タグ: TLS

メールの暗号化とは?Gmailの暗号化設定によりメールに対するセキュリティー意識が向上。

メールの暗号化とは?Gmailの暗号化設定によりメールに対するセキュリティー意識が向上。

メールマーケティングノウハウ • 2019.08.09

皆さんは、メールを暗号化して送受信をされていますか? 昨今のニュースで、企業のサーバーがハッキングされて個人情報が流出するという話を耳にすることがあります。メールの暗号化がされていなかったばかりに、第三者からハッキングされ、メールを送っている側だけでなく、他の人たちにも迷惑をかけてしまう危険があるのです。 ということで今回は、メールの暗号化を推奨しているGmailの機能を例に挙げながら、「そもそもメールの暗号化とは」「グローバルでのメール暗号化の状況」「設定方法」「なりすましを防ぐDMARCについて」などメールのセキュリティーについてご紹介します。 (目次) 1. メールの暗号化とは? 2. Gmailにおける暗号化の確認方法 3. グローバルでのメール暗号化状況 4. メール暗号化の必要性とリスク 5. メールの暗号化の仕組みと設定方法 6. Benchmark Emailで送られるメールは暗号化されている 7. メールのセキュリティーにはDMARCも重要 メールの暗号化とは? メールの暗号化とは、本文や添付ファイルを含むメールでのやりとりの内容を第三者に盗み見られないようにするための技術です。 メールは多くのサーバーを経由してやりとりがされるため、その途中で情報を盗まれるリスクがあります。暗号化ができていれば、メールを送信する際に内容が自動的に暗号化され、盗み見や改ざんなどを防ぐことが可能です。 Gmailにおける暗号化の確認方法 Gmailでは、「メールが暗号化されているかどうか」の確認が簡単に可能です。 暗号化されていないメールに「?」が表示されてすぐに分かる [caption id=\"attachment_534\" align=\"alignnone\" width=\"700\"] 出典元:Official Google Blog: Building a safer web, for everyone[/caption] Googleは、2016年2月9日に「暗号化されていないメールがひと目でわかる」新たな機能をGmailに追加しました。 この新機能では、Gmailを利用したメール送受信において、SSL/TLS暗号化に対応していないメールサーバとのメールのやり取りを行った場合、暗号化されていないメールの送信者名のプロフィール写真に「?」が表示されるようになりました。 メールを完璧に暗号化するには、送信側と受信側の両方が暗号化している必要があるため、この機能の追加により、Gmailを使っている人が相手のメールが暗号化されていない(盗み見られる危険性を持っている)ことを簡単に確認できるようになりました。 暗号化されていないメールアドレスへ送信する際にも警告が表示される [caption id=\"attachment_535\" align=\"alignnone\" width=\"650\"] 出典元:Official Google Blog: Building a safer web, for everyone[/caption] メールでは受信するだけではなく「返信」をしますよね。返信の際に暗号化されたメールに返信するのか、暗号化されていないメールに返信するのかを確認することも必要です。 Gmailではメール受信時だけでなく、メール送信時にも送り先のメールアドレスが暗号化されていない場合に「赤い鍵が外れているマーク」が表示され、警告が表示されるようになりました。 実際にGmailで確認をしてみましたが、暗号化されていないメールには「赤い鍵マーク」が表示されていました。 グローバルでのメール暗号化状況 [caption id=\"attachment_40630\" align=\"aligncenter\" width=\"1145\"] 出典元:Google透明性レポート:送信中のメールの暗号化[/caption] ところで、現状世界におけるメール配信の暗号化はどのくらい進んでいると思いますか? 上記はGoogleが公開したレポートの一部で、メールの送受信によく使われる代表的なドメインです。左はGmailがメールを受信する時に送信元となっているドメインで、右側がGmailを利用して送信する時によく使用されるドメインです。 docomoやsoftbankなどの主要キャリアメールドメインや普段よく活利用しているyahoo.co.jpのドメインの暗号化が軒並み0%だということに驚きです。 そもそもメールが暗号化されていないということは、安全な接続を通じてメールを送信していないことを意味します。悪意ある第三者によってメールが盗み見られたときに、メールの内容がわかって(読めて)しまいます。つまりメールの内容が外部へ流出してしまう可能性があるということです。 メールの暗号化ができていれば、悪意ある第三者が盗み見たとしても、その内容を理解することが難しく、メールの内容が外部へ流出する危険性も低くなります。 企業であっても、個人であっても、メールの内容が第3者に覗き見られてしまう状況は好ましいものではありません。Googleも「暗号化の仕組み – より安全なメール – 透明性レポート – Google」という専用ページを公開して、暗号化の普及を呼びかけています。 ちなみにGmailから送信するメールの多くが暗号化通信に対応しており、Gmailによって自動的に暗号化されています。 