米Microsoftは米国時間10月25日,電子メールの送信者認証技術「Sender ID」の新版をインターネットの標準化組織「IETF(Internet Engineering Task Force)」に提出したことを発表した。新版のポイントは「SPFとの互換性を明確にしたこと」(マイクロソフト サーバープラットフォーム ビジネス本部 IWインフラストラクチャ製品グループ 中川哲マネージャ)。ここでの「SPF」とは,Sender IDに統合された送信者認証技術「SPF(Sender Policy Framework)」を指す。
Sender IDは,Microsoftの「Caller ID for E-mail」と,米Pobox.comの共同創業者であるMeng Wong氏が開発した「SPF」を統合した技術/仕様である(関連記事)。Caller ID for E-mailは,メールのFromヘッダーが偽装されていないかどうかをチェックすることが特徴。一方SPFでは,「Mail From」と呼ばれているように,SMTPのMail Fromコマンド(の引数)が偽装されていないかどうかをチェックする。これらを統合したのがSender IDである。
以前のSender IDの仕様では,上記の2種類のチェックは,Sender IDの「PRA(Purported Responsible Address)」と呼ばれる機能/仕様が実施することになっていた。つまり,Mail FromとFromヘッダーの両方をチェックすることが前提となっていた。このため,Mail Fromだけをチェックする方法――つまり,統合前のSPF――を使っている(あるいは使おうと考えている)組織/企業では,Sender IDとの互換性が懸念された。当初はSender IDを支持していた米AOLが9月に支持を撤回したのは,このことが原因だと考えられる。
そこでSender IDの新版では,Mail Fromをチェックする方法を「Mail From」,Fromヘッダーをチェックする方法を「PRA」として切り分けた。その上で,Sender IDではいずれかの場合だけでも利用できることを仕様に明確化した。「以前の仕様でも下位互換性を保つことは記述していたが,具体的には言及していなかった」(中川氏)。これを受けて,AOLはSender IDを支持することを改めて表明した(関連記事)。
◎参考資料
◆Q&A: Sender ID Framework Proposal Provides Foundation for Fight Against Malicious Spam(米Microsoft)
◆Sender ID Framework at a Glance(米Microsoft)
(勝村 幸博=IT Pro)
