Sansanのメール一括配信におけるドメイン認証設定案内の落とし穴

2023年、GoogleはGmail宛のメールに対して新しいガイドライン(メール送信者のガイドライン)を2024年2月から適用すると発表した。

この発表より後の2024年1月11日にSansanからシステム管理者宛に「Googleのガイドライン修正に伴い、(中略) メール一括配信を利用する場合は、必ずドメイン認証の設定をお願いします」という案内メールが届いた。

一見するとSansanからの案内はGoogleのガイドラインに対応するもののように見えるのだが、 実態としてはGoogleのガイドラインの内容とは関係がないことに注意が必要である。

Sansanからシステム管理者宛のメール

実際にSansanから送られてきた文面の抜粋は以下(私にはSansanシステム管理者から転送されてきたので、改行の位置などは異なるかもしれない)。

2024年1月23日にGoogleのガイドライン修正に伴い、メール一括配信にてドメイン認証(SPFおよびDKIM認証)の設定をしていない場合、
Gmailアドレス(gmail.com)宛にメールが配信できなくなります。
メール一括配信を利用する場合は、必ずドメイン認証の設定をお願いいたします。

ドメイン認証設定の方法は以下ヘルプをご参照ください。
≫メール一括配信の発信元ドメインを設定する
https://jp-help.sansan.com/hc/ja/articles/900000291386

ドメイン認証設定は、Sansan上の設定だけではなく、貴社のDNSサーバにレコードを追加する必要があります。
設定方法は環境によって異なるため、詳細については貴社DNSサーバの担当者にご相談ください。

既にドメイン認証を設定済みの場合やメール一括配信を利用する予定がない場合は対応不要です。

私は読み違えていたのだが、「Gmailアドレス(gmail.com)宛にメールが配信できなくなります。」というのは、
「Googleが弾いてしまうから届かなくなります」という意味ではなく、「Sansanから送れないように仕様変更します」という意味である。

またGoogleのガイドラインでは1日5000通未満の場合と5000通以上の場合で要求する水準が異なるが、
Sansanからのメールに「5000通」という数字がないのは、Sansanの顧客すべてが対象だからである。

具体的には、1日5000通未満の場合、GoogleのガイドラインではSPFとDKIMのどちらかを設定すれば良いことになっているが、
Sansanでは送信数に関係なくSPFとDKIMの両方の設定が必要となる。

「既にドメイン認証を設定済みの場合やメール一括配信を利用する予定がない場合は対応不要です。」
という部分も、Sansanの仕様変更については対応不要であるけれど、Googleのガイドライン変更について対応不要とは言っていない点に注意が必要である。

特に、1日5000通以上送信する場合はSPFとDKIMに加えてDMARCもGoogleのガイドラインでは要求されているが、SansanはDMARCについては文中に何も書いていない。

文中のSansanの説明ページ(メール一括配信の発信元ドメインを設定する)においても SPFとDKIMの設定についてだけ記述されていて、DMARCについては一切記載がないのは同様である。

なお、私がサポートに連絡してDMARCについても書いたほうが良いなどと言ってしまったのでこの記事を書いた後に修正があるかもしれないため、 2024年1月11日時点で魚拓を保存しておいた(http://archive.today/D0J0d)。1

まとめ

  • SansanはGoogleのガイドライン修正を契機に「gmail.com宛に一括送信するすべての顧客にSPFとDKIMの設定を必須とする」よう独自に仕様を変更しただけ。
  • Sansanが要求するのはSPFとDKIMだけなので、1日5000通以上の場合Sansanの案内に従うだけではGoogleのガイドラインを満たせない。
  • 逆に1日5000通未満であっても、SPFとDKIM両方の設定が必須である。

「Sansanからの案内に従って設定したから新ガイドラインへの対応は完了した」「1日5000通も送らないから自社は関係ない」と思っていると落とし穴にハマってしまう

なお、1日5000通未満であってもSPFとDKIMの設定は両方したほうが良いこと自体は間違っておらずSansanの仕様変更に意味がないわけではないこと、 またSansanの文面に足りないところは多いものの嘘があるわけではないこと、の2点には留意いただきたい。2


  1. Jan. 24 2024 追記: やっぱりDMARCについての記述が追加されていた! (左: 1月11日時点、右: 1月24日時点)


    Googleのガイドラインについて何も言っていない点は変わらず。あとdigコマンド例がおかしいのも一緒に直してほしかった。 ↩︎

  2. Googleのガイドラインには他にも「Gmail の From: ヘッダーのなりすましはしないでください。(原文: Don’t impersonate Gmail From: headers)」 「ワンクリックでの登録解除に対応し、メッセージ本文に登録解除のリンクをわかりやすく表示する必要があります。」といった要件もあるのだが、対応しているのかどうかは不明である。 ↩︎