世界的にもアクティブユーザーが多い「Gmail」はGoogleが提供するメールサービスです。
難しい操作や設定を必要としないことから、プライベートで活用されることが多いGmailですが、近年ではセキュリティの高さが評価されビジネスでも利用されています。
しかし、なりすましやフィッシングに関わる迷惑メールの報告は後をたたず、各メールクライアントは日々セキュリティの強化に励んでいます。
Gmailでは2023年末に「2024年以降、対策を大幅に強化したメール送信者のガイドライン(Email sender guidelines)を適用する」と発表し、システム担当者の間で話題となりました。
そして、2023年10月に「メール送信者のガイドライン」の変更を発表され、2024年2月から実装されました。
変更された点はいくつかありますが、中でも「全てのメール送信者にTLS接続を使用する」という要件は、メール配信業務に大きな影響を及ぼす可能性があります。
また、1日に5000通を超えるメール配信を行っている送信者には、さらに厳しい要件が追加されています。
Googleが更新した「メール送信者のガイドライン」を満たさない送信者から配信されたメールは、Gmail側で受信が拒否される可能性があるため注意が必要です。
メール配信とTLSについて熟知し、セキュアで円滑なメール配信環境を整備しましょう。
また、Googleが発表したガイドラインの詳細については下記の記事で詳しく解説をしてりますので、参考にしてみてください。
目次
メール配信とTLSの関係
そもそも「TLS(Transport Layer Security)」とはどのような仕組みなのでしょうか。
「TLS」と混同されやすい用語として「SSL」と「STARTTLS」が挙げられます。
どれもメール配信のセキュリティに関係する言葉ですが、それぞれについて詳しく解説します。
SSL/TLS
SSLとTLSの違いは、セキュリティシステムとしてのバージョンです。
元々はインターネット上の通信を暗号化するシステムとしてSSLが使われていましたが、1999年にTLSにバージョンアップをしました。
TLSの役割については「ウェブ上の通信経路を暗号化する」方法と覚えておきましょう。
TLSを使うことで、送受信を行うサーバー間でのメールの改ざんや漏洩を防ぐことができます。
現在ではTLSを使い通信を暗号化する方法が一般的ですが、SSLという呼び方をする方もいます。
したがって「SSL/TLS」という表記は、同一のセキュリティ技術を指していると解釈しましょう。
STARTTLS
メール配信に関するセキュリティを調べていると良く目にする「STARTTLS」は、インターネットの通信経路をTLSを使い暗号化する際のコマンドを意味する言葉です。
TLSにはウェブ上の通信経路を暗号化する技術という意味が含まれていますが、メールの送受信を保護する作業においてはTLSが単体で機能しているわけではありません。
- メーラーとメールサーバー間でTCP(Transmission Control Protocol)の接続を行う
- メーラーからメールサーバーに「SMTP拡張機能」の使用を伝えるコマンドを送信し、TLSに対応していることを示す
- メールサーバーからコマンドへの返信が送られTLSに対応しているかが判定される
- メーラーからメールサーバーにSTARTTLSコマンドを実行する
- メールサーバーがTLSに対応していればTLS接続が開始される
上記のように、TLSを使ったメールの送受信を開始するには、受信側のメールサーバーにSTARTTLSコマンドを実行しなければなりません。
STARTTLSを用いずにTLS接続を確立させるには「ポート番号」と呼ばれる、データの送受信を行う部屋のようなものを用意する必要があります。
この方法はSTARTTLSを用いたTLSの接続と比較し、作業コストが多く、TLS接続が確立されてからの到達率が低くなる傾向があります。
そのため、一般的にはSTARTTLSを使いTLS接続を確立させる方法が採用されています。
メール配信時のTLSの役割
先述したようにTLSは「ウェブ上の通信経路の暗号化するプロトコル」として使われています。
つまり、メールの送受信に限らず「ウェブ上でやりとりされる通信の経路」を暗号化する技術です。
では、TLSはメール配信時にどのような役割を果たしているのでしょうか。
以下の図では、SSL/TSLを開始する際の流れを解説しています。
- 公開鍵:ウェブ上に公開されている鍵
- 秘密鍵:ウェブ上では公開しない鍵。公開鍵で暗号化されたデータを復号する
- 共通鍵:通信を行うもの同士の間でのみ使われる鍵
②〜③では、送られてきた公開鍵(A)で共通鍵(B)の作成・暗号化を行います。
上述しているように、公開鍵を復号できるのは秘密鍵(C)だけなので、(B)を復号できるのは(C)を持っている受信者に限られます。
上図の④までの作業が終わり次第、受信者と送信者は、お互いだけが所持している共通鍵を使い暗号化したデータの通信を開始します。
この共通鍵を使った通信がSSL/TLSの仕組みです。
もし、TLSに対応していないサーバーからメールを送信すると、以下のような問題が発生する可能性があります。
- 送受信間でメールやデータが漏洩する
- 送受信間でメールが第三者に改ざんされる
Gmailがガイドラインを強化した理由は、このようなリスクを抱えた送信者からのメールを受信しないことで、Gmailのセキュリティがより強固になるためです。
TLSのメリット
これまでの解説でも触れていますが、TLSを活用するメリットについてまとめましょう。
- データの改ざん・漏洩・紛失を防ぐ
- 専用ポート番号を必要としない(STARTTLSを使った場合)
- 送信者側のセキュリティが証明できる
上記のようにTLSの使用は第三者の介入を防止できるだけでなく、通信先に対して安全な通信経路を証明する手段にもなります。
TLSのデメリット
TLSを使うことで、通信する両者の間には暗号化された通信経路が確立します。
