ITmedia NEWS >
ニュース
» 2004年07月23日 18時13分 公開

MS、スパム対策技術「Sender ID」をHotmailなどに導入へ

Microsoftは10月1日までに、Hotmail、MSN、Microsoft.comのメールアカウントに関して「Sender ID」技術を使った認証を開始する。同社はISPやメールサービス会社にも協力を求めている。(IDG)

[IDG Japan]
IDG

 米Microsoftは近く、同社のスパム対策機構「Sender ID」を強化し、Hotmail、MSN、Microsoft.comのメールアカウントに送られる電子メールが実際にSender IDで許可された正規のメールサーバから送られてきたかどうかを確認する。同社幹部が明らかにした。

 同社は電子メールサービス会社ならびにインターネットサービスプロバイダー(ISP)に対し、メールサーバをDNS(ドメインネームシステム)で認証する「Sender Policy Framework(SPF)」レコードを9月半ばまでに登録するよう強く呼びかけている。さらに同社は10月1日までに、受信メールの発信元と、発信元ドメインのSPFレコードに登録された電子メールサーバのIPアドレスを照合するプロセスを開始する。この照合プロセスを通過しなかったメッセージは「拒否」されることはないが、さらなる検査とフィルタリングが行なわれると、MicrosoftのSafety Technology & Strategy部門担当ディレクター、クレイグ・スピーズル氏は説明する。 

 この発表は、7月22日に米マサチューセッツ州ボストンで開催されたThe Open Group Conferenceに集まったスパム対策専門家たちに向けてスピーズル氏が行なった。

 Sender IDは、Microsoftが支持している技術規格案で、電子メールの発信元を認証するために使用される。同社が開発した「Caller ID」と、メン・ウェン・ウォン氏によるSPFを統合したもので、標準仕様案として6月にInternet Engineering Task Force(IETF)に提出された(6月26日の記事参照)。Sender IDが標準仕様として認定されれば、スパム業者などのメール発信者がメッセージ発信元を偽る(スプーフィングという)ことを可能にする、現行の電子メール送受信システムの「抜け穴」を埋める手段がもたらされるかもしれない。

 Caller IDは、Microsoftの会長兼チーフソフトウェアアーキテクトのビル・ゲイツ氏が今年3月に発表した技術で、電子メール送信者に、送信メールサーバのIPアドレスを登録するよう求める。Caller IDドメインからのメッセージを受信するメールサーバとクライアントはDNSレコードをチェックし、メッセージヘッダの「from(差出人)」アドレスと登録された送信サーバのアドレスを照合する。アドレスが一致しなかった場合、当該メールは消去または「隔離」される。

 DNSは、数字で構成されるIPアドレスを読解可能なインターネットドメインネームに変換するシステム。

 SPFの場合、電子メール送信者はDNSを変更して、特定のインターネットドメインからの電子メールを送信できるサーバがどれであるかを宣言しなければならない。ただしSPFは、メールのエンベロープ内にある「バウンスバック(不達戻り)」アドレスを認証するもので、エンベロープレベルのメッセージのスプーフィングしか検知できない。エンベロープはメッセージ本文が受信される前に送られ、受信メールサーバに受信拒否通知の送信先を伝える。

 Caller IDとSPFの統合規格案の下では、メールを発信する組織は、DNSに送信サーバを確認するためのSPFレコードを登録することになる。企業各社は、SPFで提案されているエンベロープレベルと、Microsoftが提案しているメッセージ本文レベルでのスプーフィングの検知を行える。

 現在までに、MicrosoftやAmerica Online(AOL)などの企業やISPによって、既に数万単位のSPFレコードがDNSに登録されている。しかしながら、SPFレコードの情報を使って電子メールが宣言する発信元アドレス「PRA(purported responsible address)」を確認する段階に進んでいる企業はまだほとんどない。

 PRAチェックを通過しなかったメッセージは、Microsoftの「SmartFilter」技術によってスパムかどうかの判別が行われると同社のAntispam Technology & Strategy部門ビジネスマネジャー、ジョージ・ウェッブ氏。このような追加のフィルタリングは、空港で金属探知器に引っかかった人をさらに検査するのに似ており、認証されていないメッセージを、PRAが認証されたメッセージと比べて低速化させる。

 「当社は今、『SPFレコードを登録すべき』との考えを明確に打ち出すところに達した」とウェッブ氏。

 最大規模の電子サービス会社の1社としてMicrosoftがSPFレコード認証の実施を決定したことは、インターネット全体に波紋を起こすことだろう。ただし受信メッセージのPRAを認証するかどうか、また認証プロセスを通らなかったメッセージの扱い方をどうするかを最終的に決めるのは、あくまでも電子メールサービス会社とISPの管理者だとウェッブ氏は強調する。電子メールサーバソフトを手がけるMail Transfer Agent(MTA)ベンダーもまた、Sender IDの認証情報をサポートするよう自社製品を設計しなければならないと同氏は言い添えた。

 なおMicrosoftは、国際ISP作業部会であるGlobal Infrastructure Alliance for Internet Safetyを通じて、主要ISP各社に同社の計画を説明するとともにSPFレコードの登録を呼びかけている。またSendmailやIBMなどの有力MTAベンダーの協力も得ているとウェッブ氏は語っている。

Copyright(C) IDG Japan, Inc. All Rights Reserved.