このページの本文へ

前へ 1 2 3 4 次へ

こうして守れ!メールのセキュリティ ― 第10回

ソースブロッキングで不正なメールを防ぐ

スパムメールを防ぐ技術(前編)

2009年11月19日 06時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

スパムメールの流量を絞り込む

 最後に信頼性の高いソースブロッキング手法として注目されている、トラフィックシェーピングのアプローチについて見ていこう。これまで見てきたソースブロッキングの手法は、スパムメールを遮断するというところに力点が置かれていた。これに対してトラフィックシェーピングでは、流入する大量のスパムメールの量を制限することが最大の目的となっている。

スパムメールの遮断ではなく、トラフィックの絞り込みを行なう

 トラフィックシェーピングによって得られるメリットを見てみよう。まず流量自体を減らすことで、ネットワークやアンチウイルスのスパムメールの負荷を下げられる。また、宛先で着信できるメッセージの数が減ると、送信元の方で再送のためのメールが滞留することになる。そのため、グレーリストと同様に送信自体をあきらめさせる効果も見込める。

 トラフィックシェーピングは別名「スロットリング」とも呼ばれており、パケットレベルでメールの配信量をコントロールするものだ。メールサーバー自体をいくつかに分類し、その分類に合わせて単位時間あたりに受け取るSMTPのセッションに制限をかけるのだ。たとえば、スパムを送ってこない正常なメールサーバーについては、セッションの制限なしに転送される。

 また、ISPのように正常なメールとスパムメールが混在するメールサーバーからの送信は1分間に10のうち4つのセッションのみ許可。さらにスパムメールを送信したり、不正中継するメールサーバーからの送信に関しては、10のうち1つのセッションのみしか許可しないというルールを作るわけだ。たとえ、送信されなかったとしても、グレーリストの例で見たとおり、正常なメールサーバーであれば、再送をしてくる。そのため、正常なメールが排除されることはないわけだ。

送信元を詐称させない送信ドメイン認証とは?

 これをさらに進め、メールの送信元を「ドメイン認証」という技術も徐々に普及している。送信ドメイン認証は、メールの差出人を詐称できなくするため、メールが正規のサーバから送信されていることを認証する技術である。認証方法の違いによって大きくIPアドレス方式と電子署名方式の2つがある。

 IPアドレス方式ではユーザがメールを送信すると、送信元ドメインのメールサーバから、宛先のメールサーバへメールが送信される。受信側のメールサーバは送信元ドメインのDNSサーバに問い合わせて、送信元ドメインの正規のメールサーバのIPアドレスを取得し、接続してきたメールサーバのIPアドレスを検証する。もし接続してきたメールサーバのIPアドレスがDNSサーバに問い合わせて得たメールサーバのIPアドレスになければ、そのメールは送信元を詐称していると判断し、メールの受信を拒否するという仕組みである。

 この方式の代表的なものに、米Pobox.comの共同創業者メン・ウォン氏が提唱した「Sender Policy Framework」(SPF)や、マイクロソフトが提唱する「Caller ID for E-mail」と「SPF」を統合した「Sender ID」がある。Sender IDはIETFで標準化される予定だったが、Sender IDの特許を保有するマイクロソフトの特許ライセンス条項が、オープンなインターネット標準規格の慣習に反するなどの理由から標準化されず作業部会が解散された。現在は、実験的RFCとしてSPFはRFC4408、Sender IDはRFC4406でその技術仕様が公開されているのみだ。

 もう1つは電子署名方式である。この方式は、DNSサーバに公開鍵を登録し、送信元メールサーバは他のメールサーバへメールを送信する際、電子署名をメールヘッダに追加して送信する。受信側メールサーバは、送信元ドメインのDNSサーバから、正規メールサーバの公開鍵を取得して電子署名を検証し、送信元メールサーバを認証するという方式である。一般に電子署名を利用した認証を行なう場合、第三者機関に電子証明書を発行してもらうケースが多い。ただ、電子証明書を利用するためには第三者機関への支払いが継続的に発生するという面があった。しかし、この電子署名方式では送信元のDNSサーバを用いて公開鍵を公開するため、第三者機関への支払いが発生しないという特徴がある。

送信元となるドメインを認証するDKIMの技術

 紹介した電子署名方式としては、ヤフーが提唱する「DomainKeys」が挙げられる。DomainKeysの他に電子署名方式にはシスコシステムズが提唱する「IIM」(Identified Internet Mail)があったが、DomainKeysとIIMは統合され、2007年5月にRFC4871「DmainKeys Identified Mail」(DKIM、ディーキム)として標準技術となっている。

前へ 1 2 3 4 次へ

カテゴリートップへ

この特集の記事
ピックアップ