今やインターネットを使う上で避けては通れないのがスパムメールの存在。個人でもメールボックスを開くと山のようにスパムメールが押し寄せてきて困っている人は読者の中にも多いだろうが、それ以上にメールサーバの管理者にとってはメールスプール用HDDの容量やサーバ負荷等、スパムに起因する問題は数多い。もちろんフィッシング詐欺など、スパムが元になって新たな被害が発生する問題も見過ごせない。

そこで今回のInterop Tokyo 2005では、IIJ技術研究所の山本和彦氏、IronPortの脇山弘敏氏の2人が講師となり、主にサーバ管理者向けのスパム対策に関するセッションが開かれた。昨年もスパム対策セッションは存在したが、昨年は1セッションだったものが今年は「スパム流通量の拡大を反映して」(脇山氏)2セッションとなるなど、より高度なスパム対策が求められている様子がうかがえた。

メールの「投稿と配送の分離」によりスパムを発信側で抑えこむ

山本和彦氏

前半は主にスパムの発信側について、スパムを出させないためにどのような対策が行われているかについての解説がメインとなった。

日本国内でスパム(あるいは迷惑メール)というと、これまでは主に携帯電話向けに出会い系サイトなどの勧誘を行うものが大きな問題となっていたが、山本氏によればこれは昨年から減少傾向に向かっているという。一時はPCに携帯電話を接続して「携帯発携帯着」の形でメールを送ることで、メールサーバレベルでのフィルタをかいくぐってスパムが送られていたが、昨年あたりから携帯電話キャリア各社が1台の携帯電話で1日に発信できるメールの数を制限する(レート制限)ようになり、スパム業者が送ることのできるメールの絶対数が減少したことから、大きな効果を挙げているとのこと。また総務省と経済産業省が共同で実施している「迷惑メール追放支援プロジェクト」により、政府の同プロジェクトが「このメールは迷惑メールかどうか」を判定してくれるようになったことから、約款を盾にスパム業者との契約を解除する際に「迷惑メールの送信」を理由としやすくなったことも大きいという。

しかし一方で、インターネットメール向けのスパムは急増しており、山本氏によれば「昨年夏あたりからIIJのメールサーバの負荷が10倍になった」という。特にインターネットの場合は、ウイルス・ワーム等によりスパム配信のための踏み台としての機能を持たされたいわゆる「ゾンビ」、または「Bot」の数が増加していることが大きな問題となっている、と同氏は語った。フィッシング詐欺については警察庁の「フィッシング110番」に通報することで、業務妨害・著作権法違反を根拠に早い段階から警察が動いてくれるようになったものの(山本氏は「これはこれまでのスパムとの戦いにおいては画期的なことだ」と語った)、それでも問題は拡大傾向にある。

そこで最近は、メール送信に使われるSMTPサーバにおいて、従来、25番ポートでユーザからの投稿と他サーバからのメール配送の両方を受け付けていたものを変更し、ユーザからの投稿については587番ポートを投稿用に使用するように分離する(その際には必ずSMTP AUTHによるユーザ認証を行う。POP before SMTPではだめ)という手法が生まれているという。ちなみにこの587番ポートの利用については、RFC2476で規定されている。山本氏は「理想は25番ポートからの投稿を完全に禁止することだが、ネット家電等でメールを使用するものなど、送信ポートが25番で固定されているものもある。そのため、現実にはDHCPで動的に割り当てられるIPアドレス群から自分のISP網外に対する25番ポートへの接続を禁止する、というのが妥当だろう」との見解を示した。

ここで重要なのが、新しい587番ポートでは必ずメール送信にユーザ認証が必要になるという点。こうすることにより、あるISPの網内にある端末が別のISPのメールサーバにメールを投稿する場合には、動的IPアドレスの場合は必ず587番ポートでのユーザ認証を経るため、携帯メール同様のレート制限等によりメールの発信量を制限しやすくなる(固定IPアドレスの場合は従来型のブラックリスト型による規制が有効なので、あまり問題ではない。また同一ISPの網内であればIPアドレスからユーザを特定できる)。日本ではまだこれを導入しているのはぷらら(一部)、WAKWAK、SANNETぐらいとのことだが、山本氏は「今後これを早期に導入できるかどうかで、そのISPのスパム対策に対する力の入れ方がわかるのではないか」と語った。

もちろん環境によっては、例えば大学で教授が自分の授業を受講している生徒宛に同報メールを送るなど、一時的に大量のメールを送りたい場合も考えられ、その場合にはレート制限等が妨げになることもないわけではない。ただ会場からその点について質問があると、山本氏は「単純な通数制限以外にも、送信パターンにより送信を許可・拒絶するなどの方法もある」と語り、ユーザ認証により発信側でのコントロールがしやすくなるメリットを強調した。