検索
特集

「安心できるメール」配信のためにサービス事業者ができること企業責任としてのフィッシング対策(3/5 ページ)

フィッシングではエンドユーザー側の対策に注意が集まりがちだが、なりすまされるサービス事業者の側にできることはないだろうか? まずメールでの対策から考えてみよう。

[宮崎輝樹,ITmedia] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

送信ドメイン認証が抱える課題

●最大の問題は「受信側」

 SPFとDKIMの最大の問題点は、実は受信者側の対応にある。

 まず第1に、送信者側がSPFやDKIMに対応したとしても、受信者側のメールサーバがそれらに対応していなければ、当然ながら何の役にも立たない。

 大手のフリーメールのプロバイダー(Yahoo!やGoogle Mailなど)や米国のISPでは、これらの技術の導入が進んでいるようであるが、国内のISPでの対応はあまり進んでいないのが実情だ。また、SPFレコードの公開など、送信側機能には対応しているが、受信者側機能には対応していないことも多い。サービス利用者の大半はISPのコンシューマーユーザーだと思われるため、ISPのメールサーバがSPFやDKIMに対応してくれない限りは、サービス事業者がSPFやDKIMに対応しても効果が生まれない。

 受信者側メールサーバでの送信ドメイン認証の対応は、サービス事業者の努力だけではどうにもならないことではあるが、JEAG(Japan Email Anti-Abuse Group)などによる、ISPや各種サービスプロバイダー、企業に対する啓蒙活動も行われてきているため、今後は国内でも受信者側機能の対応が進むものと期待される(関連記事)

●なりすましメールの取り扱いに関する問題

 受信者側のISPなどがSPFやDKIMに対応したとしても、もう1つ大きな問題が残されている。なりすましメールと認識されたメールの、受信者側での取り扱いだ。

 SPFやDKIMでは、それぞれ送信者側においてポリシーを規定できる。例えば、厳密に「SPF(またはDKIM)で認証できなかったメールは破棄すべき」と既定することも可能だ。

 しかし前述したとおり、SPFは転送に弱く、一方DKIMはメーリングリストに弱いといった問題がある。受信者側のメールサーバが一方の規格にしか対応していない場合、転送されたメールまたはメーリングリストに送付されたメールがたとえ正規のものだったとしても、受信者側のメールサーバによって破棄され、受信者に届かないという事態が発生する可能性がある。

 受信者側が必ず両方の規格に対応し、「どちらの認証にも失敗した場合にのみメールを破棄する」といったように、認証結果に対するアクションの基準が確立されていればよいのだが、現時点ではこれらの規格そのものが普及の過渡期にあるため、こうしたポリシーはまだ存在しない。

 したがって送信者側では、正規のメールが受信者に届かないかもしれないようなポリシーを規定することはできない。「(認証できない場合もあるので)認証に失敗しても破棄しない」といったポリシーで運用するしかない。

 この場合、受信者側のメールサーバがSPFやDKIMに対応していたとしても、受信者になりすましメールが届いてしまうことになる。受信者側メールサーバにおいてSPFやDKIMの認証結果をメールのヘッダーに記録されるため、受信者がヘッダーを参照することでなりすましメールであるか否かを判断することは可能ではある。しかし、一般的なメールクライアントでは、これらのヘッダー情報は標準では表示されないため、なりすましメールであるかどうかを一目で判別するのは困難だ。また、受信者がメールクライアントの自動振り分け機能を利用し、なりすましメールをフィルタリングすることも可能だが、機械的に付けられたヘッダーの意味を理解する知識を有している必要があるため、受信者にとってハードルは高い。

●これからの備えを

 SPFやDKIMによるなりすましメール対策は現在非常に注目されており、将来的に普及することはほぼ確実だろう。ただし、残念ながら現時点では、SPFやDKIMによるメリットを享受できるサービス利用者はごく少数である。

 したがってサービス事業者としては、長期的な観点からSPFおよびDKIMの送信者側機能に対応しておき、ISPが受信者側機能に対応した際には利用者が順次その恩恵にあずかれるようにすると同時に、短期的に実施できるSPFやDKIM以外のなりすましメール対策についても検討しておく必要がある。

 筆者個人としては、SPFやDKIMの普及を促進するためにも、ISPなどが中心となってSPFやDKIMのポリシーの適用に関するコンセンサスを確立し、それが早期に広まることを期待している。また短期的にも、各種メールクライアントにおいて、自動的に認証結果のヘッダーに応じてメールを振り分けたり、認証結果を視覚的に表示するなどして、SPFやDKIMに関する知識のないユーザーでも、なりすましメールであるかどうかを簡単に判断できるようになることを希望している。

前のページへ | 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る