Eric Allman 氏、Eメール送信者認証技術における Sendmail の取り組みを説明

Sendmail Chief Technology Officer Eric Allman 氏

センドメール株式会社は2004年7月23日、米国本社 Sendmail の Chief Technology Officer である Eric Allman 氏を招き、Eメール送信者認証技術の現状や、そこにおける Sendmail 社の役割などを説明した。

Eメールに関する問題としては、米国で急増中のフィッシングや、日本でも深刻化しているスパムなどがある。

Allman 氏によると、スパムの発祥は、インターネット以前の ARPAnet の時代で、1978年5月だったそうだ。その後、メッセージ送信にかかる費用の少なさや、追求不可能で社会的プレッシャーが低いことなどから、スパムは爆発的に広まってきた。

これを受け、ISP をはじめとするサービスベンダーは、さまざまなアンチスパム技術を導入してきた。しかし、現在一般的に使われている、メッセージの内容を見て、スパムメールかどうかを判断するコンテンツフィルタ方式では、必要なメールをスパムと判定してしまう（フォールポジティブ）/スパムを必要なメールと判定してしまう（フォールネガティブ）といった判定ミスや、スパム業者が頻繁にアプローチを変更してフィルタを回避してしまうといった問題があった。

また近年のフィッシングや偽装被害の増加を受け、防衛策として注目を集めているのが「送信者認証技術」とよばれる技術だ。認証技術は主に2種類あり、一つはマイクロソフト社が提案する「Caller ID」と「SPF」を統合した「Sender ID」で、もう一つは Yahoo!が提案する「Domain Keys」で、送受信者の身元を保証する認定システムを組み合わせての利用が想定されている。

Sender ID は、送信メールサーバーのIPアドレスを DNS サーバーの送信者レコードに登録し、受信者は送信サーバーからの接続時にIPアドレスを確認して認証を行うシステム。Domain Keys は送信者がメッセージの電子署名を添付し、受信者は DNS サーバーから送信者の公開鍵を取得し、認証する仕組みとなっている。

これらの認証技術について Allman 氏は、「送信者認証そのものはスパムメールを食い止めるわけでなく、責任義務を高めることで送りにくくする仕組み」であると述べた。また、基本的な送信者認証は一般的に広く採用されるため、無料であるべきだとしている。

Sendmail 社としては、各社とさまざまな面で協力体制を敷いており、Domain Keys についてはプラグイン用のオープンソースを公開、Sender IDに対しても、仕様が確定し次第、同様の対応をする予定だという。

「送信者認証技術は、どちらかが勝って1つが生き残るという類のものではない。パスポートや免許証のように、複数あってもいいもの」（Allman 氏）

Allman 氏は、これらの認証技術には、まだ対処すべき問題が残っていると述べた。技術面では、IPベースのスキームの場合、メールを転送した場合に問題が生じることや、暗号化ベースのスキームの場合、メールが配信中に変更された場合にうまく動作しなくなる可能性があるという。

法的な面では、既存の特許に抵触していたことが技術を実行した後に発覚するのでは、という懸念や、身元証明システムでブラックリストに載せられた送信者から訴えられるのではないかという懸念があるそうだ。

また、企業間の政治的問題については、ベンダーが認証技術を自社だけのものにしたがるのではないかという懸念があるものの、Allman 氏が今まで関係者と接触したところによると、「一部のベンダーではそのような動きもあるかもしれないが、Microsoft や Yahoo! のような大手に関しては、この問題はおそらく大丈夫だろう」との見解を示した。

また Allman 氏は、この認証者技術が普及することにより、「詐欺行為やフィッシングを行うことは難しくなりほとんど見られなくなるだろう。身元証明のシステムが現実のものになり、そのかわり匿名のメールを出すことは難しくなる。だが不可能ではない。長期的には、承認済みか、既知の送信者からのメールしか受け取らない人もでてくるだろう」と述べた。

「Amazon.com や eBay、Paypall などフィッシングにより被害を受けている企業は、すぐにでも解決策を取り入れたいと考えている。送信者認証の仕組みは、人々が考えているよりもより速いスピードで普及するのではないかと考えている」（Allman 氏）