futuremix

Microsoft が推進する SenderID 技術は、スパムメール対策として紹介されることが多いのですが、いろいろ欠点や抜け穴があるのが疑問でした。しかし、今日の迷惑メール対策技術セミナーに参加して、SenderID はフィッシング対策なのだということで納得がいきました。写真は講演する Microsoft セーフティーテクノロジー&ストラテジーグループ開発担当部門ディレクタのアラン・パッカー氏。

SenderID は、メールの送信者のドメインの DNS サーバに問い合わせをして、正しいメールサーバから送られてきているかを検証する技術です。これによりメールアドレスやドメインを詐称しているスパム、ウィルスメールなどを弾くことができます。しかし、スパム業者であっても独自のドメインを持ち、DNS に正しく設定していれば、Sender ID のチェックはパスしてしまいます。実際にそのようなスパムはすでに出回っているそうです。そのため、スパム対策にはあまり有効ではありません。

しかし、フィッシング詐欺のメールは、ほとんどが送信者アドレスを詐称していますので、Sender ID が有効になるわけです。

あと、Sender ID は、DomainKeys と比べて、送信者側は DNS の登録だけで済むというメリットがありますが、メールの転送やメーリングリストでは、送信者アドレスと送信サーバが一致しなくなるのでチェックが通らないというデメリットもあります。

パッカー氏は「SenderID は特効薬ではない」と言っていましたがまさにその通りで、スパムやフィッシング詐欺のメールを撲滅できるわけではありません。しかし、かなりの速さで DNS への導入は進んでいるようで、2004年10月末に、DNS に SPF レコードを追加し、2004年12月に受信側が Sender ID をチェックするというスケジュールが提示され、メールサーバ管理者は対応していくことを求められることになりそうです。