Gmailの各種表示の意味を解説します

GoogleのWEBメールシステムであるGmailをお使いの方は、御社のお客様にも多いのではないでしょうか。

以前の記事でもお知らせ致しましたが、Gmailアドレスへ御社のドメインからメールを送信した場合、どのように表示されているかを知ると、お客様が御社をどのようなイメージで見ているか…がわかるかもしれません。

下の図は、弊社のcast.worksメールサーバーからGmailへメールを送信したものを、画面キャプチャしたものです。
弊社のメールサーバーは
・送信ドメイン認証技術(SPFとDKIM)の設定
・メールサーバー間のSSL/TLSによる暗号化
を実装しているため、注意喚起すべき表示がありません。

この記事では、図中の赤い文字の部分を解説させていただきます。

Gmailの表示解説

御社のメールサーバーが送信ドメイン認証技術に対応していない場合
WEB版GmailとAndroidでは、送信ドメイン認証技術である”SPF”または”DKIM”のどちらかで認証がされない場合、メールのプロフィールアイコンに“?”(はてなマーク)が表示されます。

また、送信者の右側に「経由」と表示される場合があり、ドメインで署名したDKIMキーがFromアドレスで使用するドメイン名と異なる署名(第三者署名)であった場合に表示されます。
Gmailで経路情報が表示されないようにするためには、正しく設定されたSPFと、DKIMが第三者署名ではなく作成者署名である必要があります。
作成者署名で登録することで、この「署名元」に独自ドメインを表示することができ、受信者からみた際のメールの信頼度が上がります。

御社のメールサーバーがメールサーバー間のSSL/TLS通信に対応していない場合
赤い鍵アイコンが表示され、「暗号化」項目に【ドメイン名】はこのメッセージを暗号化していませんと表示されます。
※正確には赤い錠アイコン

【情報追記】
送信元項目
メール送信元のサーバー情報が表示されます。
メールマガジンの配信システムなどを利用している場合は、サービス提供者のドメインが表示される場合もあります。


自社のメールアドレスから送信したメールが、Gmailで赤い文字が多く表示されている事業者さまは、是非この際にメールサーバーの乗り換えをご検討ください。


Google Chromeが「保護された通信」表示を開始

参考リンク:
Google Chromeが2017年からHTTP接続に警告を表示 → 内部リンク

2017年1月にリリース予定のGoogle Chrome 56から、パスワードやクレジットカード情報を送信しているHTTPサイトを「安全ではない(Not secure)」と表示すると伝えられていましたが、
現在最新版のChrome 55においてTLS(SSL)通信が行われているページで「保護された通信」と表示されるようになりました。

chrome55 保護された通信

「安全ではない(Not secure)」または「保護されていない通信」の表示は未だ行われてはいませんが、Chromeの開発先行版「Chrome canary 56」では既に実装されているようです

GoogleがSSL/TLSページを優先的にインデックスすることと併せて企業ページのSSL/TLS暗号化はますます進みそうですね。

Google Chromeが2017年からHTTP接続に警告を表示

参考リンク:
Google Chromeが2017年からHTTP接続に警告を表示 → 外部リンク
chrome56 no ssl

Google Chromeチームは9月8日(米国時間)、「Chromium Blog」において、2017年1月のGoogle Chrome 56からパスワードやクレジットカード情報を送信しているHTTPサイトを「安全ではない(Not secure)」と表示すると伝えました。
最初は、アドレスバーにグレーで「Not secure」と表示されるようになるとのことでが、最終的にはすべてのHTTPページを対象に、破損しているHTTPSページと同じ赤い三角のアイコンで安全でないことを表示するようになる…とのことです。

chrome56 no ssl

SSLv2に含まれる脆弱性(DROWN)について

ウェブサイトを閲覧するときのお話です。
「http://~」ではなく「https://~」で始まるURLへアクセスすると、なんだか安心感がありますよね。

SSL認証の鍵マーク
SSL認証の鍵マーク

この鍵マークがあれば『サーバーとの通信が暗号化されていますよ』ということなのですが、この暗号化された通信であっても『解読される恐れがある』という脆弱性が発見されました。

