送信者、ユーザー、およびドメイン所有者向けの価値提案
Craig Spiezle
スパム、スプーフィング、およびフィッシングはコンシューマとしての電子メールの整合性を弱体化させ続け、電子メールの使用やオンラインでビジネスを行う際の信頼性が失われ始めています。昨年、Pew Research Center は、コンシューマの 63% が電子メールへの信頼性を失っており、ユーザーの 30% が前年よりも電子メールを使わなくなったと報告しています。このような傾向に注意を向けておかないと、人を欺く電子メールやオンラインの悪用が蔓延し、さらに悪化していくように思えます。
幸いにも業界では、規範となるガイダンスを提供する画期的なテクノロジ、効果的な法律制定と施行、および業界でのコラボレーションの組み合わせが進行しています。現在までの最も有望な試みとしては、実際的な結果を実証していることから、電子メールの認証が挙げられます。
この資料では、電子メールの整合性を確保するための新しい方法や規範となる情報について概要を説明します。
スパム、スプーフィング、フィッシングとは
電子メールの認証の新機能
Sender ID とは
Sender ID のしくみ
Sender ID の実装方法
詳細を知りたい方のために
スパム、スプーフィング、フィッシングとは "スパム" とは、迷惑メール (ジャンク メールとも呼びます) を送信することです。"スプーフィング" では、電子メールの "差出人" のアドレスを改ざんして、正当な送信者からのメールのように装うのが共通の手口です。"フィッシング" とは、ユーザーの取引銀行、クレジット カード会社、オンライン Web ショップなど、あたかも正当な取引先を装って電子メールを送信して受信者を欺き、クレジット カード番号や口座のパスワードなどの個人情報を入手しようとする試みのことです。多くのフィッシング攻撃では、"送信者" の送信者名が偽造されたり、送信者になりすました形で電子メールが送信されます。
電子メールの認証の新機能 メールの認証は、ここ 18 か月の間に、概念的な議論の段階から実際の実装にまで大きく進化してきました。この中で、2 つの主要な方法が明らかになりました。Sender ID Framework (SIDF) は、Sender Policy Framework (SPF) と Microsoft Caller ID for E-mail の 2 つの提案を融合させて開発されたインターネット プロトコル (IP) を基盤としたソリューションです。SIDF を補完するものとして、Yahoo! のドメイン キー (DomainKeys) 仕様とシスコの Identified Internet Mail (IIM) 仕様を組み合わせる、DKIM という署名に関する新しい提案があります。このようなソリューション、つまり Sender ID では、SPF レコード形式が利用されており、今や世界中で実装され始めています。このソリューションは著作権使用料が不要なので、インターネット サービス プロバイダ (ISP) とあらゆる規模のビジネスにおける電子メール環境の両方で容易に実装できます。
今日では、MSN Hotmail などの業界主流の電子メールや 120 万以上のドメインが SPF レコードを公開するようになり、これを使って Sender ID の確認を完了できるので、IP ベースのソリューションの取り組みが現実のものとなりました。Sender ID を早期に実装するメリットには、スパムの検出率が改善される点や送信者の信用度が上がる点などがあり、Sender ID に準拠するメールの送信者を誤って不正な送信者と判断してしまう事故が減少します。
Sender ID とは SIDF は、電子メール ドメインのスプーフィングに対する保護に役立ち、フィッシングからの保護に関しては大きな威力を発揮します。Sender ID によって送信元サーバーの IP アドレスがチェックおよび検証され、送信元ドメインが送信者の代わりにメールを送信することが認められているかどうかが確認されます。ドメインのスプーフィングを減らすことで、正当な送信者はそのドメイン名や評判を保護することができ、受信者はより効率的にジャンク メールやフィッシングの悪用を特定し、フィルタ処理を行うことができます。
Sender ID にはチェックに使用するメカニズムとして Purported Responsible Address (PRA) と "Mail From" の 2 つ選択肢が用意されており、いずれかを選択できます。いずれかのメカニズムを使用して SPF レコードの正当性のチェックを行うと、そのチェック結果とこれまでのスパム対策の経験を組み合わせることで、電子メール配信の確実性が高まり、スパムが減少し、正当な送信者を誤ってスプーフィングを受けていると誤認することが少なくなります。
