認証サイトの設計と対応ソフトの実際：企業責任としてのフィッシング対策（4/4 ページ）

[末政延浩，ITmedia]

そして送信ドメイン認証開始

　ここまでのセットアップが終わったら、sendmailを起動する。これで外部ドメインからゲートウェイマシンへのメールについてSender IDとDomainKeysのチェックが行われ、ヘッダに認証結果が記録されるはずだ。また、内部から外部ドメイン向けのメールにはDomainKeysの署名ヘッダがつけられるようになる。

・sid-milterによるSender IDの認証結果ヘッダ例
Authentication-Results: ns.xxx.co.jp from=xxx@exam ple.com; sender-id=pass; spf=pass

・dk-milterによるDomainKeysの認証結果ヘッダ例
DomainKey-Status: good

鍵の管理について

　DomainKeysにおいては、鍵の管理はメール管理者に委ねられることになる。鍵を変更したい場合は、新しいセレクタを作成してそこに新しい公開鍵を登録、そして新規の送出メールには新しい鍵で署名し、s=に新しいセレクタを指定しておく。

　このように、しばらくの間、新旧両方の公開鍵を公開しておく必要があるだろう。そして、古い鍵で署名したメールが流通しないくらいの期間（最低5日間程度は必要）が経過したら、古い公開鍵のレコードを削除する。

資産保護のため早期に対抗策を

　先述したとおり、送信ドメイン認証は現在技術的に完成しているわけではなく、技術の改良や見直しも継続的に行われている。驚異的な勢いで拡大するスパム被害にとにかく対応していくために、異例のスピードで策定が進められた経緯もあり、指摘される問題点も多い。

　しかし、フィッシング／詐欺メールと戦っていく上で、対応のスピードは何よりも重要であり、上段に構えてじっくりと策を練るよりも、現時点で有効と考えられる対応策を企業システム内に素早く展開していくことが必要だ。

　また、送信ドメイン認証の導入により、送信ドメインを信頼できる情報として扱えることで、電子メールシステムが、より信頼性が高く効率のよいシステムへと進化していけると筆者は考える。

　現在、送信ドメイン認証は、関連する省庁、業界団体、ベンダーやISPなどが重要課題の1つとして扱っており、今後もまた大きな動きがあるだろう。企業活動において、ブランドの評価や顧客の信頼度は、かけがえのない資産である。詐欺メールやスパムなどでそれらの資産を失ってしまうことがないように、早めに対策を講じておくべきである。

■末政延浩

　センドメール　シニアコンサルタント。ISPや企業などの電子メールサイト設計および構築に従事。オープンソースのsendmailはJUNET時代から。6年前から商用版のSendmail製品を扱う。送信者認証技術の早急な確立と適用を強く願う。