本間氏から指摘されたISP側はどう対策しようとしているのか。IIJ技術研究所の山本和彦氏は、現在の問題点について、家庭内に仕込まれたプログラムによって、ユーザーが気づかない間に迷惑メールを送信する「ゾンビ」とメールアドレスの詐称を挙げる。これに対して山本氏は、メールアドレスが追跡可能な「メールアドレスを詐称できない世界」の実現を提案する。

現状の問題点は、ゾンビとアドレス詐称	サーバー間の「配送」とユーザーからサーバーへの「投稿」を分離、ユーザー認証とサーバー認証によりメールを追跡可能にすることが目的

その方法が"投稿ポート"(Submission)の提供だ。ISP/ASPといったドメイン間のメールの配送は従来通りポート25番を使用するが、ユーザーのPCからメールサーバーへの投稿にはポート587番を使う、というもの。プロトコル自体はSMTPを使う(SMTP over SSL、SMTP over TLSでも構わない)。この投稿ポートに対してはユーザー認証を必須にし、「理想的には」(山本氏)ポート25番への投稿を禁止、ポート587番への投稿のみを許可するようにする。さらに追跡しにくい動的IPを使ったPCからのポート25番を使ったメールをブロック。

投稿ポートにより、ユーザーとサーバーとのやりとりはポート587番で行う。従来よく使われるPOP before SMTPでは不十分で、理想的にはポート25番への投稿を禁止する。ただ、ポート25番のブロックは「あくまで理想論」(山本氏)

これによって、ユーザー認証が行われないゾンビからの迷惑メールはブロックされ、通常のユーザーはポート587番を使うことでISP経由、ホスティング会社のメールサーバー経由でメールが送れる。独自にメールサーバーを運用したい場合は固定IPの利用を促せばいい、という。

このポート25番のブロック(Outbound Port25 Blocking)は、AT&TやEarthlink、MSNなど、米国などで比較的多く導入されており、国内でもぷららネットワークス、WAKWAK、SANNETといった導入事例がある。

こうした対策の結果、今度はPC内のパスワードを盗み、ユーザー認証を回避しようとするゾンビが登場することは「容易に想像が付く」(同)。また、追跡されても意に介さずに迷惑メールを送り続けるスパマーも登場する、と山本氏。

これに対しては「レート制御」を導入し、短時間にたくさんのメールを送信することを禁止、サーバー間のメール配送に関してはドメイン認証を必須にして、本当にそのドメインから配送されたメールかどうかをチェックする仕組みの必要性を指摘する。これにより、迷惑メールを送ってきたドメインが追跡でき、ドメイン管理者に対して警告を出すなどが可能になるわけだ。

ドメイン間の配送にはポート25番を使うが、ドメイン認証を必須とする。さらにレート制御によって短時間にたくさんのメールを送信することを禁止する

こうして「メールアドレスを詐称できない世界」が実現されると、スパマーは独自ドメインを取得して、ドメイン認証に対応、迷惑メールを送るだけ送ってドメインを捨てる「使い捨てドメイン」(同)が登場する可能性がある。これについては、ドメインの評価(reputation)が必要なのだという。いわばドメインの格付けで、これらの対策に加え、従来通りのコンテンツフィルタも使い続けることで、迷惑メールに対抗しよう、というのが山本氏の提案だった。

将来像はこうなる?