Google さんと米国 Yahoo!さん(Yahoo! Japan / LINEヤフーさんのことではありません)が、昨年 10 月に迷惑メール対策の為の新基準を発表してから約半年が過ぎました。
この新基準は、今年 2024 年の 2 月から段階的に適用され、いよいよ 6 月には本格適用される予定です。特に影響が大きいのは Gmail に対して 5,000 通以上のメールを送信している、いわゆる大量送信者に該当する方々かと思います。
この新基準には様々な要素があり、詳しくは各社が公表しているガイドラインを確認くださればと思いますが、筆者が一人のメール受信者として非常に気になっている点があります。それは List-Unsubscribe の対応です。
弊社の調査では DMARC の導入率は非常に伸びてきており、日経 225 企業の今年の 4 月調査時点での DMARC導入率は 91.1 % と高い数字になっています。
一方でワンクリックでの購読解除についてはどうでしょうか。新ガイドラインにおいては 5,000 通以上マーケティングメッセージを送信する場合にはワンクリックでの購読解除を義務付けています。DMARC の対応が済んでいたとしてもワンクリックでの購読解除が非対応では不完全な対応となってしまいます。
あくまで筆者の個人メールボックス内に限定した話で偏りがある為、普遍性のあるデータではありませんが、筆者が受信している国内外合わせて 31 社のメルマガを調べてみたところでは、半数以上がワンクリックでの購読解除に対応していませんでした。
余談ですが、これらの内の何社かのメールは SPAMフォルダに振り分けられていました。新基準では SPAMレートを 0.3 % 以下に維持しないといけない為、これらの会社はその観点でも届かなくなる可能性があります。
(同一会社の別ブランドはログイン後の Webページが別の場合のみ重複カウント / 会員数の調査は行っておらず、Gmail に対して 5,000 通以上送信しているかどうかは未調査)
非対応の会社の仕様は概ね「メール文中の解除リンクをクリックすると会員ページに飛ばされ、会員ページにログインをして購読するメルマガを選択、または選択解除を行う」というものです。メールの文中に購読解除のリンクはあるものの、それをクリックするとログインページに遷移し、会社によってはログイン後に解除のページではなく会員情報ページのトップに遷移する為、そこから更に購読解除ページを探さないといけない仕様のところも複数ありました。特に日本の企業はそのような仕様が多い印象です。
これらは Google 等が求めている新基準には合致しない為、6 月以降 Gmail には届かなくなる可能性があります。新基準では、本文中の解除リンク、ランディングページでの解除だけでは要件を満たしているとはみなされないのです。
それでは新基準が求める List-Unsubscribe についておさらいしておきましょう。
公式の記載は以下URLに記載の通りです。
https://support.google.com/a/answer/81126(2024年4月23日)
基本的にはこの公式サイトにある通り List-Unsubscribeヘッダを具備する必要があります。また、RFC8058 に従って実装する必要がありますので注意すべき点があります。
まずは RFC8058 の 3.1 と 4 から RFC 記載内容の確認です。
● しなければならない(MUST)
・List-Unsubscribeヘッダ及び List-Unsubscribe-Postヘッダを具備すること
・List-Unsubscribeヘッダは必ず 1 つの HTTPS URI を具備すること
・List-Unsubscribe-Postヘッダには必ず一対の key/valueペアである ”List-Unsubscribe=One-Click" を具備すること
・List-Unsubscribeヘッダと List-Unsubscribe-Postヘッダをカバーする DKIM署名を具備すること
・List-Unsubscribeヘッダと List-Unsubscribe-Postヘッダをカバーする DKIM署名は有効な DKIM署名の ”h=” タグに含まれていること
・List-Unsubscribeヘッダの URI にはメール受信者とメール受信者が含まれている削除対象リストを識別する為に十分な情報を含んでいること(ワンクリックで購読解除する為にはユーザに購読解除対象を確認する方法はありません)
● してはならない(MUST NOT)
・POSTリクエストには Cookie や HTTP認証、その他コンテキスト情報を含んではならない
・HTTPリダイレクトを返してはならない(多くのブラウザが HTTP POST を GET に変換する為)
●する必要がある(SHOULD)
・URI にはリストと加入者名もしくはそれらを識別する為の不透明な識別子もしくは別の偽造が困難なコンポーネントを含める必要がある(攻撃者に悪用されて不本意な解除が行われない為の施策が必要)
・購読解除の処理を行うサーバは不透明な識別子または偽造困難なコンポーネントが有効であることを検証する必要がある
●しないほうがよい(SHOULD NOT)
・メッセージに含まれている有効な DKIM署名がない場合は、受信者はワンクリック解除を行わない方がよい
●してもよい(MAY)
・List-Unsubscribeヘッダには MAILTO:等の HTTP/S 以外を含んでもよい
●その他
・メール送信者は List-Unsubscribeヘッダで指定された URI への POSTリクエストを処理し、購読解除を実行する為のインフラを提供する必要がある
サンプルで見ていきましょう。
・List-Unsubscribe-Post: List-Unsubscribe=One-Click
・List-Unsubscribe:
