Gmailの新ガイドラインが目指すものとは?
2023年10月、Gmailからメール送信者向けの新しいガイドラインが発表された。それに対し、海外では相当な反応があった。メールは古くからある技術だが、新しい技術や環境への対応は常に行われており、時代の要請も踏まえてこれまでの常識が新常識に置き換わっている部分も多い。
実際、新ガイドラインが求めていることは、ネット社会の環境変化などを受けたもので、中井氏によれば「その要点は2つに絞ることができる」と言う。1点目は認証と信頼性の確保だ。送信者の身元が明確で、安全かつ信頼できる方法で送信している必要がある。2点目は送信者としての適切な振る舞いだ。受信者が必要としているメールを送ること、不要なメールは受け取らない選択ができることなど、受信者が快適であるような施策が求められている。
Gmailのようなメールボックスプロバイダーが目指しているのは、受信者にとって快適な受信トレイの実現だ。そのため、スパムや受信者が望まないメールは受け取りたくないというのが、ガイドラインの背景にある。「受信者にとって有益でないメールが増えることは、メールシステムにも好ましくない。したがって新ガイドラインでは、そのようなメールの受け取りを制限するようにしたのです」と、新ガイドラインの意義について説明した。
振り返れば、かつてメールは送れば必ず届くという時代があった。その結果、大量のスパムやフィッシングメールが氾濫し、スパム報告ボタンやドメイン指定拒否などの対応が進んだ。対して現在は、AIなどを活用した受信フィルタの自動化・高度化が進んでいる。例えばGmailの場合、以前は読まれていたメールでも、受信者の反応がなくなると自動でスパムフォルダに振り分けられるといった対応が行われている。受信者の動きを分析し、メールボックスプロバイダーがメール受信の可否を判断しているのが現状だ。
新ガイドライン制定で求められる技術の変化
新ガイドラインでは、いろいろな技術要素の導入が推奨されたが、一番大きく導入が進んだのはDMARC(Domain-based Message Authentication, Reporting & Conformance)という認証技術だ。DMARCは、送信元の正当性が確認できないメールが送られてきた時に、そのメールをどう処理すべきかというポリシー(拒否/隔離/監視のみ)を、送信元ドメインの正規の管理者自身が指定できる。この技術を使えば、なりすましメールの送信を防ぐことができる。
東氏からは、DMARCの導入率はここ数年で急速に高まり、日本企業では2022年に24%だったのが、2023年12月に60%にまで上昇し、2024年8月では83%だったと報告がなされた。米国の導入率は2024年8月で96%と、日本と大きな差は見られないが、ここで東氏は日米の差を指摘した。「日本のDMARC導入企業の4分の3は、認証に失敗したメールを単に監視するのみです。対して米国は半分以上が拒否と、かなり厳しい対応をしています」(東氏)。
2024年8月の日米企業のDMARCへの対応と、適用ポリシーのグラフ。
日本は「監視のみ(none)」が多いが、米国は半分が「拒否(reject)」
こうした状況と最近の米国の動きから、東氏は「DMARC対応を行ったからといって安心するのは、早計かもしれません」と注意を発した。実は2024年の5月、マイクロソフトからもDMARCに関して強力なポリシーを導入すると発表があったのだ。
「マイクロソフトが強いポリシーを求めた場合、他のメールサービスも同様の対応をする可能性があります。『監視のみ(none)』のポリシーのままだと、突然マイクロソフト宛のメールが届かなくなるかもしれません。今のうちに確実にメール認証ができる状態にしておき、DMARCポリシーも見直しておくことが重要です」と東氏は指摘した。
中井氏も「日本とグローバルの間には、メール認証の対応に大きな差があります。確かに以前は、ポリシーとして『監視のみ(none)』が推奨されていましたが、これは最低限の準備状態に過ぎません。疑わしいメールを確実に排除するには『隔離(quarantine)』や『拒否(reject)』といった強固なポリシーを設定する必要があります」と述べた。
エンジニアが知っておくべきメール配信のアンチパターン
中井氏と東氏は、新ガイドラインについて述べた後、ガイドライン以外にも知らなければいけないこと、守らなければいけないことが沢山あるとして、メール配信において避けるべき「アンチパターン(誤ったアプローチや解決策)」を紹介した。
ダブルオプトインをやらない