メール暗号化の必要性とリスク Benchmark Email USのブログ「Gmail Introduced an Additional Security Feature to Warn Users about Unencrypted Emails」によれば2014年にはGmailと他のプロバイダーを介したメールの40~50%が暗号化されていなかったそうです。 メールマガジンやニュースレターであったとしても、お客様にメールを送るわけですから、そのメールが暗号化されておらず「盗み見されていた!」「ハッキングされていた!」「ウィルスを仕込まれていた!」などとなってしまっては大問題です。 またお客様が企業からのメールに返信をしようとしたときに、送信先のメールアドレスに対する「警告」が表示されたのでは、企業への信頼が揺らいでしまうかもしれません。 メールの暗号化の仕組みと設定方法 メールを暗号化するには、メールホスト名の証明書を利用する「TLS/SSLによる暗号化」とメールアドレスごとの証明書を利用する「PGP、S/MIMEによる暗号化」などがあります。 簡単に説明をすると「TLS/SSLによる暗号化」はWEBサイトを暗号化するのと同じように、メールサーバーで暗号化をする方法です。 Gmail はデフォルトで TLS が使用されますが、適切に暗号化するためには送信者と受信者両方がTLSを使用している必要があります。 保護された接続を通じてのみ送受信を行いたい場合は、TLS を使用することを必須にするドメイン・メールアドレスのリストを作成することで設定が可能です。 参照リンク:メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にする 「PGP、S/MIMEによる暗号化」は、事前に入手した受信者の公開鍵をもとに、暗号化した共通鍵と暗号化したメールを電子署名とともに送信する方法です。 GmailでS/MIME による暗号化の設定方法はこちらを、Outlookで設定する場合はこちらを参照してください。 Benchmark Emailで送られるメールは暗号化されている Benchmark Emailを使ってメールマガジンを送信している場合は、暗号化はどうしたらいいのか?と思われる方もいらっしゃるかもしれません。 まずBenchmark Emailは全てTLSによる暗号化がされているので、新たに何かをする必要はありませんのでご安心ください。 [caption id=\"attachment_37880\" align=\"alignnone\" width=\"1140\"] 出典元:Google透明性レポート:送信中のメールの暗号化[/caption] 上記GoogleオフィシャルページでもBenchmark Emailを経由したメール(メルマガ)をGmailで受信した場合、メールが100%暗号化されていることが確認できます。 また他のメール配信サービスをご利用の方は、Google透明性レポート内、「データを探す」というボックスにて送信ドメインを入力し確認いただくか、各運営会社にお問い合わせください。 このようにGoogleがメールの暗号化や認証基準を高めたことで、メールに対するセキュリティーの重要性は今後ますます見直されていくのではないかと思われます。 メールのセキュリティーにはDMARCも重要 メールの暗号化が重要なのと同時に、なりすましを防ぐことも大切です。 DMARCは、メール送受信におけるなりすましメールやフィッシングなどの被害を防ぐためのシステムです。 Gmailは2016年6月より、このDMARCによるメール認証の設定を変更しました。 この変更により、Gmail(〇〇@gmail.com)を送信元アドレス(Fromアドレス)としてメール配信スタンドやGmail以外のサーバーを経由してメールを送る場合、メールが一切届かなくなります。メルマガ配信などでメール配信スタンドを活用している場合、送信元ドメイン(gmail.com)と送信に使われるサーバー情報(配信スタンド)が一致していないことで「なりすましメールの疑い」があるとされ、そういったメールはすべてブロックされてしまいます。この認証チェック技術をDMARCと呼び、すでにYahooやAOLでも実装されています。 (Benchmark EmailではGmail、Yahoo、AOLを送信元アドレスに設定した場合、送信元アドレスとBenchmark Eamilの情報を合わせて記載することで、これらを利用したメール配信も可能にしています。) CRM大手のSalesforceでもSalesforce 送信メールへの影響についてをお知らせしているほか、メール配信スタンドを経由したメール配信にGmailアドレスを活用されている方にはとても重要な問題と言えるでしょう。 しかし裏を返せば、それだけセキュリティーを強化し被害を受けるリスクを軽減することの方が重要だという認識が高まってきていることが伺えます。 関連ブログ:これでばっちり、メールセキュリティー三銃士 ~メールの到達率を上げるSPF、DKIM、DMARC~ 暗号化やなりすましの対策をまだしていないという方はぜひ設定を行っていただき、より一層安全なメール配信を行なっていきましょう。 その他Gmailに関する記事 Gmailのプロモーションタブにメールが入ってしまう!メルマガを見てもらうために知っておくべき6つの情報 Gmailアップデート 新機能と利用状況のまとめ スマホでの読みやすさが改善!Gmailがレスポンシブメールのサポートを開始! メルマガがGmailで迷惑メールに振り分けられないために迷惑メール判定基準を学ぼう(外部ブログ) *本記事は、2016年6月に公開した記事にアップデート情報を追記したものです。


