メールは簡単にFromヘッダを改ざんすることができるため、メーラの通常のビューを見るだけでは本当の送信者を見破ることはできません。そのため、フィッシング詐欺にメールが利用されてしまいます。
そこで、Sendmailが送信者が正しいかどうか認証する技術として、次の2つを挙げています。
- IPベース認証方式 - SPFとSender ID
- 暗号化ベースの方式 - DomainKeys
IPベース認証方式は実使用にはいろいろと課題がありそうですが、暗号化ベースの方式(ディジタル署名する)はすぐにでも広がって欲しいと思う技術です。(それぞれの技術については、前述のWebサイトを参照してください。)
先日もフィッシング詐欺対策として武富士がVeriSign社の証明書でS/MIMEを採用するという発表がありました。S/MIMEは送信する本人がメールに対してディジタル署名を行なうものですが、DomainKeysはメールを送信するドメインのメールサーバが外部に送信するメールに対してディジタル署名します。そのため、鍵管理が個人に委ねられることがないため、より簡単かつ確実に全てのメールにディジタル署名することが可能になります。(S/MIMEの場合には送信者がディジタル署名を付け忘れるとかといった漏れが発生するかもしれません。)
DomainKeysの概要は以下のWebサイトが参考になります。
このようなインフラがInternet全体に広がれば、フィッシング詐欺の対策としても効果を期待できそうです。
しかし、世界中に星の数ほど存在するメールサーバ(ほとんどがオープンソースのsendmailを使用しているでしょう)が、置き換わっていくにはまだまだ時間がかかるでしょう。
今やメールは企業にとっても基幹となっているインフラであり、そのメールサーバを置き換えるということには慎重な姿勢になることが予想されますから。
