第2回 迷惑メール対策@nifty （後編）

2009年7月16日

こんにちは。セキュリティ担当のNです。

先月から始まった「こんなサービスも安心・安全」、第二回目は前回に引き続き「迷惑メール対策@nifty」のK下さんに話を伺います。

よろしく。

前回は、@niftyから送信される迷惑メールを未然に防ぐ対策「OP25B」について説明していただきました。

前回、説明が途中で終わってしまった、「IP25B」について教えてください。

送信だけでなく、@niftyのお客さまが受信する迷惑メールについての対策も行っています。

プロバイダーの提供するメールサーバーを経由しないで送られる迷惑メールについては、そのIPアドレスを判別して、お客様の元に届かないようにブロックするようにしています。それが、「メール着信ブロック（IP25B、以下IP25B）」です。

「メール着信ブロック（IP25B）」についてはこちら
迷惑メール対策@nifty > @niftyの取り組み > 送信ドメイン認証

もう少し簡単に教えていただけると助かります…

通常のメールはプロバイダー経由で送られてくるものがほとんどですが、迷惑メールを送信してくる人の中には、自分の手で運用しているサーバーを使って、直接送信してくる場合があります。

通常ではありえないようなサーバーを利用してくるわけですか。

そう。こういう場合は、メールサーバーはIPアドレスが動的に変化していることが多いので、IPアドレスを判別して制限している。

簡単に言うと、例えば常にIPアドレスが変化するような、「正常とは言えないメールサーバーから送られてくるメール」の送信元を判断して、「そのメールは受け取らないよ」というNGの判断を下すことがあるわけですね。

そういうこと。

他に、お客さまの見えないところで取り組んでいることはありますか？

世の中には、@niftyのお客さまのメールアドレスを詐称して、迷惑メールを送るような人たちもいる。そういった詐称抑止に向けた対策も行っているよ。それが「送信ドメイン認証」という機能だね。

メールアドレスを偽って送信するんですね。ではその抑止対策を教えてください。

送信されたメールの身元を検証するため、ドメイン名の部分での認証を行っています。
具体的に言うと、お客様から送信される@niftyメールに「SPF（Sender Policy Framwork）」によるIPアドレスに基づく認証方式および「Domain Keys」による電子証明方式を適用し、送信元の証明を行っています。

え、SPF・・・？ドメインキー？ずいぶん難しい言葉が出てきました…

両方とも、メール送信時の認証方式です。
まずは「SPF」について説明します。メール送信サーバーの情報を、DNSサーバーというところに登録しておきます。送信元の情報を、そのDNSサーバーの登録情報と照合して正しいメールかどうかを判断します。

「Domain Keys」はどういったものでしょうか。

一方の「Domain Keys（ドメインキー）」は、暗号化された証明書のようなものがメールに添付されます。メールを受信する側は、その証明書の内容が、送信元のものかどうか照合し、正しければメールボックスに配送するようにします。

メールアドレスから、どのドメインが正しいかを照合するんですね。そういえば、もう数年も前ですが、私の携帯電話宛に自分のメールアドレスから迷惑メールが送られてきたことがあります。

今は、@nifty以外のプロバイダーや、メールのサービスを提供している会社もこういった認証方式を採用しているところが増えているから、メールアドレスの詐称はだんだん減ってきていると思うよ。

それでも迷惑メールが届いてしまう場合にはどうすればよいでしょうか？

迷惑メールもますます巧妙になって、どうしても判定しきれないケースも出てくるかと思います。@niftyでは迷惑メール判定技術の精度向上のため、会員の皆さまからの迷惑メールに関する情報を連絡していただく機能があります。「迷惑メール通報」によって会員の皆さまからお送り頂いた情報を蓄積して、今後の迷惑メール対策への適用を図っていきます。

また、@niftyメールで提供している「迷惑メールフォルダー」には「Symantec Brightmail AntiSpam（シマンテック ブライトメール アンチスパム）」というシマンテック社の迷惑メール判定フィルターを利用しています。世界各国から迷惑メールの情報を収集してフィルターに反映させることにより、迷惑メールの判定精度を日々向上させています。

迷惑メール通報機能についてはこちら
迷惑メール対策@nifty > @niftyの取り組み > 迷惑メール通報

シマンテック ブライトメール アンチスパムについてはこちら
迷惑メール対策@nifty > @niftyの取り組み > Symantec Brightmail AntiSpam

なるほど。迷惑メールを送信させない／受信しない、ということ以外にも、迷惑メール判定精度向上のために、さまざまな対策を採用しているということが分かりました。

新しい仕掛けを持った悪意を持ったメールが世界中でどんどん生まれているので、お客様にはどうしてもご迷惑をお掛けすることもあるかと思いますが、迷惑メールを一通でも多く排除するために、様々な技術を提供していきたいと考えています。今後とも、@niftyメールならびに「迷惑メール対策@nifty」をよろしくお願いいたします。

私も大変参考になりました！

2回に渡って「迷惑メール対策@nifty」担当者にお話を聞きました。このように、メール一つ取っても、見えるところだけでなく、見えないところでも数多くの対策を採用してしていることがわかりました。

次回は、『マイキャビ』サービスのセキュリティについて、サービス提供の裏側をのぞいてみたいと思います！

今回のサービス担当者：K下

@niftyメールサービス担当者の一人。
迷惑メール全般に関するサイト「迷惑メール対策＠nifty」の立ち上げを始め、開発者とは違う独自の視点で、メールサービスの企画、運営に携わる。