メールサーバの構築やコンサルティングを展開するデージーネットは、同社が無料で提供するメールサーバセキュリティ診断サービス『MSchecker」において、2023年1月~2023年12月に実施したセキュリティ診断の結果を集計。グラフにまとめて発表した。
Googleと米国Yahoo!が発表したメール送信者向けのガイドライン
2024年2月より適用されるGoogleの「メール送信者のガイドライン」や、2024年第1四半期より適用される米国Yahoo!のガイドラインの提示・アップデートにより、Google社/Yahoo!社のドメイン宛にメールを送付しているメールプロバイダや企業、つまりほぼ全ての企業団体がガイドラインに沿った対応を求められている。
このガイドラインでは、メールの送信者がSPF、DKIM、DMARCなどの送信ドメイン認証に対応する必要がある旨が記載されている。
ガイドラインに沿った対応を求められている要因には、Google社またはYahoo!社が受け取るスパムメールなどを減らし、ユーザを保護するという狙いの他に、インターネット全体のメールシステムへの注意喚起、セキュリティレベルの向上という狙いがあると考えられる。
この対応を行なわない場合、GmailやYahoo!メール宛のメールが拒否されたり、迷惑メールとして分類されてしまう可能性があるなど、企業・個人問わず大きな影響が生じてしまう。
そこで今回、デージーネットは日本企業のメールセキュリティ対策に警鐘を鳴らすべく、統計レポートを公表するに至ったという。
■調査により判明したSPF/DKIM実装の状況
送信元ドメインの認証を行うために、SPFやDKIMという技術がある。統計結果から「安全(SPF/DKIM両方の実装と認証の合格)」の項目の割合が昨年と比較して13%増加。逆にSPF/DKIM両方の実装がないケースの割合は昨年の16%から7%まで減少した。
しかし、未だに34%の企業は、SPF/DKIMのどちらかに未対応という結果になっている。未対応の企業は、メール送信者向けのガイドラインにより、GmailやYahoo!メール宛のメールが拒否されたり、迷惑メールとして分類されてしまう可能性がある。
■DMARC実装の状況
DMARCの実装結果については、昨年よりも対応済みが5%増加、36%のメールサーバがDMARCを実装という結果だった。この割合は上昇傾向ではあるが、ほぼ横ばいとも言える。
今後、DMARCの対応をしないことにより、GmailやYahoo!メール宛のメールが拒否されたり、迷惑メールとして分類されてしまう可能性がある。
DMARCの対応を行なうことで、送信元ドメイン認証に失敗したメールを受け取らせないなど、送信者側が受信側の処理を強制させることができる。
つまり、自社になりすましたメールは受信者に拒否させる・隔離させるという設定や、そのまま受信させる設定をすることも可能だ。
また、認証に失敗したときの詳細な認証情報を、送信者が受信者からレポートとして受け取ることができ、なりすましメールの送信元を把握したり、メールセキュリティの対策について考えることが可能になる。
■診断総合評価からみるセキュリティ対策の推移
MScheckerでセキュリティ診断を受けたドメインのうち、「危険」と判定されていたメールサーバは、2022年の結果と比較すると0%から1%増加した。
その他、「メールシステム要改善」が8%減少し、「DNS等要改善」が6%増加。このことから、メールセキュリティ対策の実装が進み、DNS等の周辺対策がまだ行われていないということがわかる。
調査結果まとめ
MScheckerを用いたメールサーバのセキュリティ診断では、2022年と比較してメールのセキュリティ対策が進んだことが明らかになった。このことから、2022年から2023年の間で、最低限実施しておくべきメールサーバセキュリティの対策が講じられたことがわかる。
さらに、「DMARCに対応しているか」や「SPF/DKIMに対応しているか」の結果から、企業のメールサーバセキュリティ対策は、自社へのメールセキュリティ対策だけでなく、取引先や顧客へ影響のある「送信元ドメイン認証」などの対策強化への取り組みは進んでいるが、なかなか普及されていない状況であることも判明した。
より早期に対策が推奨されていたSPF/DKIMについては世間的にも情報が広がり浸透していっているのに対し、DMARCについてはDMARC自体の認知や実装方法の情報不足などが原因になっていると考えられる。
一方で、昨年10月のGoogle社・米国Yahoo!社が公開した「メール送信者のガイドライン」により、DMARCの対応が必須として求められるようになる。この動きにより、DMARCの認知・実装も進んで行くと考えられる。
調査概要
調査期間/2023年1月1日(日)~2023年12月31日(日)
調査方法/メールサーバセキュリティ診断『MSchecker』( https://mschecker.jp/ )
調査対象/『MSchecker』にてセキュリティ診断を受けたドメイン
有効回答ドメイン数/214件(企業・個人含む)
関連情報
https://www.designet.co.jp/
構成/清水眞希