スパム対策仕様の標準化ならず、MS vs オープンソース陣営

　電子メールの送り主が本当にそれと名乗る人なのかを確認することは、スパムやフィッシングを取り締まる上で有効な方法となる。だが、これを実現する仕様の標準化作業は、なかなか進んでいない。最大の要因は、技術というより、政治的要素だ。

　インターネットの標準を策定するInternet Engineering Task Force（IETF）の作業部会Internet Engineering Steering Group（IESG）は6月29日（米国時間）、電子メールの送り主を確認する方法として、2つの仕様を実験的RFC（Request for Commnet）として承認した。

　2つの仕様は、「Sender ID: Authenticating E-Mail」と「Sender Policy Framework（SPF）for Authorizing Use of Domains in E-Mail」。実験的RFCは、標準ではなく、技術資料と位置づけられるものだ。IESGは調整作業を行ってきたが、結局、1本にまとめることはできなかった。

　前者のSender IDは、米Microsoftが積極的に推進している仕様だ。Microsoftは2004年5月、自社仕様の「Caller ID for E-mail」と米Poboxの開発者Meg Wong氏が開発し、米America Online（AOL）がプッシュしていた「Sender Policy Framework（SPF）」を統合して、Sender IDを作成した。同年6月にはIETFに提出し標準化を狙ったが、IETFは同じ年の9月末にSender IDの作業部会MTA Authorization Records in DNS（MARID）を解散した。その背景には、特許問題とオープンソース陣営の反対がある。

　Sender IDに反対を表明したのは、Debian ProjectとApache Software Foundation（APF）というオープンソース界でも影響力の大きい2団体である。彼らが反対したのは、ライセンスと特許という2つの理由からだ。ライセンスでは、Sender IDを利用する際にMicrosoftのライセンスを取得する必要が出てくる。だが、オープンソース側は利用に制限を与えるライセンスという形式を好まない。

　もう一つの特許の問題とは、Microsoftが開発したCaller IDを含むSender IDには、同社が特許申請中の技術が含まれているという点だ。特許の範囲を開示せよという要求に対して、Microsoftは非公開としている。そのような技術を標準とすることは認められないというのが、オープンソース陣営の主張だ。こうした懸念から、結局MARIDもSender IDを標準仕様として採用しないことに決定した。

　同じ年の11月には、Wong氏がSPFの新バージョン候補を作成し、これが今回IESGが実験RFCとしたSPFの土台となっている。

　メール送信に使われるSMTPは送信者の認証を行わないため、送り主詐称は簡単にできてしまう。両仕様は、これを補完するもので、電子メールの送り主がサーバーのIPアドレスとドメイン名を記した記録を公開し、受け取り側がDNSを用いてそのIPアドレスがドメイン名に合致するかどうかを確認するという点では同じだ。異なるのは、受信側がエンベロップ情報を用いるか、メールのヘッダ情報を用いるかである。

　今回の決断にあたり、IESGは「長い間ドキュメントと状況について議論を重ねており、両サイドから的を得た異論が出されてきた」としながら、「（2つを実験的RFCとすることに関して）IESGがどちらかのアプローチを推薦することはない」と発表資料の中で述べている。

　また、オープンな仕様として利用できるようにすることで、どちらが利用価値が高いのかが実証され、これが標準につながるという見解を示している。当面2年間、両仕様を実験的RFCとして様子を見る意向のようだ。

　両技術の実装はすでに始まっており、中でもMicrosoftは今年6月後半、今秋にも同社Webメールサービス「Hotmail」で利用すると発表している。Sender IDを事実上の標準に持ち込むことを狙うもので、これにより、ISPなどでのSender ID実装が進むと予想されている。