Sender IDはDKIMよりも、導入時に手間がかかる。ISP、企業、インターネットドメインを保持する他の組織がSPF(Sender Policy Framework)レコードを公開し、そのメールサーバを特定する必要がある。通常、これには新たなハードウェアやソフトウェアは必要ないが、最も骨の折れる作業は、メールサーバのリストを作成し、後々そのリストを維持していくことである。
Brandenburg InternetWorkingの社長であり、初期の電子メール標準の1つを提唱したDavid Crocker氏は、「(この種の送信者認証は)コストが低いという話があるが、それは本当ではない」と述べている。「継続的なITコストは非常に大きい」(Crocker氏)
電子メールセキュリティ企業CipherTrustの最高技術責任者(CTO)Paul Judge氏によれば、大企業にとっての難しいのは、電子メールを送信するすべてのシステムを洗い出すことだという。同氏は、「大企業や国際的な組織の場合、10カ国に電子メールゲートウェイがあるかもしれないし、自社に代わって電子メールを送信するマーケティング会社が複数あるかもしれない」と述べている。
このことは、Bank of Americaにとっても難問だった。「さまざまな種類のグループが存在している」と述べるJohnson氏は、「自社の全体的な組織を真に包括的かつ総合的に捉え、誰が電子メールを送信しているかを正確に知る必要がある」と説明する。
同氏は、「あるビジネス担当部門が電子メールを送信するために断り無くホストを設定したとしよう。だが、このホストがSPFレコードを作成しなければ、安全性が損なわれてしまうということの重大さが、認証を実装していくうちにわかってくる」と述べている。同氏によれば、この問題は、電子メールサービスプロバイダーが認証チェックを通らなかったすべての電子メールを削除する場合に特に深刻だという。
しかし、電子メール認証を採用するすべての企業がこういった問題に直面するわけではない。例えば、Dellは大きな問題に遭遇することはなかった。システムエンジニアであるErich Stokes氏は「いくつかの雑事は行う必要があった」と述べ、「電子メールとSMTPはオープンな標準として優れており、われわれの責任が少し増しただけのことだ」と付け加えた。
電子メールサーバのリストを作成することが難題だというのは、現在公開されているSPFレコードを見れば明らかだ。CipherTrustによれば、こういった認証サーバの半数以上が、他のサーバからの電子メールを受信すべきではないという設定になっていないという。これによって、送信元を詐称する者への門が開かれたままとなり、登録されていないサーバから送信された電子メールをフィルターによって単純に削除することができなくなる。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手