23日、センドメールによる「Sendmail送信者認証技術セミナー」が、都内千代田区の都市センターホテルで開催された。当日は米SendmailのCTOで「E-mailの生みの親」ともいわれるエリック・オールマン氏が来日し、現在のE-mail環境がさらされている脅威と、それに対する対抗技術などについて語った。

E-mailに関する問題として、日本では「スパムメール」が取り沙汰されることが多いが、欧米では最近、スパムよりも「フィッシング(Phishing)」と呼ばれるメールを使った詐欺行為が大きな問題となっているという。フィッシングとは、金融機関、オンライン・ショップ、ISPなどになりすましてE-mailを送り、偽造したWebサイトへ誘導してクレジットカード番号や銀行の口座番号などを盗む手口のことで、アメリカでは昨年の被害者数が700万人から1,000万人にのぼる。

スパムやフィッシングが横行しているのは、もともと限られたネットワークでの情報共有を目的に設計されたE-mailの配送プロトコルであるSMTPに、適切な「認証」の機能が定義されていなかったことに起因している。インターネットが一般に普及し、商業的な目的で利用されるようになった現在、認証技術の導入は不可欠だ。

そこで、センドメールが現在取り組んでいるのが「送信者認証」技術によってE-mailに対する信頼を回復することだ。この技術はSMTP Auth等の既存のユーザ認証とは異なるもので、「認定」と「レピュテイション」というアルゴリズムに基づいて、より確実にメールの送信者が「良き送信者」であることを特定する。具体的な認証スキームとしては、IPアドレスベースの「Sender Id」、公開鍵による暗号化ベースの「Yahoo! DmainKeys」などがある。SenderIDはHotmailに搭載されているMicrosoft Caller-Idと、SPF(Sender Permitted From)を統合したもので、送信メールサーバのIPアドレスをDNSサーバに「送信者レコード」として登録し、受信時に送信者とIPアドレスの対応を確認することで認証を行うものだ。DomainKeysは、受信者が送信者の公開鍵をDNSサーバから取得し、メッセージに含まれる電子署名を復号化して認証を行う。

センドメールでは、これらの認証スキームをまとめて送信者認証の要求仕様を策定すると共に、他のオープンソースコミュニティと連携しながら、相互運用、実装テストを実施している。DomainKeys用のプラグインに関しては、既にベータ版がオープンソースで公開されており、SenderIDについても仕様が確定し次第、対応予定という。

もちろん、送信者認証には技術的な問題がないわけではない。メールを転送した場合にIPベースの認証で生じる問題、配信中にメッセージが変更された場合に暗号化が破られることがある問題などは、同社もまだ解決へ向けて調査を行っているところだ。また、他にも暗号化ベースのスキームでは、暗号化・復号化のために、メールを使う各コンピュータには高い処理能力が求められること、DNSの負荷が増す可能性があることなどの問題が残されている。ただ、エリック氏は「個人的な意見として」と断った上で、「これらの問題についてはあまり心配はしていない」と語った。処理能力については今後PCにはグラフィックスチップと同様に暗号化処理専用のチップが組み込まれるようになるだろうし、DNSについてもこれまで行われてきたスケールアップの豊富な実績から見て問題はないだろう、というわけだ。

技術的な問題の他に、政治的な問題もある。現在センドメールが特に協調して送信者認証を推進している関係各社、具体的にはMicrosoftやYahoo!などが、ずっと協力的であり続けるかといった問題だ。しかし、今のところこれらのパートナーとセンドメールはうまくいっているようだ。E-mailの信頼性を回復するというのは、これらのパートナー各社にとっても最優先で取り組む必要のある課題として認識されているということだろう。

センドメールでは、送信者認証技術の実用化を2005年初頭、普及を2005年秋と見込んでいる。送信者認証技術の普及には、E-mailの利用者全体が参加することが必要であり、センドメールでは今後ISPや企業に対して対応を呼びかけていくと共に、標準SMTPサーバであるSendmailの対応や商用製品の開発、コンサルティングサービスに注力する。果たしてセンドメールの送信者認証技術がエンドユーザに受け入れられるかどうか、今後の動向に引き続き注目したい。