しかし、メール配信においては通信経路以外にも「改ざん」や「なりすまし」の温床となりうる要素が存在するため、TLSの活用だけでは安全なメール配信環境とは言い切れません。
詳しくは以下の記事で解説をしていますが、なりすましの防止には「ドメイン認証技術」と呼ばれる送信元のドメイン名を検証するシステムの利用が推奨されています。
関連記事:【図解あり】DKIMの役割を3分で解説!!ドメイン送信技術のDKIMの仕組みを理解しよう
TLSと合わせてDKIMやSPFのようなドメイン認証技術も活用することで、第三者から攻撃されるリスクを避けたメール配信が可能になります。
冒頭でご紹介しているGmailの「メール送信者のガイドライン」でも、ドメイン認証技術を活用していないメール配信は迷惑メールに分類される可能性が高いことを示唆しています。
また、1日に5000件以上のメールを送信する場合は、TLSとDKIM・SPFに加え「DMARC」と呼ばれるドメイン認証技術にも対応しなければなりません。
このように、Gmail宛のメールが正常に受信されるには、TLSの導入以外にも様々なハードルがあることを覚えておきましょう。
今後、メール配信業務にはTLSの導入が標準になる
2024年2月に施行されるGmail新ガイドラインの内容は、これから多くのメールクライアントでも参考にされることでしょう。
自社で利用しているサーバーはTLSに対応しているのか、気になる方も多いかもしれません。
現状、GmailはもちろんOutlookや各通信事業者が運営するメールクライアントではTLSは標準的なセキュリティとなっており、Gmailのガイドラインに抵触しない場合がほとんどです。
しかし、自社で構築したシステム(サーバー)でメール配信を行っている場合は注意しなければなりません。
メールサーバーを自社構築している企業のメール配信者やメールサーバー管理者は、TLS・SPF・DKIM(1日に5000通を超える送信をする場合は「DMARK」も)に対応する必要があります。
配信しているメールがTLSに対応しているか調べる方法
自社のメールサーバーがTLSに対応しているかは、Gmailにメールを送信すればすぐにわかります。
もし、送信元のメールサーバーがTLSに対応していない場合は、メールに赤い鍵のアイコンが表示されます。
SPF・DKIM・DMARKへの対応は以下の手順で確認できます。
- Gmailにメールを送信する
- 受信ボックスで「その他」をクリック
- 「メッセージのソースを表示」をクリック
すると、SPFをはじめとするドメイン認証技術の項目が表示されます。
そこに「PASS」と記載されている場合は、送信元のメールサーバーがドメイン認証技術に対応していることがわかります。
メールを大量配信はTLS・ドメイン認証技術に対応したメール配信システムの使用がオススメ
アクティブユーザーの多いGmailが率先して送信者に「TLS」や「ドメイン認証技術」の使用を求めることで、メール配信業務を行う企業はそれに対応する必要が発生しました。
今後は、他のメールクライアントでもメール配信に関連するセキュリティへの要求が高まり、信用の低いメールサーバーからのメール配信ができなくなる可能性があります。
ビジネスメールの配信が滞ることで影響を受ける企業は多数ありますが、特に「メールマーケティング」を行っている企業にとっては死活問題となるでしょう。
先述のように、多くのメールクライアントではTLSやドメイン認証技術に対応しています。
しかし、メールマーケティングのように数千〜数万規模での配信をする場合、ほとんどの企業では配信コストとセキュリティを兼ね備えた「メール配信システム」を活用しています。
なぜなら、ビジネスで利用されるOutlookなどのメールクライアントでは、セキュリティは担保されているものの、大量配信を前提としたサーバーを提供していないためです。
メール配信システムでは、TLSやドメイン認証技術に対応しつつ、毎秒数万件のメール配信を可能にするメールサーバーを提供しています。
とは言え、メール配信システムは提供している企業ごとにシステムや金額が異なっており、配信規模によってはセキュリティや配信速度が不足しているケースがあるため注意しなければなりません。
以下の記事では、メール配信システムごとの機能や金額について詳細をまとめてご紹介しています。
自社のメール配信業務を担当している方はぜひご覧ください。
まとめ
「TLS」は通信経路を暗号化する技術のことで、メール配信においては送信者と受信者の間で共通鍵を利用し第三者の攻撃を防ぐ役割を果たしています。
Gmailでは2024年2月以降、TLSを使っていない送信者のメールを拒否(または迷惑メールに分類)するガイドラインを発表しました。
メール配信時のセキュリティへの関心は年々高まっており、他のメールクライアントでも同様のアップデートが施行される可能性は十分にあるでしょう。
また、セキュアな環境でメール配信を行うには、TLSだけでなく「SPF」「DKIM」「DMARK」などのドメイン認証技術の活用も推奨されています。
Outlookをはじめとする主要メールクライアントでは、これらのセキュリティシステムに対応していますが、自社でメールサーバーを構築している場合は注意しなければなりません。
また、メールマーケティングのようなメール配信が求められる業務を行う場合、解説したようなセキュリティ環境に加え、大量配信を可能にするメールサーバーが必要になります。
本記事でご紹介した「メール配信システム」の比較記事を参考に、自社の配信規模や予算にマッチしたものを選びましょう。
とは言え、メール配信システムを利用したことがない方にとっては、実際に使用してみないことには業務に活用しているイメージがわかないかもしれません。
そのような方は、無料トライアルを実施してみてはいかがでしょうか。
メール配信システムの1つである「ブラストメール」では7日間の無料トライアルを実施しています。
ぜひ、お試しください。
キーワード検索
