2008年に入ってもスパムメールに悩まされている。これまでにもさまざまなスパムメール対策が実施されてきたが、いよいよSMTPへの認証が一般化しそうだ（編集部）

　今日のビジネスシーンにおいて、電子メールの果たす役割は大きくなってきている。しかし、多くの電子メールユーザーはスパムメールに悩まされ、その処理に貴重な時間を費やしたり、新たな対策製品のための予算を計上したりと余計なコストを負担しているのではないだろうか。

　事実、スパムメールがメールトラフィック全体の7割近くを占めるという調査結果も出ている。シマンテックが毎月公開している「スパムレポート」の2008年1月版によれば、2007年12月の電子メールトラフィックのうち75％がスパムメールだったという。

【関連リンク】 Symantec Spam Report January 2008（PDF）

　もちろんスパムメールに対して何の手立ても講じずにいるわけではない。多くの電子メールユーザーがスパムメールフィルタリングツールを導入している。また、ISPや企業のメール送信サーバは、Sender IDやDKIMなどの送信ドメイン認証を実施することで自身の正当性を確保し、スパムメールとの差別化を図ることでスパムメールフィルタリングによる誤検出を回避している。

　このような“メールを受信するとき”の対策は当たり前のものとなってきている。残されているのは、“メールを送信するとき”の対策の強化である。今回取り上げるSMTP AUTH（SMTP Authentication）は、最も新しい電子メール送信時の対策の1つだ。

【関連記事】 Sender ID：送信者側の設定作業 電子署名方式の最新技術「DKIM」とは

■なぜスパムメールが増加するのか

　スパムメールは増加の傾向にある。その理由はいろいろと考えられるが、1つに「スパム業者は儲かるビジネス」というのが挙げられそうだ。スパム業者は、とにかく大量のスパムメールを配信するために、次々とISPを乗り換えてスパムメールを“打ち逃げ”していったり、ボット（ボットネット）と呼ばれるマルウェアを使ったりしている。

　また、「スパムメールを“効果的”に送信するためのメールアドレス一覧」を作成するためのスパムメールがトラフィックを増やしている。これは、ハーベスティング（Harvesting）と呼ばれる行為だ。

　スパム業者は専用ソフトを用いて、目標としたメールサーバ対してユーザー名部分を機械的に発行した大量の電子メールを送り付ける。メールサーバから「あて先不明」で帰っていたメールアドレス以外は、「実際に使われているメールアドレス」としてリスト化される。ハーベスティングをされると、一度も使ったことのないメールアドレスでさえスパム業者の手にわたってしまう。

　これまでのスパムメール対策は、受信側でフィルタリングをする対処療法が主だった。しかし、スパム業者は対策の抜け穴を探すべく、手を変え品を変え、新たなスパムメール送信方法を編み出してくる。

【関連記事】 ボットネットなんて関係ねぇ！ というわけには……

■性善説に立つSMTPの限界

　そもそも、電子メールの送信を行うためのプロトコルSMTP（Simple Mail Transfer Protocol）には、ユーザーを認証する仕組みがない。文字通り“シンプル”な電子メールを転送するためのプロトコルだからだ。

　電子メールは、複数のメールサーバ間をバケツリレーのように中継されて目指すメールサーバへと送られる。このため、初期のインターネットでは送信用メールサーバ（SMTPサーバ）は誰でも利用することが可能だった。

　そこで問題となったの不正中継だ。2000年前後には、自身が管理するメールサーバが利用を認めていないユーザーによって踏み台にされていないかを調べるフリーソフトウェアなどが存在していた。

　第三者による不正なスパムメール送信を防ぐために、ISPは自身が保持しているIPアドレス以外からのユーザーのSMTPサーバへのアクセスを拒否し始めた。センドメールの末政延浩氏は「数年前まで、多くのISPはSMTPに何らかの認証を施す必要性を感じていませんでした。多くのユーザーはダイアルアップ接続を行う際にユーザー認証を行っていたからです」と語る。

　ところが、ブロードバンドやモバイルコンピューティング環境が充実し、複数のISPを使い分けるユーザーが多くなると、外部ネットワークからメールSMTPサーバへのアクセスが発生することとなり、IPアドレスによる制御では利用者の利便性を下げる結果となった。

　そこで登場したのがPOP before SMTPだ。SMTPと違い、電子メールを受信するためのプロトコルであるPOP（Post Office Protocol）には、ユーザーを認証する仕組みがある。POP before SMTPとは、SMTPサーバへアクセスする前にPOPサーバへのアクセスによるユーザー認証を強制し、その後の数分間だけSMTPサーバにも接続させる方法だった。

　POP before SMTPは、サーバ側、クライアント側ともに大きくシステムを変更する必要がなかったため、多くのISPで採用された、しかし、末政氏は「POP before SMTPは不十分でした。特定のIPアドレスからのアクセスを一定時間だけ許可するため、NATで運用している企業ネットワークなどでは全員が認証されたのと同じ状態になってしまいます」と語る。

■SMTPに認証機構を

　POP before SMTPは、認証機構を持たないSMTPを運用していくための奇手である。ついにSMTPは、RFC 2554「SMTP Service Extension for Authentication」によってサービスが拡張され、認証機構を持つこととなった。それが、SMTP AUTHである。

　ところで、スパムメール対策として2005年ごろから取りざたされているOutbound Port25 Blocking（OP25B）は、SMTP AUTHと密接な関係にある。OP25Bでは、外部ネットワークにあるSMTPサーバを利用するためには、Submissionポートと呼ばれる587番ポートを指定する。

　OP25Bは、スパムメール送信者を締め出すことが主目的であるため、ユーザー認証もなく587番ポートを解放してしまっては意味がない。そこで、SMTP AUTHと併用することが必須条件となっている。

　POP before SMTPと比較して、2000年ごろにRFC化されたSMTP AUTHの導入が遅くなった理由は何だろうか。末政氏は、サーバ側、クライアント側ともに設定変更が必要だったことを挙げる。

　クライアント側では、メールソフトがSMTP AUTHに対応している必要がある。ユーザーは、SMTP AUTH用に認証情報やポート番号を設定をする追加作業が発生する。サーバ側では、SMTP AUTH未対応のユーザーのためのSMTPサーバとSMTP AUTHに対応したサーバの2台を運用しなければならなかった。

　「新しい技術への過渡期であることに起因する追加作業がネックになっています。しかし、国内で使われているメールソフトはほとんどがSMTP AUTHに対応したので、今後はISPも積極的にSMTP AUTH対応を進めていくのではないでしょうか」（末政氏）

　SMTP AUTHを使うことでユーザーが特定できることから、電子メール送信におけるトラフィック制御も柔軟にできるようになるという。センドメールが開発しているメールゲートウェイフィルタ「Mailstream Flow Control」には、ユーザーごとの単位時間当たりの電子メール送信数を制限できる機能が追加された。国内ISPでは、So-netが2008年2月から稼働させるという。

【関連リンク】 センドメールのプレスリリース（2008年1月10日）

　最後に末政氏は、「スパムメール増加の原因の1つとなっているボットの中には、SMTP AUTHの認証に対応するものも登場するでしょう。しかし、送信トラフィック制御を実施すれば、認証された送信者であっても異常な数の電子メールを送信すれば、その流量を制御できるようになります」と付け加えた。

「Master of IP Network総合インデックス」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）