2024年2月21日14:21
TwoFiveは、2024年2月版のなりすましメール対策実態調査結果を発表した。TwoFiveは、毎年5月と11月に送信ドメイン認証技術DMARC導入実態調査の結果を公開しているが、今回の2月版調査結果では、昨年10月に発表されたGoogle /米Yahoo!の迷惑メール対策強化のための送信者向け新しいガイドラインを受けての変化を見るために、2023年11月~2024年2月の調査結果をまとめている。調査対象は、日経225企業が管理・運用する8,545ドメインだ。
日経225企業は、2024年2月時点で、193社(85.8%)が少なくとも1つのドメインでDMARCを導入しており、前回調査の11月と比較すると3カ月間で17.8ポイント増加し、前回調査における1年間の増加12.9ポイントを、3カ月間で上回っている。
新しいガイドラインは、1日当たり5,000通を超える規模の大量送信をする場合は、DMARC導入必須とし、同ガイドラインの条件を満たせない場合は、受信拒否や迷惑メール扱い、流量制限など何らかの制限を行うというもので、Googleは2024年2月からGmailに適用するとしていることから、DMARCを導入した企業が急激に増加したと考えられる。また、米Yahoo!も、2024年第1四半期から適用としており、今後さらにDMARC導入が加速するものと期待される。
2023年11月~2024年2月に、初めてDMARCを導入した企業は40社。業種セクター別では、電気機器・自動車・通信などを含む「技術 (n=61)」が10社、銀行・証券・保険などを含む「金融 (n=20)」が3社、食品・小売業・サービスを含む「消費 (n=35)」が6社、化学、鉄鋼、商社などを含む「素材 (n=52)」が9社、機械・建設・不動産などを含む「資本財・その他 (n=35)」が6社、陸運・電力・ガスなどを含む「運輸・公共(n=22)」が6社だった。
日経225企業のDMARC導入済みドメイン(2,825ドメイン)は、それぞれ認証に失敗した際の取り扱いを指示するDMARCのポリシーが設定されており、「quarantine(隔離)」「reject(拒否)」を設定することでなりすましメール対策が有効となるが、2024年2月時点では、「none(何もしない)」が大半(85.3%)を占めている。
ちなみに、新しいガイドラインでは、「p=none」のポリシー設定でよいとされている。
また、「DMARC集約レポート」を受け取る設定にしているドメインの割合は、2024年2月時点で、91.3%と非常に高いが、一方で「DMARC失敗レポート」を受け取る設定にしているドメインの割合は、21.8%にとどまっている。意図しないメール送信を見つけるために、メールがどのように認証され処理されたかを把握しようするために、「DMARC集約レポート」を主に活用していると考えられる。
新ガイドラインでは、1日5,000通に満たない規模の送信者も含めた全ての送信者向けに、DKIM / SPFの設定、暗号化のためのTLS(Transport Layer Security)の使用、メッセージ形式などさまざまな条件が示されている。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト