認証サイトの設計と対応ソフトの実際企業責任としてのフィッシング対策(1/4 ページ)

最後に、sendmailおよび「sid-milter」「dk-milter」を用いて、実際に送信ドメイン認証を実現するための詳しい手順を紹介しよう。

» 2006年03月27日 11時00分 公開
[末政延浩,ITmedia]

N+I NETWORK Guide 2005年7月号よりの転載です

POINT
1 sendmailではMTA上に2つのMilterを用意する
2 SPFレコード、DomainKeys鍵をそれぞれ公開
3 DomainKeys鍵変更時も一定期間新旧の鍵を管理する

 最後に、送信ドメイン認証を実現するサイト構成やツールの使用方法について、詳しく説明する。

サイトデザイン

 本稿では、企業サイトでの構成を考えてみた。図15に送信者認証を導入したサイト構成の例を示す。このサイトでは、次のような要件を考える。

図15 図15●サイト構成とメッセージの配送経路。ゲートウェイMTAでスパム対策機能を実装し、モバイルユーザーに対して587番ポートを用意

・受信メールに対してサイトの最も外側で送信者認証を実施する
・Sender IDとDomainKeysの両方を送受信ともに実施する
・送信ドメイン認証の結果をヘッダに記録して受信者が参照できるようにする
・送受信するメールにはすべてウイルス対策を実施する
・モバイルユーザーには587番でのメール送信手段を提供する

利用するソフトウェア

 ここでは例として、ゲートウェイのMTAにオープンソースのsendmail MTAを取り上げる。Sender IDを実装している「sid-milter」と、DomainKeysを実装している「dk-milter」を利用するためだ。

 sendmail MTAではバージョン8.13.0以降(商用版ではSwitchの3.1.6以降)がこれらのコンポーネント(Milter(*15))をサポートしている。SPFレコードおよびDomainKeysの鍵の公開には、DNSサーバの設定が必要だ。そのほかのコンポーネントについては、ここで具体的な名前を出さない。オープンソースで提供されているものでも製品でも利用できるように構成を考えた。

●sid-milter

 Sid-milterは、Sender IDおよびClassic SPFをサポートするMilterである。この記事の執筆時点での最新バージョンが0.2.10で、SENDMAIL.NET(*16)からダウンロードできる。オープンソースのsendmail MTAと同じライセンス定義を基に公開されている。

 このsid-milterは、sendmail MTAへのプラグインとして動作するMilterとして開発されている(図16)。アンチウイルスフィルタの実装でよく見られるSMTPプロキシではないので、既存のMTAの配送経路を変更することなく導入できるところも魅力だ。ただし、Sender IDのドラフトに含まれているsubmitterについては、sendmail MTA本体の拡張が必要なためサポートしていない。

図16 図16●Milterの動作概要。メール受信時のSMTP通信の各イベントにおいて、Milterのコールバック関数がソケット通信経由で呼び出される

 sid-milterの起動パラメータを表7に示す。前節でも述べたように、今は過渡的な時期であるため、認証に失敗したからといって即座に通信を切断したり、メールを廃棄したりしないようにする。このためsid-milterは、「-t」(テストモード)または「-r 0」(ヘッダに認証結果を残すだけ)で起動するようにする。

表7 表7●sid-milterの起動パラメータ
       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