届きそうで届かない587番ポート

スパムを止めるための現実的な方法は、25番ポートの使用を停止して587番ポートを使うことだ。だが、手を伸ばせば届くこの解決策に多くの反対があるのはいらだたしい。

[Larry Seltzer，eWEEK]

　最近、私をはじめほとんどの人が奇妙なドイツのナショナリストからのスパムを受け取った。このスパムは、メール型ワーム「Sober」の新しい亜種が作ったボットネットワークを通してばらまかれた。

　こうしたワームの大規模感染が発生するようになってからしばらくが経ち、新しいメール型ワームファミリーが登場してからかなりの時間が経っている。その間にこれらを遮断するツールは向上し、Windowsやメールクライアントを保護する手段は成熟し、潜在的な標的は減少している。

　しかしスパムの嵐を発生させるのに、たくさんのマシンはいらない。私はスパムの嵐に関与しているマシンの台数を調べようとアンチウイルスベンダーとアナリストにあたってみたが、答えは得られなかった。これは当然だ。陰謀論的に考えれば、世間がそのようなシステムがたくさんあると思ってくれた方が、彼らには都合がいいのだ。

　もし私の意見が正しく、実際にスパムの嵐を生み出しているシステムが数万台もないとしたら、スパムを止める――議論の余地のない目標のはずだ――方法がもう1つある。私は既にそのための最善の方法を実践している。標準的な非認証SMTPポートである25番ポートの使用を停止することだ。

　実際にデータを見たわけではないが、アナリストの通念では、メール型ワームに感染し、スパムを送信しているシステムの大半はコンシューマーのブロードバンドシステムだ。これらユーザーのISPが認証されていないSMTP通信を遮断すれば、ワームは（少なくとも容易には）メールを送信できないだろう。それができるワームは今のところ作られていない。

　手っ取り早く言うと、ISPは顧客が送信するすべてのメールが自社のサーバ（例えばmail.consumerisp.com）を通過するようにして、SMTP AUTHの利用を義務づける必要がある。つまり、ユーザーはSMTPサーバにユーザー名とパスワードを提出しなくてはならないということだ。

　ワームがこれを回避するには、キャッシュされたユーザーの証明書をクラックしなくてはならない。これは可能だが、それでもISPは気をつけていればそうした行為を検知して遮断できる立場にある。これについては先のコラムを参照されたい。

　しかし、少々補足しておこう。この手法への反対意見のほとんどは、ユーザーが外部のSMTPサービスを使えなくなるというものだ。多くの場合、この懸念はもっともだ。

　例えば、私がドメインをホストしてもらっていて、ホスティング業者が私の契約しているISPと同じでなくても、メールの一部あるいは全部をそのドメイン経由で送りたいと思ったとしよう。この場合、25番ポートが遮断されると問題になる。仕事用のSMTPサーバを使ってメールを送ろうとしても同じような問題が起きる。

　この問題の解決策はいくつかある。その1つは、広く一般的に利用できる可能性がある。最初の、そして最良で最も難しい解決策はVPNだ。VPNはSMTPサーバに適切にアクセスするネットワークへと接続する安全なチャンネルを提供する。しかしVPNには独自の接続の問題があり、最高の環境で設定するのは難しい。

　もう1つの解決策が、ほかのシステムにWebメールを提供することだ。

　言い換えると、企業あるいはホスティングドメインが25番ポートの代わりに80番ポートを提供するということだ。

　この手法の問題は、Webメールに制限がある場合があるということだ。いずれにしても、おそらくWebメールはユーザーの好きなメールプログラムではないだろう。好きなプログラムを使えないなどということがあるべきではない。

答えは587番ポートに

　ほとんどの人にとって現実的な答えは、587番ポートだ。このポートは常に存在し、適用規格の下では実際に優先的なポートであることが判明している。

3.1. サブミッションの確認

　587番ポートはこの文書に記述されている通り、電子メールのサブミッション用に確保されている。このポートで受信したメッセージはサブミッションとして定義される。使用されるプロトコルはESMTP（SMTP-MTA、ESMTP）で、以下に記される制限が付加される。

　ほとんどの電子メールクライアント・サーバは25番ポートの代わりに587番ポートを使用するよう構成できるが、これが不可能か、あるいは不便な場合もある。

　サイトは一部のホストをMSAに、ほかをMTAに指定することで、メッセージのサブミッションに25番ポートを使用するよう選択できる。

　たいていの、おそらくはほぼすべてのメールサーバソフトは587番ポートでの認証されたサブミッションをサポートしている。準拠していないものがあったら、苦情を言うべきだ。

　基本的には、587番ポートのサポートを追加すると、認証が実施される。そうしなければ、587番ポートの弱点が25番ポートの弱点に交換されるだけだ。

　外部アクセスが問題になるケースのほとんどがホスティングドメインに関係していると仮定して、大手ホスティングサービスに外部ユーザーからの587番ポートへのアクセスをサポートしているかどうかを聞いてみた。

　覚えておいてほしいのは、これら企業のサーバがそれをサポートしているからと言って、そのホスティングサービスがファイアウォール上でこのポートを開いているというわけでも、メールサーバ上でこのポートを有効にしているというわけでもないということだ。

　今に私が受け取った、あるいは得られなかった回答を記す（「イエス」は外部ユーザー向けに587番ポートをサポートしているという意味だ）。

• 1and1：イエス
• Interland：イエス（オプションではなく、同社の文書ではユーザーに587番ポートを使うよう指示している）
• ThePlanet：「当社のメールサービスは現在デフォルトではTCP 587サブミッションサービスを通知していない。それを求める意見も寄せられていない」
• EV1：回答なし
• Yahoo! Domains：回答なし（しかし、同社のメールはSBCが管理していると思う。SBCは587番ポートを自社のアカウントでサポートしている）
• GoDaddy：回答なし
• Verio：「法人向けISPとして、Verioは顧客の25番ポートのメールを遮断していないが、多くの場合は顧客が自分のサーバをメール用に使い続けられるように代替ポートを有効にしている。Verioのサーバプランの大半は587番ポートを（一部はデフォルトで）サポートしている。当社のホスティング顧客は必要に応じてこれを有効あるいは無効にできる」

　反応はまちまちだ。大手ISPがこのポートをサポートしていないのはお粗末だと思うが、それに対する苦情はあまりないというThePlanetの主張は疑わしい。この「問題」について、ISPが25番ポートのアクセスを遮断するという比較的簡単な答えはあるべきだし、ユーザーはそれを知る必要がある。

　マルウェア作者がキャッシュされた証明書をクラックして認証ソリューションを回避することは避けられないが、それでもISPは強い立場にある。自社のサーバからスパムが出て行くのを見ることができ、ユーザーを簡単に遮断して改善させることができるからだ。

　私のように十分な備えをしているユーザーは簡単にスパムとウイルスを監視できるが、これらは依然として大きな問題だ。

　この問題よりもはるかに混乱をもたらさない解決策に、多くの反対があるのはいらだたしいことだ。答えは手を伸ばせば届くところにあるというのに。

原文へのリンク