Google Workspace では Gmail 以外の電子メールを Google 経由で送信する SMTP リレーサービスを利用できるが、他の Gmail テナントになりすまし可能な問題があり、スパマーに悪用されているそうだ (Avanan のブログ記事、 BetaNews の記事)。

電子メールのなりすましを防ぐ仕組みの一つである SPF は組織に代わってメールを送信できるサーバーとドメインを指定する仕組みであり、Google の SMTP リレーサービスを利用する他のユーザーと区別できない。そのため、組織が Google Workspace の DMARC ポリシーを「reject」に設定していない場合は Google の SMTP リレーサービスを利用したなりすましメールが受信サーバーへ配信されてしまうという。

この仕組みを悪用したなりすましメールは 4 月に入って急増したそうだ。問題を発見した Avanan は 2 週間で 27,000 通以上を確認し、4 月 23 日に Google へ報告したとのこと。Google はこの問題について、以前からよく知られている問題であり、Avanan の調査結果は Google が DMARC の使用を推奨する理由を裏付けるものだなどと説明したとのことだ。

すべて読む | ITセクション | Google | spam | IT |

関連ストーリー：
ドコモメール及びiモードメールが届きづらい事象、DNSの設定ミスが原因か 2021年09月21日
Google、認証済み組織からの電子メールにGmailでコーポレートロゴを表示するパイロットプログラムを発表 2020年07月26日
8割近くの企業は電子メールのなりすましを防ぐDMARCを採用していない 2019年08月02日
Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ 2015年11月19日
Exim 4.7x系のDKIM処理に脆弱性、任意のコードが実行される可能性 2011年05月10日
NTTドコモのSPF活用でSPF普及率が大幅アップ 2008年01月24日
NTTドコモがSPFによるメール着信拒否機能を提供 2007年09月11日