　Microsoftは先週、自社のスパム対策技術「Caller ID for E-mail」をInternet Engineering Task Force（IETF）に提出したが、今度はこの技術を別のスパム対策技術「Sender Policy Framework」（SPF）と合体させるための詳しい話し合いを進めている。

　SPFの作者であるPobox.comのメン・ウェン・ウォン氏が明らかにしたところによると、同氏はMicrosoftの電子メール専門家らと週末に話し合いを行い、類似の多いCaller IDとSPF規格を合体させる手法を検討した。

　同氏は5月21日、ワシントン州レドモンドのMicrosoft本社に向かう直前、電話取材に応えて、「基本的には、SPFとCaller-IDを『カット＆ペースト』する」と語った。

　Microsoftの会長兼チーフソフトウェアアーキテクトのビル・ゲイツ氏によって今年3月に発表されたCaller IDは、正規のWebドメインから発信されているように見せかけたスパムの作成を困難にする。

　Caller IDを使う電子メール送信者は、送信用電子メールサーバのIPアドレスを発行し、これを自身のドメインのDNS（Domain Name System）レコードに、XML（Extensible Markup Language）形式の電子メール「ポリシー」の一部として追加する。メッセージを受信する電子メールサーバとクライアントはそのDNSレコードをチェックし、メッセージヘッダにある「送信者」アドレスと、発行された送信サーバのアドレスを照合する。アドレスが一致しなかった場合、電子メールメッセージを消去できるとMicrosoftは説明している。DNSは、数字で構成されるIPアドレスを読解可能なインターネットドメインネームに変換するシステム。

　SPFはCaller IDと非常に良く似ており、電子メール送信者はDNSを変更して、特定のインターネットドメインから電子メールを送信できるサーバはどれかを宣言しなくてはならない。ただし受信ドメインは、メールのエンベロープ内の「バウンスバック（不達戻り）」アドレスしか確認することができない。エンベロープはメッセージ本文が受信される前に送られ、受信用メールサーバに受信拒否通知の送信先を伝える。

　（IETFの関連団体である）Internet Research Task ForceのAnti-Spam Research Groupのメンバー、ジョン・リバイン氏によれば、バウンスアドレスよりも、Caller IDで確認される「送信者」アドレスの方が、メッセージの発信元を正確に示すケースが多いという。

　Microsoftとウォン氏は今年1月からCaller IDとSPFの合体について話し合っており、主要インターネットサービスプロバイダー（ISP）やその他の関係者からこの2つの規格の調整を図るよう圧力をかけられていると同氏は語っている。

　「ここ6カ月間くらい（送信者認証に関して）かなり不確実な状態になっている。（Caller IDとSPFは）は非常に似通った案であり、多くの共通機能を持っている。大手企業からは『そちらの話し合いにけりがつけば、われわれは先に進める』と言われてきた。しかしそうなるまで、皆は成り行きを静観している」（同氏）

　Caller IDとSPFの合体規格の可能性の1つとして、メール本文にある「送信者」アドレスを確認するCaller IDの機能（「Purported Responsible Domain」と呼ばれる）をSPFに追加することに双方が合意することが考えられる。そうなれば、その新規格に対応する電子メールドメインは「フィッシング詐欺」などのオンライン詐欺を見抜くことができるだけでなく、送信元の認証に電子メール本文すべてをダウンロードしなければならないCaller IDの手順が省かれるとウォン氏は説明している。

　「ほとんどの人が求めているたくさんのことを実現するアイデアだ」と同氏。

　しかしながら、このアイデアを実施するとなると、電子メールシステムの基盤であるSMTP（Simple Mail Transfer Protocol）規格を改変しなければならないほか、新規格を導入するすべての電子メール送信者・受信者が利用している現行のメールソフトパッケージをアップデートする必要があるとAnti-Spam Research Groupのリバイン氏は指摘する。

　「この20年、SMTPは変わりなく機能し続けている。新しいソリューションによってSMTPの仕組みを変えなければならないというのなら、私たちにも、SMTPを改変したい部分がたくさんある」と同氏。

　ウォン氏は、SMTPの変更が、電子メールソフトの開発元にソフトの改変を求めることになることを認識している。それから、これらアップデートをメール管理者に導入してもらわなければならないだろう。だがMicrosoftや有力ISPなど大手企業がこの新規格を支持すれば、移行作業は短期間で完了するかもしれない。

　ウォン氏によると、MicrosoftとPobox.comは、最近サンフランシスコで行われたIETF会議でこの合体規格について主要ISPの代表者と話し合い、彼らの賛同を得たという。

　「会議室には重要な企業が多数出席し、多くが首を縦に振ってくれた」と同氏。

　不透明になっているのが、Yahoo!が提案する関連規格「DomainKeys」の運命だ。

　同社は5月17日、標準化に向けてDomainKeysの草案をIETFに提出した（5月19日の記事参照）。Yahoo!もまた、Microsoftを含めた多数の企業と同様、メール送信者が発信元（メッセージにある「送信者」アドレス）を偽装しにくくする技術を提案している。

　Yahoo!のスパム対策プログラムマネージャー、マイルス・リビー氏の説明によると、DomainKeysの仕組みはCaller IDおよびSPFとは異なり、暗号化によってメッセージテキストを基に署名を生成し、それをメッセージヘッダに含める。

　Anti-Spam Research Groupのリバイン氏は、Yahoo!の技術はCaller IDやSPFよりもセキュアだと考えている。たとえ電子メールメッセージがさまざまな電子メールサーバを経由して転送されても、署名が損なわれることはないので、受信側のシステムで当該メールの発信元を照合できるからだという。

　「将来的には、すべての電子メールメッセージが（暗号化により）署名されることが望ましいが、現時点では電子メールに署名する人は皆無だ」とウォン氏は主張する。

　長期的視野に立ったスパム問題の解決策としてはDomainKeysの方が優れているが、Caller IDおよびSPF（あるいはこれらの合体規格）は、軽快に動作し、かつ実装が容易であるというメリットを持ちながら、スパマーが悪用する多くの技術上の抜け穴をふさぐ技術だと、リバイン氏とウォン氏は口を揃える。

　「スパムが及ぼす被害は絶え難くなっており、何かを変えなければならなくなっている。『何もしない』ことは選択肢にはない」とリバイン氏は語っている。