「匿名希望」がなくなる日

送信ドメイン認証

迷惑メール対策として、プロバイダのメールサーバから外部に発信するメールには、次のような電子署名のようなヘッダがついています(DomainKey-Signature部分)。大手プロバイダでは迷惑メール対策の一つの試みとして、送信ドメイン認証という仕組みを模索しているようです。

Received: from unknown (HELO aps509) (172.22.106.153)
  by smb511.nifty.com with SMTP; Tue, 23 May 2006 23:21:40 +0900
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
  s=pxy2nd-default; d=nifty.com;
  b=iGr2xxVhZNoEEvU2Hxm2suMpmQFppy7K2zCaB9y7TJc8wsZKAFLVNU7ycSnWXE0cQXIQ7nEMRyLZj+fh+cCyng==  ;

DomainKeys方式の概要

送信ドメイン認証という方式にはいくつか種類がありますが、大きくIPベースの認証方式と暗号化ベースの認証方式があるようです。ニフティのメールヘッダについている DomainKey-Signatureヘッダは暗号化ベースの認証方式で、Yahoo、AOLなどのプロバイダが提唱している方式です。

詳しくしりたい方は、@ITのレポートが参考になるかもしれません。また、ちょっと古いんですが、Sendmailのサイトにも詳しいレポートが公開されています。

Sendmail社は、実環境への適用シナリオをもとにした長時間にわたる試験を実施し、昨年来話題になっている新しい電子メールの送信者認証技術のインターネット電子メールサイトへの導入方法についてのレコメンデーションを作成しました。

Sendmail 2004年 11月
送信者認証技術の導入におけるレコメンデーション

今回は電子署名を利用した送信ドメイン認証技術「DomainKeys」について解説する。Sender IDやSPFなどのIPアドレスベースの送信ドメイン認証に比べて、本質的にメール転送に強いという利点があり、長期的には電子署名方式の送信ドメイン認証を利用していくべきであるといわれている。

2006/1/12
電子署名を使うDomainKeysの設定方法

簡単に説明すると、

メールを送信するプロバイダ側

• DNSサーバにプロバイダドメインの公開キーを登録する。
• メールを外部に送信する場合、そのメールヘッダ部のハッシュ値を計算し、
• その値を公開キーに対応した秘密キーで暗号化し、
• Base64でテキストコードとし、
• その情報をメールヘッダに追加する（DomainKey-Signature)。

メール受信するプロバイダ側

• 受信したメールにDomainKey-Signatureヘッダがあれば、
• ヘッダ情報のドメイン(d=nifty.com)のDNSサーバからの公開キーを取得し、
• Base64でエンコードした情報(b=iGr2xx....==)を元の値にデコードし、
• DNSサーバから取得した公開キーで複合する。
• メールを送信したサーバが計算した方法と同じ方法で、ヘッダ部のハッシュ値を計算し、
• その結果が一致するかどうかチェックする。
• 認証結果をメールのヘッダ(Authentication-Results)に追加する。

ニフティの送信ドメイン認証

メールの受信者は、Authentication-Resultsヘッダによって、そのメールの電子署名の「認証結果」を参照できるようになります。これを元に怪しいメールは受信しないなどの「対策」をメール受信者が行うことができます。ただし、ニフティの受信メールで、そんなヘッダを見たことありません（たぶん。。。）次の説明にも「ニフティから送信するメール」とあり、受信したときの認証まではやっていないのかもしれませんね。

@nifty会員のメールアドレスを詐称する迷惑メールの抑止に向けて

@niftyのメールアドレスで送信されるメールに対して、「SPF（Sender Policy Framwork）」と「Domain Keys」を適用し、送信ドメイン認証によるメールアドレスの詐称の防止に着手しています。

迷惑メール対策@niftyより
送信ドメイン認証

「秘密の保護」に触れる？

しかし、これらの措置が、電気通信事業法の通信の「秘密の保護」「検閲の禁止」に触れるのではないかと報じされています。メールのヘッダは、郵便局で手紙の切手に「スタンプ」を押すのと同じ感覚でいたんですが、それは「違う」という話です。

インターネット協会が開催した「第3回迷惑メール対策カンファレンス」で、ニフティの木村孝氏と、電気通信事業者を所管する総務省消費者行政課の今泉宣親氏が、特に送信ドメイン認証の導入に焦点を当てて法的な留意点をまとめた。
... なお、メールは送信者と受信者の双方が当事者(利用者)であり、「利用者の同意」というと、双方が同意しなければならないように思われるが、送信ドメイン認証は、基本的に受信側の同意のみで提供でき、送信側の同意は不要、というのが総務省の考え方である。

これは、送信者が「送信行為を完了した時点」、つまりメールソフトなどでの送信が終了した時点で、メールは送信者の手を離れると解釈されているためで、送信者が送信を完了して以降の対策である送信ドメイン認証は、送信側の同意が必要ない、というわけだ。 ...

MYCOM 2006/5/17のレポート
送信ドメイン認証による迷惑メールの排除、法的に認められるのか

この記事の内容はとっても重いし、難しい。法的な解釈みたいな部分とは無縁の世界に生きてきたと思っていたのに、Winny以後、「法律」の一番神経質な部分と隣り合わせの状態になっている。

消印の認証

でも、待てよ。送信ドメイン認証は、そもそも郵便局の消印が正しいものかどうかを認証しているだけで、別に差出人が正しいと証明しているわけではない。送信ドメイン認証の方式では、メールヘッダの From や、エンベローブ From のドメイン部分を認証する方式もあるが、これも差出人の住所が正しいものかどうかをチェックしているだけで、その住所(ドメイン）に、その人（メールアドレスのローカルパート部分、＠マークの左側）が、確かに住んでいるかまでを証明しているわけではない。

いい加減な差出人で、はがきをテレビ局やラジオ局に出せなくなる日。「横浜市にお住まいの匿名希望さん」からのトリビアがなくなってしまう世界。電子技術で簡単に「認証」方法を生み出してしまっては、現実社会のような匿名性はなくなってしまうのか。

悪いのは迷惑メール。でも、ダイレクトメールを郵便局が勝手に止めることもない。1通のメールを1000人でも10000人でも簡単に、そしてただ同然で送信できるメールシステムだからこそ、迷惑メールが後を絶たない。メールの一番の特徴が、一番の問題点になっているというのか。。。

コメント

http://searrgsfbsege.host.com
desk3
[url=http://seasrgsfbsege.host.com]desk4[/url]
[link=http://seaargsfbsege.host.com]desk6[/link]

投稿： Carlauid | 2007年2月12日 (月) 23:01