迷惑メール対策で見直されるSMTP認証自分の電子メールが迷惑メールと見なされないために
末政 延浩
センドメール株式会社
テクニカルディレクター
2008/3/25
迷惑メール対策の中でのSMTP認証
ここでまた疑問に思われるのが、25番が駄目でも587番でメールが送信できるなら、迷惑メール送信者も587番ポートに直接接続してメールを送信すれば、いままでどおり迷惑メールが送信できてしまうという点だ。
これを防ぐため、OP25Bとの組み合わせでは、このサブミッションポート上でSMTP認証を有効にして、SMTP認証に成功したものだけ、電子メールの送信を許可する設定が必須となっている(図2)。
 |
| 図2 SMTP認証(画像をクリックすると拡大します) |
SMTP認証とは電子メールでのログイン処理のようなものだ。メールクライアントソフトが、接続したメールサーバに対して、自身がそのメールサーバを使って電子メールを外部のドメインに送信する権利を持っていることを証明するために利用されている。
一般的な設定では、SMTP認証に成功するとそのメールサーバからほかの任意のあて先への電子メールを送信することができる。ただし、通常はそのメールサーバ配下のローカルなユーザーへの電子メールはSMTP認証に成功する、しないにかかわらず送信できてしまう。
しかし、OP25Bを実施する場合、サブミッションポートを使った電子メール送信は、SMTP認証に成功しないとローカルなあて先にも外部のあて先にも一切送信できないよう制限することで、そのメールサーバを利用する権利を持たない第三者の電子メール送信を完全に禁止できる。このようにSMTP認証はOP25Bの実施において非常に重要な役割を持つ。
SMTP認証とPOP3 before SMTP
ところで、商用インターネットサービスが普及してからこれまで、SMTP認証はあまり積極的に利用されているとはいい難い状況であった。メールサーバを使って電子メールを外部のあて先に送信する際の認証手段として、これまでPOP3 before SMTPという方法が広く利用されていたからだ(いまも利用され続けている)。
メールクライアントソフトの設定画面などで、「電子メールを送信する前に必ず電子メールを受信する」という項目を見掛けたことがないだろうか。POP3 before SMTPとは、電子メールを送信する前に、そのサーバ上で動作しているPOP3サーバにログインし、ログインに成功したことで、電子メールを送信する権利を証明するという方法である。
SMTP認証は、電子メールが広まった後に標準化が進んだという経緯もあり、POP3 before SMTPを利用しているISPは多い。また、一般のユーザーがメールクライアントソフトを起動すると、だいたい最初にPOP3で新規メールを受信するため、ユーザーが意識することなく、また特別な設定をしなくても利用できるという点で普及が進んだ。
POP3 before SMTPでは、送信元のIPアドレスを一定時間(だいたい10分間)記録しており、電子メールを送信してきた送信元がその記録されているIPアドレスと一致すれば外部ドメインあてのメールの中継を許可するという仕組みになっている。
POP3通信でのログインが送信元の認証処理になるわけだが、多くのサイトでPOP3のログインIDと、電子メールアドレスが一致しているとは限らないため、厳密な認証方式とはいえないのだ。
特に、NATを実施しているファイアウォールの内側にいる複数のPCが外部のメールサーバに接続した場合、どのクライアントもそのサイトの代表IPアドレスとなってしまう。つまり、ファイアウォールの後ろ側にいる1台のPCがPOP3ログインに成功すると、少しの間、そのPCの属するサイト内のすべてのPCから電子メールが送信できるという根本的な問題を持っている。
SMTP認証ベースのトラフィック制御の必要性
上述のJEAGのレコメンデーションにも提言されているが、OP25B の普及によって、外部のメールサーバへ電子メールを直接送信できなくなると、迷惑メール送信者はISPに加入した直後、ISPの正規メールサーバを利用して大量に迷惑メールを送信した後、該当のアカウントを放棄する。
または、バックドアプログラムに感染したゾンビPCをリモートコントロールし、加入者を装いISPの正規メールサーバを利用して大量に迷惑メールを送信する、という手段に出ることが考えられる。
前者の「うち逃げ」については以前から問題になっていたが、OP25Bによってより頻繁に発生することが予想され、実際に発生もしている。これを防ぐため、電子メールの送信時には必ずSMTP 認証を実施してもらい、サーバ側ではSMTP認証の認証IDごとに、単位時間当たり何通メールを送ったか監視するという対策を実施することが、やはりJEAGから提案されている(図3)。
 |
| 図3 SMTP認証ベースのトラフィック制御(画像をクリックすると拡大します) |
例えば、認証IDごとに単位時間当たりの送信メール通数を計測し、しきい値を超えた通数の電子メールが送信された場合、一時的な接続拒否(4xx番エラー)をクライアントに返すなどのアクションを取り、迷惑メール送信者に短時間に大量の電子メールを送信できないようにする。
このように、SMTP認証の認証IDごとのトラフィック制御を実施することで、OP25Bを中心とした迷惑メール対策がより強力なものになるのだ。認証IDごとのトラフィック制御は実はこれまでも携帯電話からの電子メール送信について実施されており、効果が確認されている。そして現在は大手ISPでの実施が始まっており、中小のISPやASPもこれに続いていく様子だ。
 |
2/3 |
 |
| Index | |
| 自分の電子メールが迷惑メールと見なされないために | |
| Page1 着実に進んでいる日本の迷惑メール対策 実を結びつつあるJEAGの活動 Outbound Port 25 Blockingとは何か 587番ポートことサブミッションポートの意味 |
|
 |
Page2 迷惑メール対策の中でのSMTP認証 SMTP認証とPOP3 before SMTP SMTP認証ベースのトラフィック制御の必要性 |
| Page3 POP3 before SMTPからSMTP認証への移行 STARTTLSとSMTPSとの併用を考える 迷惑でない電子メールを確実に届ける技術へ |
|
| 関連記事 |
| 電子メール送信者を見分けるSMTP AUTHの可能性 |
| Sender ID:送信者側の設定作業 |
| Sender ID:受信者側の設定作業 |
| 電子署名を使うDomainKeysの設定方法 |
| 電子署名方式の最新技術「DKIM」とは |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
