BIMIとは？認証の仕組みやなりすまし対策の効果を解説

メールは、さまざまなアカウント開設にも利用される非常に利用者の多いツールです。ゆえに、迷惑メール・なりすましメールも多いのが特徴です。

迷惑メール等を減らし、メールの利便性を向上するため、さまざまな技術が普及してきております。その中でも注目されているのが「BIMI」です。Apple（iCloudメール）、Google（Gmail）、Yahoo!（ヤフーメール）など対応しているメーラーは年々増えています。

しかし、BIMIとはいったい何なのか、対応することでのメリットや設定方法などを知らない方は多いのではないでしょうか。

今回は、なりすまし対策として推奨されるBIMIについて認証の仕組みや導入のメリット、設定方法など解説します。

BIMIとは

BIMI（Bland Indicators for Message Identification）とは、その送信元から送られている正規のメールであることを示すために、自社や当該サービスのロゴマークをメールに表示させる仕組みです。

上の画像のように、BIMIの設定がされていない今までの場合には、アカウント名の頭文字やイニシャル等が表示されます。BIMIの設定がされている場合には右図のようにあらかじめ設定したロゴが表示されるようになります。

今までのメール認証技術などとは異なり、ユーザー側が視覚的に認証等の対応がされているか確認できるため、注目の仕組です。

BIMIによる送信元認証の仕組み

BIMIは、受信したメールがSPF・DKIMの認証に合格している、なりすましや改ざんされていない状態で、DMARCで相手に受け取らない配慮などがされている場合に、その証明として画像が表示されるという仕組みです。

そのため、BIMIの適用にはDMARCの設定が必要となります。DMARCの設定後にDNSにBIMIレコードを追加し、企業のブランドロゴのURLを指定します。 メールのプロバイダーは受信したメールがDMARCとBIMIそれぞれの要件を満たしているかを確認し、満たしている場合のみ送信元のブランドロゴを表示するという流れです。

その他の送信元認証

BIMIの利用には、「SPF」「DKIM」「DMARC」の認証をしている必要があります。以下ではそれぞれの認証について簡単に解説します。

SPF（Sender Policy Framework）

なりすまし・迷惑メール対策として、IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認することができる標準的な送信ドメイン認証技術の一つです。

SPFの仕組みは、メールの送信元となるサーバーのIPアドレス（またはドメイン名）をDNSに登録し、公開することで、メールを受信したサーバーはメールアドレスのドメイン名を使ってDNSに登録されたSPFの設定を調べ、送信元が設定されているIPアドレスと一致するかを確認します。一致していれば正規のメールサーバーからのメールと判別しますが、一致しなければ、第三者のメールサーバーからなりすまされて送信されたメールと判別するという仕組みです。

DKIM（DomainKeys Identified Mail）

なりすまし・迷惑メール対策として、電子署名を利用して受信したメールの送信元が詐称されていないかどうかを確認することができる送信ドメイン認証技術のこと。

DKIMの仕組みは、まず送信者が電子署名に使用する公開鍵をDNSサーバーで公開します。次にメールを送信する際、メール送信サーバーで秘密鍵を用いて送信メールに電子署名を付与し、 そのメールを受信したメール受信サーバーは、署名ドメインのDNSサーバーに問い合わせをして公開鍵を取得し、署名を検証します。一致しなければ、なりすましやメールの改ざんを検知します。

DMARC（Domain-based Message Authentication, Reporting & Conformance）

フィッシングメールやスパム等の迷惑メール対策のため、Google、Facebook、Microsoftらが参加するワーキンググループが定義したレポーティングとポリシー制御のための技術仕様のことです。 送信者と受信者の間でメールの正当性を確認するための送信ドメイン認証は、DKIMとSPFの両方の技術を用いて行います。

BIMIの判定にはDMARCを採用

BIMIにおいて前提となる「送信元が詐称されていないか」の判断には、送信元ドメイン認証の仕組みであるDMARCが用いられます。

DMARCは、送信元ドメイン認証技術のSPFおよびDKIMにより「なりすましメール」と判定されたメールに対する受信側の取り扱いを定義（ポリシー宣言）する仕組みで、「そのまま受信する（none）」 「受信したうえでスパム扱いする（quarantine）」「拒否する（reject）」の3種類から取り扱いを定義することができます。

ここで言う「なりすましメール」は、『DMARCがより参照しているSPFおよびDKIMによる認証のいずれにも失敗したメール』を指します。但し、これには『なりすましではないけどSPFおよびDKIMいずれの設定もされていない」メール』も含まれます。

現在、日本国内におけるDKIMの普及率は50％程度であるもののSPFの普及率は90%程度とされており、ほとんどのメールがいずれかの認証には成功する一方で、裏を返せば全体の最大1割程度は認証に失敗する可能性があるということです。 そのため、「拒否」扱いとした場合になりすまされていないメールも正しく受信できなくなるリスクが存在します。

しかしながら、BIMIはその適用対象を「DMARCポリシーで『拒否』と定義されているドメイン」に限定しています。すなわち、「未設定も含めて認証できないドメインからのメールを受け取らない」 という強力ななりすまし対策水準を設ける必要があり、当然ながら送信側自らが正しくDMARC対策を行わなければなりません。

後述する通り、BIMIへの対応は単なるなりすまし対策のみならずレスポンス率の向上にも資するものであり、その適用を受けようとする事業者には適切ななりすまし対策を講じるよう求めていると言えます。