あまり不安を煽りすぎるのもどうかと思うのですが、発見された脆弱性を突いて悪意のある第三者が暗号化を解読する可能性があるのは、
・HTTPSサーバーがSSLv2で接続可能な場合
・SSLv2で接続できる他のサーバーで同じ秘密鍵を使い回している場合
であり、現在のWEBサーバーの主たる設定ではありません。
※現在はSSLと表記していても、技術的後継であるTLSに移行しています。

しかしながら…
・未だHTTPSサーバーの17%でSSLv2接続を行って
おり、
・秘密鍵を使い回ししているHTTPSサーバーが16%存在
するそうです。

企業のサーバー管理者の皆様、「SSL/TLSを導入しているから安心」だと思っていませんか?
ご自分の企業のWEBサーバーはお客様へ安心できるセキュリティを提供できているでしょうか?
是非一度ご確認ください。
ご不明な場合はご相談もお承りいたします。

参考リンク:
The DROWN Attack(研究者たちが立ち上げたDROWNに関する情報ページ) → 外部リンク
全HTTPSサイトの33%でSSL/TLSが解読される恐れのある脆弱性「DROWN」、OpenSSLチームは修正パッチを配布 → 外部リンク
SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明 → 外部リンク

「認証メール配信」プロダクト補足記事 目次

メールマガジン配信システム「認証メール配信」サービスのプロダクトページだけではわからない、受信者の「迷惑メールフォルダ」に入りにくくなる技術とその標準機能について、数回にわたってブログで紹介していきたいと思います。

このエントリーは目次として利用いたしますので、各記事を投稿次第、リンクを更新してまいります。
※目次は目安であり、記事投稿の都合により変更となる場合がございます。

もしかして、迷惑メールフォルダに振り分けられているかも?

第1回 認証メール配信とは(SPFと逆引き編)
第2回 認証メール配信とは(DKIM編)
第3回 認証メール配信とは(DKIM作成者署名と第三者署名編)
第4回 認証メール配信とは(送信ドメイン認証まとめ)
第5回 認証メール配信とは(HTMLメール配信)
第6回 認証メール配信とは(マルチデバイス対応)
第7回 認証メール配信とは(テンプレート作成)
第8回 認証メール配信とは(ステップメール)
第9回 認証メール配信とは(セグメント配信)
第10回 認証メール配信とは(日時予約配信)
第11回 認証メール配信とは(独自ドメイン)
第12回 認証メール配信とは(メール開封数)
第13回 認証メール配信とは(メルマガ会員登録フォーム)
第14回 認証メール配信とは(送信対象者に応じた内容変更)
第15回 認証メール配信とは(登録変更フォームと登録解除)
第16回 認証メール配信とは(顧客データベース管理)
第17回 認証メール配信とは(メールアドレス一括登録)
第18回 認証メール配信とは(配信速度)
第18回 認証メール配信サービスはWEBサーバーも提供

The HTTPS-Only Standard

以前から推奨はされていましたが、米国行政管理予算局(Office of Management and Budget:OMB)が正式メモランダムとしてThe HTTPS-Only Standardに署名をしたとのことです。
この覚書により、アメリカ連邦政府のWEBサイトは2016年12月31日までに全てHTTPS通信のみに移行するようです。

皆さんのWEBサイトは、セキュアな環境をお客様に提供できていますか?

The HTTPS-Only Standard
HTTPS通信のみをスタンダードにする

『アメリカ連邦政府のサイトは、暗号化されたWEBサイトの通信のみにする』というCIO.govの掲示

HTTPS-Everywhere for Government
HTTPS – 身近な政府のために

『すべての公的にアクセス可能な連邦のウェブサイトは、2016年12月31日までにHTTPSのみの規格を満たしている必要がある』トニー·スコット 米国最高情報責任者の掲示

貴社から送信されるメールは認証されていますか?

