国内発迷惑メールの大幅減目指す、JEAGが対策「提言書」

» 2006年02月23日 22時42分 公開
[高橋睦美,ITmedia]

 迷惑メール対策を目的に国内の主要ISPや携帯電話事業者が参加する業界団体、JEAG(Japan Email Anti-Abuse Group)は2月23日、迷惑メール対策に有効な技術の導入方法や運用ポリシーなどを取りまとめた提言書(リコメンデーション)を公表した。ISPや通信事業者だけでなく、メールサーバを運用する企業担当者にも迷惑メール対策を実装、導入してもらい、足並みをそろえて対策に取り組むことを狙っている。

 提言書は「携帯電話宛の迷惑メール対策」のほか、「Outbound Port25 Blocking(OP25B)」「送信ドメイン認証」の3種類。それぞれサブ・ワーキンググループでの検討を元にまとめられたもので、異なる角度から迷惑メールの「撲滅」を目指している。

 日本国内発の迷惑メールを見ると、かつて多く見られた「踏み台スパム」やISPのサーバを用いるやり方よりも、ダイナミックIPを用いて独自にメールサーバを立て、そこから直接相手に送信するパターンが多いという。こうした手段に対する有効な対策がOP25Bだ。

 迷惑メール対策というと受け手側でのフィルタリングに目が行きがちだが、OP25Bは、自社のネットワークから迷惑メールを出さないための手法である。文字通り、外向きの25番ポート(SMTP)をブロックすることで、ISPが用意するメールサーバを介さずに送信されるメールをせき止める仕組みだ。

 「海外から送信されてくる迷惑メールもあるため、これですべての迷惑メールがなくなるかというとそういうわけではない。しかし、日本から発信されるものは大幅に減らせる見込みだ」(インターネットイニシアティブ技術本部技術開発部の櫻庭秀次氏)。ぷららネットワークス技術開発部の赤桐壮人氏も「特に携帯向けに送られる迷惑メールは大半が国内から送信されている。OP25Bによってそのほとんどをブロックできるだろう」とした。

 ただ、拙速に導入するのは禁物だという。というのも、エンドユーザーの設定を変更しないと外部メールサーバ経由の送信が行えなくなるといった「副作用」が生じる可能性があるからだ。JEAGでは今回の提言を通じて、OP25Bとともに、代替手段であるSubmissionポート(TCP 587)とSMTP Authの組み合わせの認知度を上げていきたいとしている。

 送信ドメイン認証は、送られてきたメールの「出口」を明らかにする技術だ。迷惑メールの多くは、詐称された送信元から送られてくる。送信ドメイン認証によって身元を確認することにより、迷惑メールかそうでないかの判断をより下しやすくする仕組みである。

 送信ドメイン認証には、DNSを用いる「SPF」と、電子署名の仕組みを活用した「DKIM/DomainKeys」と、大きく2つの流れがあるが、提言書ではその両方の実装を推奨。「それぞれ一長一短があるため、まずできるところから導入してほしい」(櫻庭氏)。特にSPFについては、できる限り送信側で「宣言」してほしいとし、「いまだ4%程度の送信ドメイン認証技術の導入率を、数十%にまで上げていきたい」(同氏)とした。

 JEAGが強調したのは、送信元と受信側が連携しての対策が必要であり、どれか1つの方法だけで迷惑メールをゼロにできるわけではないという点だ。「OP25Bによって、各社が自ネットワークから送信される迷惑メールを減らすことができるし、残るメールについても送信ドメイン認証を活用することで、受信者側でのフィルタリングが容易になる。多面的な取り組みが重要」と赤桐氏は述べている。

Copyright © ITmedia, Inc. All Rights Reserved.