ダブルオプトインとは、メールアドレスを取得する際に、まずメールアドレスを入力してもらい、そのアドレスに送信したメールの中のリンクをクリックしてもらうことで、登録完了とする仕組みだ。ダブルオプトインは、メール送信者にとって大きなメリットがあるので、東氏は「やらないのはおかしい」と指摘した。
メリットとしては、まず受信の意思を明確に確認できる点がある。また、メールアドレスが実在する人間のものであることが保証されるため、信頼性が高い。さらに、受信者自身がメールの到着を予測しているため、万が一メールが迷惑フォルダに入っても、自ら探してくれる可能性がある。そして、スパムトラップ※が自社の送信リストに混入しないという利点も挙げられる。
※スパムトラップ:メールボックスプロバイダーやブラックリストを管理する団体が用意している「罠のメールアドレス」。スパムトラップにメールを送信していると、悪質な送信者とみなされてブラックリストに載る可能性が高まる。
登録者のメールアドレスは絶対に消さない
最初は興味があって登録したユーザーでも、やがては興味が薄れメールを開かなくなる。読まないユーザーに送り続けるのは不要なコストであるだけでなく、読まれないとやがてスパムフォルダへと振り分けられ、その結果、送信ドメインが「不要なメールを多量に送信している」悪しきドメインと判断されかねない。
読まないユーザーのメールアドレスは、適切なタイミングでリストから削除することが重要だ。メリットとして、メール配信工数の削減や、悪しきドメインと誤解されるリスクの低減がある。
配信停止を分かりにくくする
興味関心の薄れたユーザーにメールを送り続けるのは好ましくない。そのためGmailのガイドラインは、配信停止を簡単に行えることを求めている。しかし、一部の企業は配信停止の方法を分かりにくくしたり、返信を受け付けていなかったりしている。これでは、ユーザーが配信停止を行いたくても、停止できず、最終的にスパム報告されかねない。配信停止を分かりやすくして、送信リストの適正化を目指すべきだ。
バウンスメールを放置する
受信されずに戻ってくる「バウンスメール」を放置してはいけない。特に、宛先メールアドレスが存在しないなど、恒久的な不達が見込まれる「ハードバウンス」の場合は、直ちに送信リストから当該アドレスを削除すべきだ。
一方、ドメイン認証の失敗やメールボックスが一杯など、一時的なエラーと判断されるケースは「ソフトバウンス」と呼ばれる。こちらは、発生状況を確認し、必要に応じて送信設定の見直しや、送信速度の調整といった対応を行う必要がある。
安易な変更をする
メール運用中に、メール送信者としての信頼性(レピュテーション)が低下し、メールが届きにくくなってしまった時に、送信元メールアドレスやIPアドレスを安易に変更するのは避けるべきだ。受信側から見ると、突然知らない送信元からメールが来るように見えるため、かえって信頼性を損なう可能性がある。
何かを変更する場合は、計画的な「暖機運転」が必要だ。例えば、メール形式をテキストからHTMLに変更する場合も、大きな変更と見なされるため、徐々に行う必要がある。
必要な変更をなにもしない
送信リストの更新や配信サーバーの調整、配信頻度やコンテンツへの配慮は、行わないといけない変更だ。こうした「必要な変更」は即座に対応すべきである。
XやGitHubなどは、定期的にメールアドレスの確認を促すダイアログを表示するが、これは配信の信頼性を高められる有効な手段と言える。
また、メールの配信頻度が高すぎると、ユーザーは煩わしいと感じてスパム報告ボタンを押すかもしれない。一方で年に1回しか送信しないようでは、レピュテーションを高く維持できないだろう。ユーザーにとって魅力的で必要とされるコンテンツを、適度な頻度で配信することも重要となる。
中井氏は、「多くの場合、送信工程は粛々と日々の作業をこなすことが中心で、ユーザーから停止を求められるまで特に目立った対応をしないことが多いと思われます。しかし、今まで述べたように、日々のモニタリングと適切な運用管理はとても大切です。こうした管理を自社だけで全て行うのは大変なので、Twilio SendGridのようなクラウド型メール配信サービスの活用もお勧めです」と、専門サービスの活用が効率的な運用管理につながると唱えた。
東氏も「ガイドラインが新しくなったから、新常識が生まれたというわけではありません。以前から、徐々に変化の兆しは見られました。たまたまGoogleなどのIT大手企業から、これからは皆が対応するべきだと発表したことで、その変化が明らかになっただけです。変化は常に起こっています」と語った。
メール配信でお困りではありませんか?
Twilio SendGridにはメールを高速・確実に届けるための仕組みが備わっています。メール配信に関わるあらゆる機能を制御できるWeb APIで、システム連携も簡単です。
詳細はWebサイトをご覧ください。
