国内発迷惑メールの大幅減目指す、JEAGが対策「提言書」

[高橋睦美，ITmedia]

　迷惑メール対策を目的に国内の主要ISPや携帯電話事業者が参加する業界団体、JEAG（Japan Email Anti-Abuse Group）は2月23日、迷惑メール対策に有効な技術の導入方法や運用ポリシーなどを取りまとめた提言書（リコメンデーション）を公表した。ISPや通信事業者だけでなく、メールサーバを運用する企業担当者にも迷惑メール対策を実装、導入してもらい、足並みをそろえて対策に取り組むことを狙っている。

　提言書は「携帯電話宛の迷惑メール対策」のほか、「Outbound Port25 Blocking（OP25B）」「送信ドメイン認証」の3種類。それぞれサブ・ワーキンググループでの検討を元にまとめられたもので、異なる角度から迷惑メールの「撲滅」を目指している。

　日本国内発の迷惑メールを見ると、かつて多く見られた「踏み台スパム」やISPのサーバを用いるやり方よりも、ダイナミックIPを用いて独自にメールサーバを立て、そこから直接相手に送信するパターンが多いという。こうした手段に対する有効な対策がOP25Bだ。

　迷惑メール対策というと受け手側でのフィルタリングに目が行きがちだが、OP25Bは、自社のネットワークから迷惑メールを出さないための手法である。文字通り、外向きの25番ポート（SMTP）をブロックすることで、ISPが用意するメールサーバを介さずに送信されるメールをせき止める仕組みだ。

　「海外から送信されてくる迷惑メールもあるため、これですべての迷惑メールがなくなるかというとそういうわけではない。しかし、日本から発信されるものは大幅に減らせる見込みだ」（インターネットイニシアティブ技術本部技術開発部の櫻庭秀次氏）。ぷららネットワークス技術開発部の赤桐壮人氏も「特に携帯向けに送られる迷惑メールは大半が国内から送信されている。OP25Bによってそのほとんどをブロックできるだろう」とした。

　ただ、拙速に導入するのは禁物だという。というのも、エンドユーザーの設定を変更しないと外部メールサーバ経由の送信が行えなくなるといった「副作用」が生じる可能性があるからだ。JEAGでは今回の提言を通じて、OP25Bとともに、代替手段であるSubmissionポート（TCP 587）とSMTP Authの組み合わせの認知度を上げていきたいとしている。

　送信ドメイン認証は、送られてきたメールの「出口」を明らかにする技術だ。迷惑メールの多くは、詐称された送信元から送られてくる。送信ドメイン認証によって身元を確認することにより、迷惑メールかそうでないかの判断をより下しやすくする仕組みである。

　送信ドメイン認証には、DNSを用いる「SPF」と、電子署名の仕組みを活用した「DKIM／DomainKeys」と、大きく2つの流れがあるが、提言書ではその両方の実装を推奨。「それぞれ一長一短があるため、まずできるところから導入してほしい」（櫻庭氏）。特にSPFについては、できる限り送信側で「宣言」してほしいとし、「いまだ4％程度の送信ドメイン認証技術の導入率を、数十％にまで上げていきたい」（同氏）とした。

　JEAGが強調したのは、送信元と受信側が連携しての対策が必要であり、どれか1つの方法だけで迷惑メールをゼロにできるわけではないという点だ。「OP25Bによって、各社が自ネットワークから送信される迷惑メールを減らすことができるし、残るメールについても送信ドメイン認証を活用することで、受信者側でのフィルタリングが容易になる。多面的な取り組みが重要」と赤桐氏は述べている。