Sender ID のしくみ ドメイン管理者やホスティング企業は、SPF レコードをドメイン ネーム システム (DNS) に公開するだけです。レコードは簡単なテキスト レコードで、承認済みの発信電子メール サーバーの IP アドレスを一覧することで、承認済みのサーバーを特定します。受信側の電子メール システムでは、正当な承認済みの発信電子メール サーバーから発信されたメッセージかどうかが検証されます。その手順を以下に示します。
送信者が受信者に電子メール メッセージを送信します。
受信用メール サーバーがメールを受信し、次の手順を実行します。
メッセージの送信元とされるドメインを調べ、DNS にそのドメインの SPF レコードがあるかどうかが確認されます。
送信側サーバーの IP アドレスが SPF レコードに公開されている IP アドレスのいずれかと一致するかどうかが確認されます。
次のように電子メールにスコアを付けます。IP アドレスが一致している場合、メールは認証されていることになり、正のスコアが付けられます。アドレスが一致していない場合は、メールの認証に失敗したことになり、負のスコアが付けられます。その後、これらの結果が、これまでのスパム対策フィルタリングや経験則に適用されます。
Sender ID の実装方法 Sender ID を実装するには、まず、自身の SPF レコードを作成し、公開する必要があります。つまり、ドメインがメールの送信に使用するすべての IP アドレスのインベントリを完成します。メールの送信を代行するサードパーティの IP アドレスも含めるようにしてください。
業界共通の Web サイトの www.emailauthentication.org/resources.html (英語) にアクセスします。ここでは、電子メール認証ツール、および IT コミュニティやビジネス コミュニティを支援するその他のリソースが提供されます。このサイトでは、SPF レコードの作成プロセスを順を追って説明している「Sender ID Framework SPF Record」 (英語) にアクセスすることもできます。このツールを使って、ドメインの公開済み IP アドレスの自動インベントリを完成し、レコードを作成できます。
詳細を知りたい方のために 認証ソリューションを実装することで生じる重要かつ長期的なメリットにより、Microsoft を始めとする 40 社以上の業界企業が合同で "Email Authentication Implementation Summit 2005" を計画してきました。このイベントは、2005 年 7 月 12 日にニューヨーク市で開催されます。このイベントは、正当なメールの整合性と信用性を確保できるように、あらゆるレベルの業界から幅広く参加できるように企画されました。
CNET Networks の Release 1.0 の編集者である Esther Dyson が司会を務めるプログラムの全日程に出席した方は、Cisco、IronPort、Microsoft、MSN Hotmail、Sendmail、Symantec、Tumbleweed、Yahoo! などの、安全性やオンライン セキュリティをリードする専門家から学習し、eBay、Amazon、Bank of America、Paypal など、先進の E コマース サイトや金融機関との連携によるベスト プラクティスを共有することになるでしょう。さらに、マーケティング担当者やブランド担当者は、DMA、ESPC、Bigfoot Interactive、Digital Impact、DoubleClick などから、ドメイン所有者がどのようにスパムやフィッシングとの戦いに参加できるのかを学ぶことができます。イベントには、IT プロフェッショナル、企業の意思決定者、電子メール マーケティング担当者向けのブレイクアウト セッションもあり、対応可能で規範となる情報も提供されます。Email Authentication Implementation Summit 2005 (英語) にすぐ登録してください。
Email Authentication Implementation Summit 2005 のスポンサーが Web サイト www.emailauthentification.org (英語) を作成しました。ここでは、電子メール認証の標準やソリューションを配置および実装するための最新の情報、ツール、リソースなどが提供されています。
Craig Spiezle Director, Microsoft Technology Care and Safety
その他の今月のセキュリティ ヒントも参照してください。