EZwebで「送信ドメイン認証」〜なりすまし対策

[杉浦正武，ITmedia]

　KDDIは、EZweb向けメールサービスで送信元のアドレスを詐称したメール（なりすましメール）の対策として、送信ドメイン認証技術「SPF／Sender ID」を利用したメールフィルターを導入する。2006年度中をめどにシステムを導入する予定。

　SPF／Sender IDは、送信元サーバーのドメインとメールの送信元アドレスのドメインが一致するかどうか認証する技術。具体的にはメール受信時に送信元のDNSサーバに「SPFレコード」を問い合わせることで認証を行う。

　SPFレコードとは、送信側のドメイン管理者が設定するメールサーバのホスト情報を記述するもの。メール送信元のDNSサーバにSPFレコードが記述されていれば、そのサーバから送信されるメールと「なりすましメール」とを識別できる。

　同社はシステム導入の最初のステップとして、EZwebやISP「DION」など、KDDIが管理する全てのドメインにDNSサーバへのSPFレコードの記述を行う。また今後、KDDIのインターネットユーザーやEZwebのコンテンツプロバイダーに、SPFレコードの記述を働きかけていく。

　なりすましメールは、フィッシング詐欺を目的として実在の銀行・クレジットカード会社などを装う「フィッシングメール」に利用される恐れがある。しかし現状、多くのユーザーにはそれがなりすましメールかどうか判断が難しい。SPF／Sender IDを導入すれば、固定ISPや企業のドメインになりすました迷惑メールをフィルタリングして受信拒否できるようになる。

ドコモ、ボーダフォンもSPFレコードを記述

　SPF／Sender IDの仕組みは、海外で標準化が進んでおり（2004年8月5日の記事参照）、NTTドコモやボーダフォンも、これに協調する姿勢を見せている。ドコモは12月7日から、ボーダフォンも2005年度中にSPFレコードの記述を行う予定。ただしこれは“送信側のドメイン管理者として”SPFに対応するだけで、受信時のメールフィルタリングにはいまのところ対応する予定がない。

　「ドコモは、既に『ドメイン指定受信』（2003年11月27日の記事参照）に対応している。SPFレコードを利用したメールフィルタリングを導入するかどうかは、業界の動向も見つつ検討する」（ドコモ広報部）。ボーダフォンも同様のスタンスで、「“送信側”（SPFレコードの記述）は2005年度中に対応するが、“受信側”（メールフィルタリング）は現在検討中だ」とした。