 |
「メールを使った詐欺行為『フィッシング』を防ぐ技術がまもなく姿を現す。メール送信者認証だ」。オープンソースのメール・サーバー・ソフト「sendmail」の開発者であるエリック・オールマン氏は語る。
メール送信者認証は、サーバーがインターネットからのメールを受け取る際に、送信元のメール・サーバーが適切であるかどうかを確認する技術。送信元を偽ったメールを送ってユーザーをだますフィッシングによる被害を防ぐことができる。現在、複数のメーカーやISPが技術を開発中で、技術が乱立して採用しづらくなる恐れがある。
しかしオールマン氏は、「送信者認証技術は、複数を併用しても問題ない。パスポートと運転免許証という2つの身分証明証をもっていても不都合がないのと同じだ」と意に介さない。
現在有力なメール送信者認証技術は二つある。一つは、6月末にマイクロソフトが発表した「Sender ID」。マイクロソフトが開発した「Caller ID for E-mail」と、メン・ウェン・ウォン氏が開発した「SPF(センダー・ポリシー・フレームワーク)」を組み合わせたもので、すでに、IETF(インターネット・エンジニアリング・タスク・フォース)にドラフトを提出済み。早ければ9月にも最終的な仕様が固まる。メールを受信したメール・サーバーがDNS(ドメイン・ネーム・システム)を参照し、送信元サーバーのIPアドレスを確認することにより、正しいユーザーが送信したと判断する。
もう一つは、米ヤフーが開発している「DomainKeys」。送信側メール・サーバーが秘密鍵で電子署名をメールに施す。受信側のメール・サーバーは、送信元のDNSサーバーから公開鍵を取得し、署名を確認する。これにより、正しいユーザーによるメールであることを確認する技術である。5月にインターネット・ドラフトが公開された。オールマン氏は、「Sender IDもDomeinKeysも優れた技術。そこで、sendmailは両方を利用できるようにする」という。
具体的には、sendmailのプラグイン・ソフトを公開し、既存のメール・サーバーに送信者認証技術を追加できるようにする。すでにテスト段階にあり、ベータ版を公開済みである。また、オールマン氏がCTO(最高技術責任者)を務める米センドメール社の製品としても販売する予定である。