当社のドメインは、弊社代表進藤がコチラにも書いているとおり cast.works です。
が、実は castworks.co.jp という日本国内の企業向け(co.jp)ドメインも他者によるいたずら防止のため、所持しています。

これら二つのドメインはいずれも cast.works のサーバで処理されるようになっているため、同一のコンテンツが表示されています。

最近のレンタルサーバでも、ここまではできるようになってきたサーバが見受けられますが、これ以上となるとなかなか「レンタル」で要件を満たすサーバは借りられません。

さらにタイトルのとおり、認証されたメールを送信可能な「レンタル」サーバはまだ多くありません。

皆さんも日々数多くの迷惑メールを受けとっていると思いますが、この迷惑メールのFromアドレスをよく見てみると、どこかの企業やサイトになりすましたメールが多いことに気がつきます。
電子メールは仕様上、送信元であるFromアドレスを自由に設定し、送信できてしまう仕組みです。
このためフィッシングメールなど、迷惑メールのほとんどは Fromアドレスをなりすまして送信されています。

【送信ドメイン認証とは?】
とは、送信者のアドレスが正規なものであることを証明する技術です。正確に言うと、そのメールアドレスのドメインを見て、それが正規なサーバーから発信されているか否かを検証します。

送信ドメイン認証の技術は、大きく二種類に分けられます。
一つは送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術。
もう一つは、送られたメールの中に電子署名を挿入し、その正当性を検証する技術。
前者には SPF という技術があり、後者には DKIM があります。

総務省が、これらの技術についての普及率を(2014年6月時点)公開していますが、実際には携帯キャリアの数字が大半であろうことから、一般に使用されるメールアドレスにはこれらの数字はあてはまりにくいのではないかと思います。

BtoC や 一部の信用が重要な BtoB の事業では、ますます『メールアドレス(ドメイン)』の正当性に対する重要性が増してきています。
メールを送信しても、顧客のメールソフトにおいて「スパムメール」または「迷惑メール」フォルダにメールが自動で送られ、顧客の目にとまらない…そのような事態をさけるためにも、御社がお持ちのドメインに『送信ドメイン認証』を導入できるサーバーを運用してみませんか?

興味がある方は、お気軽に お問い合わせフォーム からご相談ください。

【注記】ちなみに、弊社のメールアドレスは、info@cast.works でも info@castworks.co.jp でも同一のメールボックスに届くため、別々のメールアドレスを管理する必要はありません。また、両ドメインとも当然ながら SPF・DKIM を別々に設定しているため、どちらのドメインでメールを送信しても「failed」(不正なメール)として扱われることはありません。

WEBサーバのSSL設定

WEBサーバのSSL設定は、デフォルトのまま利用すると今の世の中の現状からするとかなり甘い設定になっています。
デフォルトのまま利用し続けると、セキュリティ上かなり心配です。

Google Chrome の SSL認証鍵マーク
Google Chrome の SSL認証鍵マーク

しかし、一方でガラケーへの対応が必須になっているサイトであったりする場合、むやみやたらとセキュリティを高く設定すると、古いガラケーがサイトに接続できなくなってしまいます。
また一般的なレンタルサーバではこのような設定項目は無く、ホスティング業者さんの設定に任せるしかありません。

利用者の環境とセキュリティの強度という相反する事柄に対応しなければならないため、このあたりの設定はバランスが非常に難しく、いつも悩ましいところです。

右の図は、WEBブラウザ Google Chrome の 当サイトにおける SSL認証時のセキュリティ表示です。

大抵のブラウザにおいて、SSL認証がかかっているページでは URL表示欄右側が緑色に表示されますが、この状態のとき、鍵マークをクリックしてみてください。
このような表示が現れます。

貴社のサイトに「◯◯◯への接続は古い暗号化技術により暗号化されています」等と表示されている場合は、WEBサーバの管理者へ連絡し TLSのバージョンと、CipherSuite の値について設定を見直してもらってください。

※ガラケー対応が必須、特定のバージョンの WEBブラウザへの対応が必要など場合を除いてどうしても対応できない場合もあります。