インターネット協会が主催する「第3回迷惑メール対策カンファレンス」で、ぷららネットワークスの赤桐壮人氏が、OP25B(Outbound Port 25 Blorking)について解説、ISPらがどういったスケジュールで、どのような手順でOP25Bを導入していけばいいかを詳しく説明した。

OP25Bは、これまでメール送信に使われていたTCP25番ポート(SMTPポート)の使用を取りやめ、25番ポートを使うメールをすべてブロックするための仕組みだ。単純に25番ポートをブロックするだけだとメールが送信できなくなるので、代わりにTCP587番ポート(Submission Port)を用意し、メール送信はこのポートを使うようにする。さらにこの587番ポートの使用にはSMTP認証を必須とすることでなりすましも排除できる。

赤桐氏が所属するぷららを始め、大手ISPの多くが参加する業界団体のJEAG(Japan E-mail Anti-Abuse Group)は、このOP25Bの詳細な導入手順を勧告(Recommendation)という形で発表しており、赤桐氏は、この勧告に沿った形での解説を行った。JEAGの勧告では、OP25Bを動的IPからのメール送信対策としている。

なお、OP25Bを理解するためには、ユーザーのメールソフトなど(MUA)からのメールを受け付けるMSA、MSAからのメールの配送を受けて、さらに別サーバーへと配送を行うMTAという2つのメールサーバーと、MUAからMSAへの「投稿」、MTAからMTAへの「配送」という概念を把握しておく必要がある。

さて、OP25Bが完全実施されると、そもそも587番ポートとSMTP認証(587+Auth)の設定をしていない一般ユーザーはすべてメールが送信できなくなる。これは大前提で、これについては後述する。

では、一般ユーザーではなくOP25Bを導入するISP側の問題は何か。たとえばインターネット接続サービスを他社ISPに卸している、いわゆる上位プロバイダがOP25Bを実施すると、下位プロバイダのユーザーもメール送信ができなくなってしまう。また、ISPのメールサーバーから別ISPのメールサーバーにメールが送られる配送もこれまでは25番ポートを使っていたが、OP25Bではこれもブロックされるため、ISP間のメールのやりとりも行えなくなってしまう。ほかにも、複数のISPを契約しているユーザーが、接続しているISPと異なるISPのメールサーバーを使ってメールを送信する場合にもメールがブロックされてしまうという問題が生じる。

それに対処するためには587+Authを導入すればいい。完全実施が当初難しいISPは、JEAGの勧告にもある通り、まずは携帯電話宛のメールに対してOP25Bを導入する。携帯電話キャリアのMSAは、携帯電話からの投稿しか受け付けないため、動的IPからの投稿はブロックしても問題ない(通常はMSAを経由した配送であるため)からだ。

続いて、ISP側は587番ポートへの投稿を受け付けるMSAを用意する必要がある。MSAはSMTP Authが必須であり、これが提供されたISPのユーザーは、この時点で587+Authへの移行準備を進めるといいだろう。なお、この時点でMSAは、POP before SMTPを提供してはいけないというのが勧告だ。POP before SMTPはIPアドレスベースのため、仮にLAN内のマシンがボットに感染した状態で、ほかのマシンでPOP before SMTPを実行すると、一定時間メール送信が可能になり、ボットが迷惑メールを送信してしまう可能性があり、「POP before SMTPはセキュリティホールになりうる」。

さらにMSA(587+Auth)とMTAを分離、MSA向けのポート25番でのメール投稿は廃止し、さらにMTAへメールを直接投稿する行為も禁止する。なお、この時点で下位プロバイダは上位プロバイダと協力してOP25Bの導入を進め、上位プロバイダは下位プロバイダのために25番ポートを使うMSAかMTAを用意するべき、とされている。

また、ホスティング事業者やASP事業者、教育機関、企業といったグローバルIPアドレスからの投稿を受け付けるMSAの管理者は、MSA(587+Auth)に「直ちに移行しなくてはならない」とされる。これは、ISPがOP25Bを開始した時点でメール投稿を受けられなくなるためだ。

さて、ここでISPはいよいよOP25Bを実施できる。「動的IPアドレスであり、25番ポートを使ったTCPトラフィックを遮断しなければならない」段階で、この時点でOP25Bはほぼ完全実施と言える状態になる。ただ、MSA(587+Auth)への対応が遅れた事業者のために、上位プロバイダは「第三者サーバーの代替MSA」を提供すべとされている。

勧告の最終段階は、SMTP Authを利用した送信数制限を実施すべき、というもの。この制限では、グローバルIPアドレスからの投稿を受け付けるMSAの管理者は、「RCPT TO」で設定された数で送信数をカウントして制限する必要がある。

こうしてOP25Bが完成する、というのがJEAGが目指す到達点だ。赤桐氏によれば、OP25Bの導入は、予想よりも速く進展しているという。JEAGのスケジュールでは、携帯宛限定のOP25Bの導入はだいぶ進み、587番ポートの提供はこの5月ぐらいまでにJEAG会員ISPでは完了する見込み。MSA(587+Auth)とMTAの分離は時間がかかると見られており、2007年3月から2008年3月ごろまでに完了、OP25Bの実施に関しては、当初今年末にも導入完了予定だったが、それよりも早い段階でISPの導入が終わる見込みだという。

ユーザーに関しては、すでにISPがOP25Bを導入し、587+Authが提供されている場合はもうこの時点で設定を変更してしまうといいだろう。ISP側もユーザーへの周知徹底を図っていく必要があるが、ISP側にとってみれば、迷惑メール対策のためにも早期にOP25Bを導入したいところだろう。

赤桐氏によれば、OP25Bが完全実施された場合、スパマーはISPと契約し、そのISPのMSAを使った迷惑メールを送るしかなくなるが、すでに現時点でもその傾向が出始めているそうだ。JEAGでは、契約して迷惑メールを送り、すぐに解約する「送り逃げ」など、「正式な契約をして迷惑メールを送信する」スパマーの対策にも乗り出しているところだ。

なお、総務省ではOP25Bについて、その行為自体は「通信の秘密」を侵害する行為と言えるが、正当業務行為と認められるとしている。

ところで、OP25Bに関して問題になるのが「動的IPで、ダイナミックDNS(DDNS)を使って運営されている自宅サーバー」である。ブロードバンドの進展で個人でも自宅サーバーを立ち上げる例が増えているが、赤桐氏は自宅サーバーでも「固定IPを使ってください」としている。