Gmail への転送エラーを回避する方法

【IIJ 2023 TECHアドベントカレンダー 12/19の記事です】

以前、当エンジニアブログでも記事になっている通り、2024年 2月から Gmail 宛^(※1)のメールは、なりすまし対策として有効な 送信ドメイン認証の対応が必須 となることが告知されています。(→Google, Yahoo の Sender Guidelines について)

したがって Gmail 宛にメールを送信する側、例えばメールマガジンを発行している事業者などは、このガイドラインに従う必要がありますが、一方で様々な理由から Gmail へメールを転送する形で利用しているユーザもいらっしゃいます。メールの転送は送信ドメイン認証の一つである SPF と相性が悪く、しかも受信者の立場では何もすることができません。

そこで、現在ご利用のメールアドレスから Gmail へ転送する(= SPF の認証が失敗する)方法はやめて、Gmail 側からメールを取り込む・吸い出す方法^(※2)に変更すれば、この影響を回避することができます。今回は、その方法を紹介いたします。

Gmail でメールを読む手順 (POP3)

当社の IIJ セキュア MX サービス(以下、SMX)を例にしますが、ご利用の ISP (インターネットサービスプロバイダ) 等でも同じように設定可能です。設定情報はご利用の ISP のマニュアルをご参照ください。

• (例) IIJmio セーフティメールのマニュアル

1. Gmail にログインし、右上の歯車のアイコンをクリック、「すべての設定を表示」に進む。

2. 「アカウントとインポート」タブに移動し、「他のアカウントのメールを確認」から、「メールアカウントを追加する」をクリックする。

3. ご利用のメールアドレスを入力して [次へ]

4. 他のアカウントからメールを読み込む (POP3) を選択して [次へ]

5. POP3 サーバと認証に必要な情報を入力します。

SMX の場合は次のとおりです。

• 「取得したメッセージのコピーをサーバーに残す。」にチェックを入れると、SMX 側にメールが溜まり続けるようになります。
  • SMX で提供している Webmail(MailTap) でも読みたい場合は、ここにチェックを入れます。標的型メール攻撃や、情報漏えい対策に有効な機能を標準装備しています。^(※3)
  • 一方で、保存されているメールの数が多くなると、取り込みに失敗する可能性がありますので注意してください。
• 他の項目は自由に設定して構いません。

認証に成功すると、SMX のメールが Gmail に取り込まれ、Gmail 側で読めるようになります。^(※4)

確認できたら、忘れずに転送の設定を解除してください。
メールを読むだけで良い場合は、ここで設定終了です。おつかれさまでした。

Gmail でメールを送信する手順

Gmail の画面を使ってメールの送信をしたい場合は、続けて設定を行えます。(あとから設定することも可能です)

1. 「はい。」を選択して [次へ]

2. 「名前」にはメーラーや、アプリ上で表示されるもの(Display-name と言います)を入力します。

• 「名前」は入力しないこともできます。
• 「エイリアスとして扱います。」はチェックを外します。

3. SMTP サーバと認証に必要な情報を入力します。

SMX の場合は次のとおりです。

4. 完了画面になったら、ワンタイム URL が送られてきていますのでメールを確認してください。

5. リンクをクリックすると完了です。

Gmail の新規メール送信画面で、「差出人」が選択できるようになっています。これで SMX のメールの送受信が行えるようになりました。メールアドレスが出てこない場合は、画面を再読み込みしてみてください。

おつかれさまでした。

まとめ

今回の事例の良い点、欠点をまとめると、次のようになります。

利用者によっては、A 大学で受けたメールアドレスを、別の B 大学のメールアドレスに転送して、さらに C 会社へ転送したあとに、Gmail へ…のような複数ホップの転送を設定しているケースもあります。このような設定はエラーが発生したときのトラブルシューティングが困難になったり、設定ミスでうっかりループを作ってしまったりしますので、この機会に自分が管理しているメールアドレスの経路を整理しておきましょう。

【管理者向け】このような利用を禁止したい場合

SMX を代表とする法人向けメールサービスでは、情報漏えい対策の観点からこのような利用を禁止したいケースがあります。

SMX のメールボックスプラスオプションでは、POP/IMAP/SMTP、ウェブメールへの接続を IP アドレスで制限することが可能です。例えば、社内ネットワークからのみ接続できるように IP アドレス制限(ACL)を設定することで、本記事のような、Gmail や外部のネットワークからの接続を拒否することができます。接続が拒否されると、正しく設定していても利用者には認証エラーとして表示されます。

また、IP アドレス制限を実施する副次的な効果として、総当たり攻撃や、パスワードの使いまわし、何らかの理由で流出してしまった ID/パスワードを用いて迷惑メールの送信に利用されてしまう「踏み台」対策にもなり、セキュリティを向上させることができますので、必要に応じてご検討・ご活用ください。

SMX での設定方法は、メールボックスプラスオプションご利用の手引きの、次の項目をご参照ください。

• メール送受信の設定・制御
  • SMTP接続のアクセス制限を設定する
  • POP/IMAP接続のアクセス制限を設定する
• Webメール
  • Webメールへのアクセス制限を設定する

SMX のご利用で不明な点がある場合は、IIJ サポートセンターで承ります。お気軽にご相談ください。

脚注

1. 当初は企業向けの Google Workspace も対象でしたが、12月初旬に Google Workspace を対象外とするポリシー変更をした模様です。FAQ が改訂されていました。→ https://support.google.com/a/answer/14229414 [↑]
   

   Do the sender guidelines apply to messages sent to Google Workspace accounts?
   The Email sender guidelines don’t apply to messages sent to Google Workspace accounts. Sender requirements and Google enforcement apply only when sending email to personal Gmail accounts.

   なお、メールサービスを運用している立場からすると、Google 社はこれまでもアナウンスなしに受信ポリシーを変更したと思われる動きを何度も見せています。筆者の推測ですが、今回 Google Workspace を永久に対象外にしたわけではなく、これはあくまで経過措置であって、そのうち再び Google Workspace も対象になるのではないかと予想しています。

2. Google 本家のヘルプはこちらです: https://support.google.com/mail/answer/21289 [↑]
3. IIJ セキュア MX サービスをご利用のお客様でしたら、ぜひこの機会に標準提供されている ウェブメール(MailTap) の利用をご検討ください。二要素認証、IP アドレス制限、ログイン時の一斉通知といった企業に求められる機能から、なりすましメールを視覚的に警告したり、差出人がどの国から送信されたかを示す国旗が表示される機能、フリーメール警告機能などを有しており、セキュリティを重視した設計になっています。[↑]
4. プロバイダによってはパスワードが正しいのに認証が通らないことがあります。これは Gmail の接続元が海外になり、海外からの接続を標準で禁止している ISP に見られます。ご利用の環境が海外からの利用を禁止していないかご確認ください。[↑]