TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」 | ScanNetSecurity
2024.06.18(火)

TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

 これらは Google 等が求めている新基準には合致しない為、6 月以降 Gmail には届かなくなる可能性があります。新基準では「本文中の解除リンク」「ランディングページでの解除」だけでは要件を満たしているとはみなされないのです。それでは新基準が求める List-Unsubscribe についておさらいしておきましょう。公式の記載は次の通りです。

特集 コラム
(イメージ画像)
(イメージ画像) 全 4 枚 拡大写真

 Google さんと米国 Yahoo!さん(Yahoo! Japan / LINEヤフーさんのことではありません)が、昨年 10 月に迷惑メール対策の為の新基準を発表してから約半年が過ぎました。

 この新基準は、今年 2024 年の 2 月から段階的に適用され、いよいよ 6 月には本格適用される予定です。特に影響が大きいのは Gmail に対して 5,000 通以上のメールを送信している、いわゆる大量送信者に該当する方々かと思います。

 この新基準には様々な要素があり、詳しくは各社が公表しているガイドラインを確認くださればと思いますが、筆者が一人のメール受信者として非常に気になっている点があります。それは List-Unsubscribe の対応です。

 弊社の調査では DMARC の導入率は非常に伸びてきており、日経 225 企業の今年の 4 月調査時点での DMARC導入率は 91.1 % と高い数字になっています。

 一方でワンクリックでの購読解除についてはどうでしょうか。新ガイドラインにおいては 5,000 通以上マーケティングメッセージを送信する場合にはワンクリックでの購読解除を義務付けています。DMARC の対応が済んでいたとしてもワンクリックでの購読解除が非対応では不完全な対応となってしまいます。

 あくまで筆者の個人メールボックス内に限定した話で偏りがある為、普遍性のあるデータではありませんが、筆者が受信している国内外合わせて 31 社のメルマガを調べてみたところでは、半数以上がワンクリックでの購読解除に対応していませんでした。

 余談ですが、これらの内の何社かのメールは SPAMフォルダに振り分けられていました。新基準では SPAMレートを 0.3 % 以下に維持しないといけない為、これらの会社はその観点でも届かなくなる可能性があります。

※筆者のプライベートメールボックス内調査

(同一会社の別ブランドはログイン後の Webページが別の場合のみ重複カウント / 会員数の調査は行っておらず、Gmail に対して 5,000 通以上送信しているかどうかは未調査)

 非対応の会社の仕様は概ね「メール文中の解除リンクをクリックすると会員ページに飛ばされ、会員ページにログインをして購読するメルマガを選択、または選択解除を行う」というものです。メールの文中に購読解除のリンクはあるものの、それをクリックするとログインページに遷移し、会社によってはログイン後に解除のページではなく会員情報ページのトップに遷移する為、そこから更に購読解除ページを探さないといけない仕様のところも複数ありました。特に日本の企業はそのような仕様が多い印象です。

 これらは Google 等が求めている新基準には合致しない為、6 月以降 Gmail には届かなくなる可能性があります。新基準では、本文中の解除リンク、ランディングページでの解除だけでは要件を満たしているとはみなされないのです。

 それでは新基準が求める List-Unsubscribe についておさらいしておきましょう。

 公式の記載は次の通りです。

出典: https://support.google.com/a/answer/81126 (2024日4月23日)

 基本的にはこの公式サイトにある通り List-Unsubscribeヘッダを具備する必要があります。また、RFC8058 に従って実装する必要がありますので注意すべき点があります。

 まずは RFC8058 の 3.1 と 4 から RFC 記載内容の確認です。

● しなければならない(MUST)

・List-Unsubscribeヘッダ及び List-Unsubscribe-Postヘッダを具備すること

・List-Unsubscribeヘッダは必ず 1 つの HTTPS URI を具備すること

・List-Unsubscribe-Postヘッダには必ず一対の key/valueペアである ”List-Unsubscribe=One-Click" を具備すること

