スパム対策の決め手、「送信ドメイン認証」のいま(2/3 ページ)

» 2007年02月26日 11時00分 公開
[和泉研,ITmedia]

Sender IDを巡るライセンス問題

 その後、SPFをベースとして、よりフィッシング対策を強化したSender IDがまとめられた。この仕様はMicrosoftからIETFにRFCのドラフトとして提出され、一気に標準化が進む気配となった。

 だが、ここに水を差す事件が起こる。Microsoftが防御的な意味で、Sender IDの一部の技術、それもフィッシィング対策の要となるメールのヘッダを検査する部分(Purported Responsible Address:PRA)に関して知的財産権を主張し、無償での利用は可能なものの、PRAを利用する場合は同意書にサインが必要であるという姿勢をとったのだ。これは特にオープンソースコミュニティからの反発を受け、結果として、Sender IDの標準化および普及に待ったをかけることになってしまった。

 さまざまな経緯を経て現在では、Sender IDとSPFの両方ともが実験的RFCとして扱われている。

 なお、Sender IDのライセンスについては、2006年10月にMicrosoftが姿勢を変え、サインする必要がないように変更された。現在では、Sender IDを利用する場合でも同意書にサインする必要はなく、特に企業サイトにおいてはSenderIDをスパムのフィルタリングに積極的に利用できる環境になっている。

インターネット全体での対応が必要

 さて、電子メールシステムはWebのようなクライアント/サーバ型のシステムとは異なり、送信者と受信者だけで完結するものではない。1通の電子メールを送るだけでも、中継サーバや転送サーバ、そしてメールストアサーバなど、さまざまなサーバを経由していくことになる。

 したがって、スパム対策を実施するにしても、自分のサーバだけ実施すれば済むというものではなく、インターネット全体での協力が不可欠だ。送信ドメイン認証技術も、インターネット全体で普及が進まないと期待した効果が得られないのである。

 企業のメールサーバの場合、送信ドメイン認証の導入について利用者から許可を得るのは比較的簡単であるといえる。だが、インターネット上で大きな存在である各種サービスプロバイダーではやや話が異なってくる。送信ドメイン認証技術の導入の際には、利用者の同意を得る必要性や、より根本的な問題として「通信の秘密」の侵害に当たる可能性などを検討し、解決する必要があった。

 日本では、後述するJapan E-mail Anti-abuse Group(JEAG)などの業界団体の働きかけもあって、2006年に、総務省から送信ドメイン認証の利用についてガイドラインが示された。この結果現在では、サービスプロバイダーでの送信ドメイン認証の導入が一気に進行している。

メールの60%以上が対応、進むSPFレコードの公開

 JEAGは、日本の携帯電話キャリア3社や大手ISPを中心に構成された、迷惑メール対策を目的とした業界団体である。2006年2月には、これからの迷惑メール対策として、具体的な対策やその開始時期などに踏み込んだ形のレコメンデーションを作成し、公開した(関連記事)

 このレコメンデーションに連携する形で、総務省の研究会から出された報告書の後押しもあり、2006年後半より、携帯電話キャリアや大手ISPにおけるSPFや「Outbound Port 25 Block」(OP25B)といったスパム対策の実施が急速に進んでいる。一連の動きの中には、一般ユーザー向けアカウントだけでなく、法人向けに提供しているメールサービスやハウジングサービスなどでもSPFレコードを公開するケースも増え、送信ドメイン認証の中でも特にSPFレコードの公開が普及してきた。

 Sender IDはSPFの上位互換仕様である。このため、送信側で公開したSPFレコードに対し、受信側がSPFとしてフィルタリングするだけでなく、Sender IDとしてチェックすることも可能だ。

 これらの動きに敏感な企業のシステム管理者の間でも、自社サイトのSPFレコードを公開する動きが広まっている。

 さらに、Sender IDの提唱者であるMicrosoftの「Hotmail」や「Yahoo! Mail」など、いままでスパムメールの送信者として詐称されていいたサイトでも、SPFレコードの公開を行っている。こうしたビッグプレーヤーでの導入により、SPFおよびSender IDについては実際に効果が期待できるものになってきつつある。

 なお、ある国内のサービスプロバイダーで観測したところ、60%以上の電子メールがSPFレコードを用いた認証が可能であったという驚くような報告がある。また、全ドメインの10%近くがSPFレコードを公開しているという情報もある。

DKIMの標準化

 一方、電子署名技術をベースとする送信ドメイン認証の状況はどうだろうか。

 特に米国において、提唱者のYahoo!やGmail、そしてeBayやBank Of Americaなど、詐称メールに悩まされている企業やサイトでDomainKeysが利用されはじめており、着実に拡大しているといえる。

 その後継ともいえるDKIMは、標準化は進んでいるが、残念ながらいまだドラフトの状態である。標準化の策定で大きく時間を取っている項目は「Sender Singing Policy」の部分で、ここがなかなかまとまらなかったようだ。しかし、2006年後半にほとんどの部分が決定し、RFC化は時間の問題のようである。

 現在DomainKeysを利用しているユーザーの多くはDKIMの標準化に協力しており、標準化が完了した暁には、ほぼ確実にDKIMへ移行すると見られている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