AOLとGoogleが実装しているSPFは、IETFの検討対象にもあがっている有力候補だ。SPFはDNSデータベースに変更を加えることで、メールサーバがどのIPアドレスを使ってメールを送信したのかを明らかにする。
SPFを実装すれば、メールを受け取ったISPはそのメールが本当にその送信者が送ったものかどうかを即時に確認することができる。受信者はAOLのSPF記録をチェックし、たとえばbob@aol.comといったAOLサーバから送られたように見えるメールが本当にそのアドレスから送られたものかどうかを確認する。SPF記録では、AOLのIPアドレスと関連したDNSデータを照合することができるのだ。
Yahooが支持するDomainKeysも、スパム防止策として注目を集めつつある。DomainKeysは送信されるすべてのメールに暗号化された「鍵」(タグ)を添付し、メールの作者、つまり「from」ヘッダを認証するというシステムだ。一方の鍵は公開データベースに置かれ、もう一方の秘密鍵はメールにリンクされる。メールが送信されると、受信したISPは公開データベースに置かれた公開鍵と秘密鍵とを照合し、送信者の身元を確認する。公開鍵とメールの署名が一致しなければ、そのメールはスパムだと容易に判断することができる。
Microsoftは独自の「Caller ID for E-mail」システムを推進している。これはSPFと同様にDNSを使ってメールを認証するものだが、メールの送信者(Return-pathフィールド)ではなく、作者(メッセージのヘッダー)に注目する。同社広報担当のSundwallによれば、Caller ID はSPFの弱点である転送メッセージの送信者認証をより「エレガント」なアプローチで解決しているという。ちなみにSPFは、転送メッセージに対応するためのアドオン技術を用意している。
Sundwallによれば、Microsoftは暗号化がスパム対策の一助になることは認めているが、長期的に見て、DomainKeysが最善策とはいい切れないと考えているという。
標準の策定に向けて
IETFのワーキンググループは、Internet Research Task Force(IRTF)のAnti-Spam Research Group(ASRG)が調査・開発した技術を検討する予定だ。検討対象としては、AOLのSPF、Designated Mailers Protocol(DMP)、Reverse Mail Exchange(RMX)、Designated Relays Inquiry Protocol(DRIP)、MTAMark、そしてFlexible Sender Validation (FSV)などが挙がっている。
参加者約120名で行われたIETFソウル会議のある参加者は、ワーキンググループの活動は個々の企業の提案(具体的にはMicrosoftのCaller ID)よりも幅広い支持を集める可能性が高いという。
「IETFはインターネット技術の普及を基礎的な面で支えてきた組織だ。Microsoftが提案しているCaller IDは、ライセンス付きの技術を採用している点で多くの疑問を呼んでいる」と、メール関連ソフトやスパム対策ソフトのメーカーであるMX Logicの最高技術責任者(CTO)Scott Chasinは指摘する。
Chasinはさらに、オープンな標準とプロプライエタリなシステムのどちらが採用されるにせよ、認証システムだけでスパム対策戦略を完成させることはできないと強調する。
「技術、教育、法のすべてが必要だ。技術ですべてを解決することはできないが、メールを不正に送信しているスパム業者は大きな影響を受けることになるだろう」(Chasin)
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」