・List-Unsubscribeヘッダと List-Unsubscribe-Postヘッダをカバーする DKIM署名を具備すること

・List-Unsubscribeヘッダと List-Unsubscribe-Postヘッダをカバーする DKIM署名は有効な DKIM署名の ”h=” タグに含まれていること

・List-Unsubscribeヘッダの URI にはメール受信者とメール受信者が含まれている削除対象リストを識別する為に十分な情報を含んでいること(ワンクリックで購読解除する為にはユーザに購読解除対象を確認する方法はありません)

● してはならない(MUST NOT)

・POSTリクエストには Cookie や HTTP認証、その他コンテキスト情報を含んではならない

・HTTPリダイレクトを返してはならない(多くのブラウザが HTTP POST を GET に変換する為)

●する必要がある(SHOULD)

・URI にはリストと加入者名もしくはそれらを識別する為の不透明な識別子もしくは別の偽造が困難なコンポーネントを含める必要がある(攻撃者に悪用されて不本意な解除が行われない為の施策が必要)

・購読解除の処理を行うサーバは不透明な識別子または偽造困難なコンポーネントが有効であることを検証する必要がある

●しないほうがよい(SHOULD NOT)

・メッセージに含まれている有効な DKIM署名がない場合は、受信者はワンクリック解除を行わない方がよい

●してもよい(MAY)

・List-Unsubscribeヘッダには MAILTO:等の HTTP/S 以外を含んでもよい

●その他

・メール送信者は List-Unsubscribeヘッダで指定された URI への POSTリクエストを処理し、購読解除を実行する為のインフラを提供する必要がある

 サンプルで見ていきましょう。

・List-Unsubscribe-Post: List-Unsubscribe=One-Click
・List-Unsubscribe: <https://example.com/unsubscribe/example?key=123456>

 例えば以下の様なケースは、必ず 1 つの HTTPS URI を備えていることという条件を満たしていないので NG です。

・List-Unsubscribe-Post: List-Unsubscribe=One-Click
・List-Unsubscribe: <mailto:unsubscribe@example.com?subject=unsubscribe>

 List-Unsubscribeヘッダと List-Unsubscribe-Postヘッダを用意しなければならないだけでなく、RFC8058 準拠ということで有効な DKIM署名を用意しなければならない点は見落としがちなので注意が必要です。DKIM署名には証明書が必要なので、準備がギリギリになってしまうと間に合わないことも考えられます。また、DKIM の鍵のビット長はセキュリティの為にも 2,048 ビットにしておくことをおすすめします。

 また、先に引用した Google のガイドラインにもありますが、Webサイトで購読者が自分の購読しているリストを確認して購読解除処理を行う方法や、複数件バウンスしたメールアドレスの自動解除を行う等の方法だけではこのガイドラインを満たしたことにならない為、注意が必要です。

 また、前述したようなログインページに飛ばされてユーザがログインしてから購読解除するメルマガを選択するという仕組みもよく見かけますが、このガイドラインの要件を満たしていないことになります。

 これまでは Google のガイドラインを中心に記載してきましたが、米国Yahoo! 宛に大量送信している場合には、上述の内容の他に「リクエストから 2 日以内に購読解除処理を完了させる必要がある」という条件も付記されています。米国の Yahoo! アカウントに大量送信している国内のメルマガ事業者は余り多くないとは思いますが、該当する場合には留意してください。

 以上の様に様々な要件がありますので、対応にはそれなりに期間を要するでしょう。現在対策中の皆さまもいらっしゃるかと思いますが、まだ準備されていないようでしたら、6 月になってからメールが届かなくなるという事態に陥らない為にも早々に着手されることをおすすめします。

[著者]
株式会社TwoFive 高橋 尚也(たかはし なおや)
 海外メールベンダー製品のプリセールスとしてスパムフィルタの国内展開・導入サポートに従事後、2014 年からは、株式会社TwoFive にてメールシステムのプリセールスやコンサルティング、サポート等を担当

《株式会社TwoFive 高橋 尚也》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  4. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  5. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る
PageTop