo!の迷惑メール 対策強化について

Transcript

1. Google & ⽶国Yahoo!の迷惑メール 対策強化について

2. Welcome to JPAAWG

3. 行動規範 3 • JPAAWG は健全な議論を歓迎します • JPAAWG は参加者が⼈権侵害や差別を受けることのないよう努⼒しています • 本イベントは技術情報の共有や技術者同⼠のコラボレーションを⽬指しています

   • すべての参加者は、いかなる形でもハラスメントに関わってはなりません • ハラスメント⾏為の懸念を感じた場合、運営事務局までお知らせください • [email protected] • 容認できない⾏為 • 性的な⾔語や画像の使⽤ • 個⼈的な攻撃 • 侮辱/軽蔑的なコメント • 公的または私的なハラスメント • 許可なく他⼈の個⼈情報を公開すること • その他の⾮倫理的な⾏為

4. 注意事項(1) 4 • オンラインカンファレンスについて • 原則として録画および録⾳，スクリーンショットの取得はご遠慮ください • セッション資料は後⽇公開する予定です • 取材⽬的でセッション参加される場合は

   [email protected] まで ご連絡ください • ウェビナーについて • ウェビナーで質問を受け付けます • Zoom の Q&A 機能をご利⽤ください (可能な範囲で対応します)

5. 注意事項(2) 5 • 本資料は 2023年12⽉13⽇現在の内容です • Google, ⽶国Yahoo! 各社の都合等によって実際に実施される内容 は本書記載の内容と異なる可能性があります

   • ⽂中の Yahoo は全て⽶国 Yahoo! を指します(⽇本の LINEヤフー 株式会社様は本件に関係ありません) • 謙虚な気持ちで受け⽌めましょう

6. タイムテーブル 6 13:00 – 13:30 注意事項・ガイドラインの紹介 北崎, 加瀬 13:30 –

   14:00 パネリストのコメント 北崎, 平野, 加瀬 14:10 – 15:00 よくある「疑問点」ディスカッション 北崎, 平野, 加瀬 15:10 – 15:40 Zoom QA 北崎, 平野, 加瀬

7. Google/Yahoo メールの新制限 (サマリ) 7 2023年10⽉3⽇ Google/⽶国Yahoo! がSPAM削減の為の新基準を発表 • 5000通以上の⼤量送信者は以下の条件を求められる -

   DMARC 認証が Pass すること - 購読解除可能にすること - SPAM レート0.3%未満であること • 2024年2⽉1⽇から • 詳細は今後発表されていく これを満たせない場合は、受取拒否や迷惑メール扱い、流量制限等の何らかの制限を⾏う -> Google や⽶国Yahoo! にメールが届かなくなるおそれ

8. Google/Yahoo メールの新制限 (詳細1) 8 Google 制限の詳細 (出典︓https://support.google.com/a/answer/81126) 要素 5000通未満 5000通以上

   DKIM/SPF • DKIM または SPF を設定 • DKIM と SPF を設定 DMARC - • DMARC を設定すること(p=noneで可) • ダイレクトメールは DKIM または SPF での DMARC 認証が Pass すること メッセージ形式 • RFC5322 に準拠する形式である こと • RFC5322 に準拠する形式であること IP アドレスの正・逆引 き • IP アドレスに正引き・逆引き (PTR)を設定すること • IP アドレスはホスト名と関連づ けること • IP アドレスに正引き・逆引き(PTR)を設 定すること • IP アドレスはホスト名と関連づけること TLS • 配送時に TLS を使⽤すること • 配送時に TLS を使⽤すること ⽶国Yahoo! も同様の措置を実施すると表明

9. Google/Yahoo メールの新制限 (詳細2) 9 Google 制限の詳細 (出典︓https://support.google.com/a/answer/81126) 要素 5000通未満 5000通以上

   SPAM 送信レート • Postmaster Tool での直近の SPAM 送信レートが 0.3% 未満であること • Postmaster Tool での直近の SPAM 送 信レートが 0.3% 未満であること ARC • 定期的に転送を⾏う場合は ARC ヘッ ダを追加する • 定期的に転送を⾏う場合は ARC ヘッ ダを追加する メーリングリスト • List-id: ヘッダを追加する • List-id: ヘッダを追加する 購読解除 - • ワンクリック解除(RFC8058)に対応し、 本⽂中にもその説明を⼊れること その他 • Google のドメインを騙らないこと *1 • Google のドメインを騙らないこと *1 *1 p=quarantineに設定される為、隔離対象となる

10. 大量送信者とは 10 • 5000 通に近い数字かそれ以上のメール送信をしている送信者 • ヘッダー From のドメインを基準に算出する •

    カウントする期間は24時間 • 送信対象は個⼈の Gmail アカウントが対象で Google Workspace 宛は含まない • 規制に該当するかどうかは Postmaster Toolsで確認可能

11. DMARCについて 11 • ⼤量送信者が満たすべき DMARC アライメントは SPF か DKIM のいずれかで

    可(ただし、今後強化する可能性がある為、両⽅を満たすことを⽬指す⽅がよ い) • ⼤量送信者が満たすべきポリシーは p=none でよい • ⼤量送信者でない場合は DKIM か SPF のいずれかを Pass させるだけでよい

12. SPAM送信レートについて 12 • カウントされるタイムフレームは今のところ⽇毎に計算 • 推奨は常に 0.1% 未満を維持する様に⼼がける(0.1%未満にしておくとス パイクしても 0.3%

    未満に収まりやすい為) • 状況を把握する場合は Postmaster Tools を使⽤する

13. List-Unsubscribe について 13 • 実装が必要なのは商⽤の宣伝メッセージのみ • パスワードリセットや予約確認、フォームの送信確認等のトランザクショ ンメールは除外される(本⽂には宣伝メッセージを混ぜない) • RFC8058

    に準拠したヘッダを実装する必要があり、本⽂中の解除リンク だけでは要件を満たしていると⾒なさない(ランディングページでの解除 等も RFC を満たしていないので要件に合致しない) • DKIM 署名対象にすることが必要

14. 関連文書 14 Google の送信者向けガイドライン https://support.google.com/a/answer/81126?hl=en GoogleのFAQ https://support.google.com/a/answer/14229414?hl=en

15. Sender Best Practice について 15 • M3AAWG(Messaging, Malware and Mobile

    Anti-Abuse Working Group)が策定した⼤量送 信者向けのドキュメント • 国内 Sender / SaaS の対応状況 https://www.m3aawg.org/ https://www.m3aawg.org/sites/default/files/m3aawg_senders_bcp_ver3-2015-02-japanese.pdf https://www.iajapan.org/anti_spam/event/2018/conf_18th/pdf/A4-2.pdf https://www.m3aawg.org/sites/default/files/m3aawg-sendingdomains10102019nk-2.pdf https://www.m3aawg.org/sites/default/files/m3aawg-email-authentication-recommended-best-practices-09-2020.pdf ü 簡便なオプトアウト ü 通知メールと広告メールの区別 ü 転送メールへの配慮 ü 顧客審査やアドレスクリーニング

16. No Auth, No Entry について 16 • M3AAWG が2016年のパネルセッションで利⽤したキーワード •

    送信ドメイン認証はドメインレピュテーションを活⽤することが⽬的 • SPF よりも DKIM 重要視 https://www.m3aawg.org/

17. 参考になる記事やサイト 17 • https://zenn.dev/ken_yoshi/articles/gmail-new-requirements-2024 (ken_yoshi) • https://qiita.com/nfujita55a/items/37b05801209f6058808e • https://qiita.com/nfujita55a/items/51eefd1e9578927e118a (@nfujita55a)

    • https://naritai.jp/ • https://www.dekyo.or.jp/soudan/aspc/report.html#dam

18. パネリストのコメント

19. パネリスト 19 • 北崎さん（ソフトバンク / JPAAWG） • 平野さん（Vade Japan /

    JPAAWG） • 加瀬（TwoFive / JPAAWG）

20. 「よくある疑問点」 ディスカッション

21. パネリスト 21 • 北崎さん（ソフトバンク / JPAAWG） • 平野さん（Vade Japan /

    JPAAWG） • 加瀬（TwoFive / JPAAWG） • ⾼橋さん（TwoFive / JPAAWG）

22. ディスカッションテーマ 22 • DMARC/DKIM/SPF についてどこを参考にしたらいいか • 5,000通はどう捉えればよいか • DMARC は必ず対応か、DKIM

    は必ず対応か、ARC は必ず対応か • List-Unsubscribe は必ず対応か • 2024/2/1 の⽇付は確定か • TLS はバージョンなどは気にしなくてよいか • ガイドラインや FAQ が頻繁に修正されるがどうしたらよいか

23. Zoom QA