記事を読む
自社メルマガが迷惑メールに?!解決策はこれ!

自社メルマガが迷惑メールに?!解決策はこれ!

メールマーケティングノウハウ • 2017.07.23

こんにちは、コンテンツ担当の伏見です。 購読を希望している方に向けてメルマガ配信しているのに、迷惑メールになってしまうことありませんか? 配信リストもしっかり集めてるし、内容だって問題ないはずなのにどうして?と疑問に思うかもしれません。 そんなメール配信担当者の頭を悩ます迷惑メールについて、どうすると迷惑メールとして振り分けられてしまうのか、迷惑メールと判定されたらどうすればいいのか、その対応などについてご紹介します! 送信したメールが迷惑メールになる理由 冒頭でさらっとお伝えしていましたが、メールマガジンなどの大量配信を行うには、まず購読者と事前にメール配信を行うことを約束していることが前提です。 関連記事:法律違反になる前に!メルマガで宣伝・広告メールを配信する際に押さえておくべき「特定電子メール法」 例えばブランドのHPに「メールマガジンを購読しますか?」といった登録フォームが設置されているかと思いますが、こういった経緯から登録された相手にメールを送ることが健全とされています。心理上、登録した覚えのないところからメールを受け取ると、迷惑と感じてしまいますよね。 それでもメールが届かない、迷惑メールフォルダに入ってしまうケースがあります。その理由は大きく分けて「メールの作り方」と「送信側のシステム環境」の2種類に分類され、このような場合は受信側の設定や環境によってメールの振り分けが独自に行われています。 では、どんなメールだと受信側で迷惑メールと判断されてしまうのか、いくつかの例をご紹介します。 メールの作り方 迷惑メールと思われてしまうキーワードを使用している 「アダルト」「金」「お得」といった詐欺メールによく使われるような単語をメール内、メールタイトルにつけてしまうと、たとえ内容が詐欺でなくても受信側で迷惑メールと判断されてしまいます。 メール件名や本文が空のメール メール内容が画像のみのメール(または画像の割合が全体の3割を超えるメール) メール内に短縮URLを貼り付けている 上記のような例はどれも迷惑メールでよく使われる手口で、それを受信側のメーラーが学習することで、たとえ送信側が意図していなくても迷惑メールと判定されてしまいます。 参考ページ: ・有効なはずのメールアドレスがハードエラーと表示されます。なぜですか? 送信側のシステム環境 送信に利用しているドメインの評価が低い 送信元メールアドレスがgmailやyahooなどフリードメインである 過去の送信実績などにおいて、迷惑メール報告を一定数以上受けていると送信サーバーの評価が下がってしまいます。評価の低いサーバーからの送信は通常届くはずのメールが届かなかったり、迷惑メールフォルダに振り分けられることに繋がります。 またフリードメインは誰でも簡単に取得できる上、独自ドメインよりも低い評価を受ける傾向にあるので、自社ドメインのアドレスから配信する方が良いとされています。 そしてGmailはさらに複雑 これら迷惑メールに関わる背景に加え、Gmailでは受信したメールを独自のルールで迷惑メールと判断しています。過去にGmailで受信したメールに対する受信者の反応(開封、未開封。また過去に同じ相手からのメールを手動で迷惑メールに振り分けているなど)によってGmailが行動を学習し、その後のメールの振り分けを自動で行っています。なので、例えば受信しているけど一度も開封していないメルマガがあるとすると、開封をしないことをGmailが学習し、「開封しないメール」=「必要ないメール」=「受信トレイでは受信しないもの」と判断するようになるのです。 関連記事: ・Gmailの暗号化設定によりメールに対するセキュリティー意識が向上。ーセキュリティーにまつわるTLS、DMARCって何? ・Gmail上でプロモーションタブに振り分けられてしまう受信メールをメインタブに振り分ける方法 迷惑メールにならないために日頃から気をつけておくことは? 迷惑メールになってしまうと、受信サーバーからの評価も下がり、どんどんメールが届かなくなるという悪循環を引き起こします。そうならないためには日頃のメール配信から見直すことが重要です。 配信リストの管理 配信リストを常にアップデートしておくことは迷惑メールにならないためのもっとも有効な手段の一つと言えます。