BIMIは送信者側にとってどう役立つのか

BIMIはなりすまし対策として実装されており、その本義は「受信者が正規の送り元か否かを視覚的に判別しやすくする」点にあることは言うまでもないでしょう。

以下では、送信者側にとってBIMIに対応するメリットを解説します。

正規ブランドとしての安心感を与えられる

一般に、画像は文字の10倍近い情報量を持つと言われています。また、送信者名やアドレス、件名などはどのような名称を騙っても問題無い一方で、BIMIは認証済みの送信元でないと対応できないこともあり、 アイコンやロゴが画像として表示されていることの安心感は特に高いと言えます。

メールの反応率がアップする

BIMI対応によって送信者側として特に期待できるのは「受信トレイ内で目立つようになり、反応アップが期待できる」点ではないでしょうか。

上記の調査結果からわかる通り、ビジネスでも既に3分の1が、プライベートでは過半数がメール閲覧環境として「スマートフォン」を利用しています。 また、PCからの閲覧でもWebメールクライアントを利用する場合、スマートフォン同様にBIMIへの対応が可能です。

ただでさえ文字の羅列であることの多い受信トレイにロゴやアイコンがあれば、それだけで目を引く要素になり得ます。さらに今はまだ対応している送信元事業者が多くない段階でもあり、 より視覚的な訴求効果が高いタイミングとも言えます。現時点では、受信トレイ内で表示できるリッチコンテンツは「件名・プリヘッダーの絵文字」と「BIMI対応によるアイコン・ロゴ画像」しかなく、 「開封前に高い訴求力を持つ」数少ないコンテンツの1つとしても、送信側にとって活用価値は大いにあると考えられます。

なりすまし被害を事前に防げる

なりすましメールによる受信者の被害となりすまされた企業の被害は年々増えています。もちろん受信者側のメールサービスプロバイダーがBIMIに対応していることが前提にはなりますが、 受信者は瞬時になりすましメールと正規メールを見分けることができるようになるため、迷惑メールとして登録されたり報告されるようなことが少なくなります。

BIMIの設定方法（送信者側）

BIMIを設定する手順は以下の流れになります。

①SPF・DKIM・DMARCの設定を行う
②ロゴを作成する
③ロゴの証明書を取得する
④BIMIレコードをDNSに追加する
⑤BIMIレコードを確認する

詳しくはGmailのヘルプページに記載されているため参照ください。

この記事の手順に沿って、BIMI（Brand Indicators for Message Identification）の設定準備をしてください。 BIMI は新興のメール標準であり、現在も更新や変更が行われています。BIMI の設定は可能な限り容易にできるようにしていますが、一部の手順では専門的な知識が要求されます。 IT 管理者やメール管理者としての経験が十分でない場合は、BIMI の設定にサードパーティのサービスを利用することを検討してください。

引用元：BIMI の設定準備を行う

各プラットフォーム・事業者における対応状況

現時点でBIMIはインターネット技術の標準化を推進する任意団体「IETF」が公表する草稿文書の段階であるため、正式な規格（RFC）として定義されていない状態です。しかしながら、一昨年Gmailが対応を開始したのに続き、昨年9月にMac OS及びiOSでのサポートが開始されました。

BIMIはそれ自身というより、その前提となるDMARCへの対応において送信側事業者に一定の手間を必要とするものでありますが、受信トレイを司るプラットフォーム側での対応が進むことによって、本格的な普及の足掛かりとなることが期待されています。

ECを運営する事業者のBIMI対応状況（2023年時点）

これは弊社で独自に行ったメルマガ調査レポート結果の一部です。
※日本でトップ50の売り上げを誇るEC事業者のBIMI対応状況を調査しました。

この調査結果からも分かる通り、日本の売上TOP50社の中でもまだBIMI未対応の企業はたくさんあります。むしろ対応している企業の方が珍しい状況です。

BIMIは他の送信元認証技術と比べても設定の手間がかかるため、対応までのハードルが高めとなるため未対応の企業がまだ多いのではないかと考えます。

大手企業もまだ未対応という点を逆手に取り、BIMIに対応することで差別化できることもあるため、気になる方はこの機会にBIMIの利用を検討するとよいでしょう。

今後、各送信者ガイドラインなどに適用される可能性も

2024年3月時点で、正式に発表されているメールサービスは確認できておりませんが、将来的にはGmailなどの送信者ガイドラインに要件として追加される可能性も考えられます。

なぜなら、各メールサービスは、迷惑メールやなりすましメールをなくし、安心してメールのやりとりが出来るよう改善しているためです。Gmailの送信者ガイドラインは、2024年2月よりSPFやDKIM、DMARCなどの対応を求めるようになりました。その先にあるBIMIも将来的に対応を求められる可能性もあるでしょう。

【2024年2月】Gmail送信者ガイドライン更新！メルマガ担当者は要注意

まとめ

今回は、なりすまし対策の一環として普及が期待されるBIMIについて、その仕組みと効果を解説しました。

最近Yahoo!でもBIMIに対応した話題がありますが 、同社サービスは特に積極的にメールによるプロモーションを活用しており、Yahoo! を騙る正規でない送信元からの被害を防ぐため、受信者保護の観点から導入に至った経緯があります。

Webマーケティングの進展によりメールの送信数量も増えていますが、活発なメールコミュニケーションを実施していたり、販促チャネルとして重視していたりする場合にはなおさら、 なりすまし対策をはじめとしたメールセキュリティの強化が求められます。
ロゴ・アイコンの表示による反応向上の効果も含め、送信者側のより一層の取り組みに期待です。