見出し画像

9月18日開催ウェビナー「携帯3社の担当者に聞く DMARCとそれにまつわる四方山話」ご質問への回答

株式会社TwoFive

※本記事は2024/9/18に開催した「携帯3社の担当者に聞く DMARCとそれにまつわる四方山話」ウェビナーの質疑応答にて時間の都合で回答しきれなかった内容への追加回答となります。

先日は「携帯3社の担当者に聞く DMARCとそれにまつわる四方山話」にご参加いただき、誠にありがとうございました。
またたくさんの質問をいただき、誠にありがとうございます。

こちらの記事にて、ウェビナーでの質疑応答時間で回答しきれなかった、質問に対して可能な範囲で回答を致します。

なお、ウェビナーのアーカイブ動画は後日公開予定となります。
当日ご参加いただけなかった皆様、もう一度講演を聞きたい方、3キャリアが一堂に会し講演とパネルディスカッションを行った本ウェビナーをぜひご視聴ください!

Q1. 自社のメールがフィッシング被害を直接的に受ける可能性が低いこと、BIMIがメールサービスに十分普及していないと考えていることから、経営層がBIMI導入に関して懐疑的です。
経営層に必要性を理解して貰うための説得ポイントがあれば教えてください。

A1. BIMIについてはこれから成長・普及していく仕様と言えるかもしれませんが、最近ではセキュリティの観点ではなく、マーケティングの観点で対応するかどうかの議論がなされています。
ある調査では、ブランドアイコンを表示したメッセージの開封率が改善したという例もあります。経営層に対して、マーケティング担当に対して、こういったアプローチもあり得るかと思います。(TwoFive)

Q2. ソフトバンク様のDMARCフィルタではquaraintineは拒否しないということでしたが、その他のキャリア様ではどのような状況でしょうか?
ソフトバンクユーザーからなりすましメールが多いという声を聞くので、DMARCポリシーに準拠したフィルタリングになることを希望します。

A2. Quarantineについては課題として認識しており、対応方針含めて検討中です。(ソフトバンク)
Quaraintine認証失敗時は拒否しています。(KDDI)

Q3. DMARCレポートを分析し、正規の送信元として新たに判明したメールサーバーをSPFに追加する際、SPFのルックアップ制限が課題になることがあります。この場合、サブドメインの活用やSPFホステッドサービスの利用といった対応策が考えられますが、このような課題に対応されたご経験があれば、ぜひお聞かせいただければ幸いです。

A3. 新たに正規のメールサーバが判明した場合、SPFへの追加登録ではなく、DKIM署名対応が望ましいと考えています。これは、指摘にある通りSPFルックアップ数を超えてしまうなどのリスクが伴うためです。(TwoFive)

Q4. 先日のJANOG54でGoogleの迷惑メール対策のセッションがありましたが、その際キャリア3社とも迷惑メール率を0.3%以下に抑えるのが非常に難しいということでした。
Googleに団体を通して物申すなどといった話もありましたが、この数値目標をクリアする目途は立ちそうでしょうか?

Google社から有効な情報開示がないため、有効な対策案の検討にいたらず、迷惑メール率0.3%を下回る目途は立っておりません。Google社と協議のチャンネルはできましたので交渉を継続していく予定です。(ソフトバンク)

Q5. BIMIはメールのセキュリティ向上に非常に有効だと思いますが、一般ユーザーへの認知度がまだ低いように感じます。この状況を改善するため、各社様は何か具体的な施策は検討されていますでしょうか?

A5. その点につきましては弊社としても課題だと感じており、業界連携して啓蒙活動が必要だと考えております。(KDDI)

Q6. dmarcレポートの発行を各社実施されていますか。docomo様が実施されていることは以前確認しました。

A6. ソフトバンクでは現時点ではレポート送信に対応出来ておりません。対応に向けて社内検討中となります。(ソフトバンク)
auメールでは、DMARCレポート発行しております。(KDDI)

Q7. 各社様、事業部(例えば、営業、マーケ部門)がクラウドサービス(MAツールやSaaSサービス)からメールを送付する際は
申請式など、ルール化されていますでしょうか?もしくはガイドライン対応など教育のみでしょうか?
reject切り替え後、新規にクラウドサービスからメール送付などをされる際に事業部側がどのような対応をされているか知りたいです。

A7. 第三者のメール配信サービスを契約、あるいはSaaSを導入する際には、メール送信時の
・ヘッダーFromドメイン
・自組織ドメインでのDKIM署名の付与が可能かどうか
などを確認するようなルールが重要です。
例えば、SaaS契約前にセキュリティチェックをする際に併せて上記の設問をヒアリングするといいかと思います。(TwoFive)

以上、たくさんの質問をお寄せいただきありがとうございました!