メールマーケティングラボは、メールを使ったコミュニケーション、メールマーケティングの効果をあげるための様々な情報を発信します。
メルマガ配信、暗号化してますか?STARTTLS(SSL/TLS暗号化)

メルマガ配信、暗号化してますか?STARTTLS(SSL/TLS暗号化)

みなさん、メルマガ配信を暗号化していますか?

唐突に聞かれても、何のことだかさっぱり・・という方も多いと思います。
ですが、このメルマガの暗号化、実はメルマガ業界ではトレンドになりつつある重要な内容で、メール配信システムを扱う各社は、暗号化対応が急がれている、という状況なのです。

そこで今回は、昨年Gmailがサポートを開始したことで話題となった「STARTTLS」という暗号化についてご紹介していきます。

STARTTLSとは?

STARTTLSとは、簡単に言うと、送信メールサーバーから、受信メールサーバーまでのデータ通信を、暗号化(SSL/TLS暗号化)を行う方式のことです。データ通信を暗号化することで、外部からのハッキングや、悪質なメール盗聴などを防ぐことが期待できます。

これまで、WEBサイトの閲覧や、個人情報を入力するWEBフォームなどの多くは、SSL(Secure Sockets Layer)という仕組みで暗号化されてきました。

STARTTLSは、このSSLの仕組みを、メールサーバー間に適用したものになり、MicrosoftのOutlookを皮切りに、Yahoo!メール、@nifty、そしてGoogleのGmailなど、主要なメールソフトが次々とサポートしています。

STARTTLS対応を“しない”とどうなる?

不正アクセスのリスク

STARTTLSに対応をしない場合は、当たり前ですが、外部からの不正アクセスによる、メール盗聴などのリスクが高まります。メルマガとはいえ、企業の顔ともいえる発信になるため、メルマガへ不正アクセスが発生すると、企業の信用問題にもつながります。

Gmailのメールボックスに警告マークが表示

大手メールソフトのGmailを運営するGoogleは、STARTTLSに対応していないメールへの対応を厳しくしました。2016年2月に、GmailでSTARTTLSに対応していないメールを受信した場合、メール開封時に非暗号化の警告表示をする機能をローンチし、順次適用しました。

Google“Building a safer web, for everyone”(英文)
https://blog.google/topics/safety-security/building-safer-web-for-everyone/

▼(下図)STARRTTLS対応していないメールを受信した場合の、Gmailの受信メールの見え方2017-02-03_10h37_36
上図のように、STARTTLS対応していないメールに関しては、赤い色の南京錠警告アイコンが表示されます。
そして「これ何だろう?」とそのマークにマウスオーバーすると、

「このメールは暗号化されませんでした」

という表示がされます。

私が受信している海外企業のメルマガは、非暗号化の警告がほとんど出ておらず、恐らくSTARTTLSへの対応が進んでいるのだと考えられます。
ですが、日本の企業のメルマガは、この非暗号化の表示がされているものが、多数見受けられるように感じます。

まだ日本国内にはSTARTTLSがあまり浸透していないことがうかがえますが、浸透していないとはいえ、自社の配信したメルマガが、読者が読む時に警告表示がされてしまうのは、企業の信用という観点からもちょっと気になってしまいますね。

では、自社のメルマガをSTARTTLSに対応させた、セキュアなものにするには、どのようにすればいいのでしょうか?

自社のメルマガをSTARTTLS対応にする際の3つのポイント

①STARTTLS対応のメール配信システムを利用する

OutlookやGmailのメーラー(メールソフト)は、既にSATARTTLSに対応がされています。ですが、いくらSTARTTLSに対応しているからといって、Outlookのようないわゆる無料メールソフトからのメルマガ一斉配信は、(暗号化以前の問題で)もはや時代遅れです。レンタルサーバからのメールの一斉配信は、キャリアやプロバイダからの受信ブロックに引っ掛かり、メールの不達が多く発生するでしょう。

メルマガのように、一斉に複数のお客様にメールを配信するときは、STARTTLSに対応した専用のメール配信システムを利用するのがいいでしょう。STARTTLSに対応したメール配信システムであれば、配信者側で得に難しい設定をすることなく、暗号化されたメルマガの配信が簡単にできるはずです。

②送信元と受信元両方でSTARTTLS対応が必要

STARTTLSに対応したメール配信システムを導入して、メール配信を開始しても、送信サーバー、受信サーバーのどちらか一方が、STARTTLS対応がされていない場合、メール配信時にデータ通信の暗号化は行われず、平文(非暗号化)でのメール配信を行います。つまり、STARTTLSでの通信を行うためには、送信メールサーバーと受信メールサーバーの両方が、STARTTLSに対応している必要があります。送信側がSTARTTLS対応をしていても、必ずしもメールが暗号化されて配信されるとは限らない、ということは念頭に置いておくべきです。

③SPF、DKIMの設定を推奨

STARTTLS対応のメール配信システムを利用する場合、送信元のFromアドレスのドメインに、SPF、DKIMの設定を合わせて行うことをお勧めします。
SPF、DKIMとは、メールのなりすまし対策として、送信ドメインを認証するための仕組みです。

SPF/DKIMとは
技術解説/財団法人インターネット協会
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/

Gmailの場合ですが、このSPF、DKIMの設定をせずに、STARTTLS対応のシステムでメール配信を行った際に、迷惑メール判定される事象を確認しています。SPF、DKIMは外部のメール配信システムを利用する場合は、なりすましメール対策として必須の設定になるので、併せて設定してしまいましょう。

STARTTLS対応の、国産メール配信システム紹介

最後に、STARTTLSに対応している国内の主要メール配信システムをご紹介します。

弊社が提供する配配メールも、STARTTLSに対応していますので、ご興味があればお問い合わせ頂ければと思います。

・アララ社/ repica sender
・ユミルリンク社/ Cuenote
・ラクス社/配配メール      ※社名五十音順

※2017年2月時点
※WEBサイトで確認できる情報を元に記載しています。





メール配信システム「配配メール」




The following two tabs change content below.

野口 良

Mail​ Marketing​ Lab.(メルラボ)編集部所属。花屋、音楽制作会社を経て、法人向けクラウドサービスのマーケティングを担当。得意技はEQ処理とボーカルピッチ修正。

Comments are closed.

Scroll To Top