取得から時間が経っているアドレスは担当者が退社したことで使われていないアドレスとなっていることもよくあります。そういったアドレスへの送信はエラー配信という結果となり、エラー配信を繰り返すことで迷惑メール送信者と評価を受けてしまうことにつながるのです。 メルマガの到達率を高く維持するための正しい運用方法では配信リストの最適な運用方法をご紹介しています。またBenchmark EmailではKickboxという外部ツールを導入し、Benchmark Emailから配信されるメールに使われる配信リスト内のエラー配信アドレスの割合をチェックすることで、サーバー評価を一定に保っています。Kickboxを使って配信前に使えないアドレスを簡単にチェックで詳細をご紹介していますが、メール配信をする前にエラーとなるアドレスを見つけることができる優れものツールがあるのです! システム側の設定で迷惑メールになってしまうリスクを軽減 送信元でできる設定 メール送信をする上で、送信元の素性を明らかにすることは迷惑メールやなりすましメール送信者ではないことを証明することにつながります。これでばっちり、メールセキュリティー三銃士 ~メールの到達率を上げるSPF、DKIM、DMARC~では、SPFレコードを送信サーバーに記載することで、送信者の証明(本人確認)が可能になるなど、詳細をご紹介しています。 メール受信側で、送信されたメールのログとメール送信に使われたアドレスのドメインを照会することで、本当にそこから配信されたものだと裏付けがなされ、結果メールの到達率を維持させることができます。 受信側でできる設定 メールを受信する側でも受信トレイでメール受け取れる様な設定をすることが可能です。 送信元となるアドレスのドメイン情報を受信側で登録することで特定のドメインからのメールを受信できるようにさせることができます。ホワイトリスト化とはなんですか。というページでその設定方法も合わせてご紹介しています。 関連ページ: ・メールが届かない、または迷惑メールフォルダに入ってしまいます。対策はありますか? ・「メールが届かない」などの質問にはメールマガジンの「よくあるご質問」ページを充実させよう 送信前に迷惑メール度をチェック 配信するメールの内容や配信元となるアドレスの評価を基準に迷惑メールになるかどうかを配信前にチェックできるツールがあるのをご存知ですか?あなたのメルマガは大丈夫?迷惑メール度をチェックできる「mail-tester」でご紹介しているmail-testerは無料で、しかも簡単に迷惑メール度をチェックすることができます。診断結果からメールの内容が怪しいといったことがわかるので、メールの修正を行うことができます。 それでも迷惑メールとなってしまったら 上記の様な運用をしてもなお、迷惑メールになってしまうケースもあります。数百、数千件といった大量配信において、数件の迷惑メール報告であれば大きな問題として取り上げる必要はありませんが、それが十数件〜数十件という数で発生していた場合、送信元アドレスがブラックリストに登録されてしまうリスクが高まります。そうなった場合、以降のメール配信において通常であれば届くはずの相手にもメールが送られなくなります。配信に使っているアドレスがブラックリスト登録されてしまった時の対処法を別ブログで紹介していますので、こちらも是非ご覧ください。 さいごに 迷惑メールにならない運用はメール施策の効果に直結します。逆を言えば、購読者との間でメール送信の許諾がなされ、誤解のない内容で身元をはっきりさせていれば迷惑メールになってしまうリスクはかなり軽減できます。 今回は迷惑メールの仕組みや対処法を網羅できる様なブログを心がけました。メールマーケティングを担当している多くの方に読んでもらえればと思います。 それでは、伏見でした。 //<![CDATA[ (function(d){ if(typeof(window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88)=='undefined'){ document.write("\"); }else{ window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88.ONETAGButton_Load();} })(document); //]]>


記事を読む