雑文発散
2008-05-20 [長年日記]
▼ [雑] 第5回迷惑メール対策カンファレンス #1
第5回迷惑メール対策カンファレンスに参加して来た。
まずは岡山大学の山井氏によるおさらい。
毎回、「前回までの資料は各自把握しておくように」という初心者に優しくないポリシーの元に開催されてきた迷惑メール対策カンファレンスも第5回を迎えて、ちょっとひよっておさらいをすることにしたらしい(笑)
というのは冗談にしても、迷惑メール対策について、受信側・送信側それぞれの対策がまとまっていて、非常に分かり易いおさらいだった。
その中で、「迷惑メールは再送をしない」理論に基づき「一時的エラーを出し再送を要求する」という Tempfailing 方式による対策で気になったことがあった。それは「一部のファイアウォールが実際は受け取っていないのに、送信元へ2xx系の応答を返してしまう場合がある」という発言。
これだと送信側は「ログから見ると送信に成功している」なのに受信側は「そんなログは(MTA には)無い」という押し問答になってしまいそうだ。
送信側対策としては、送信ドメイン認証技術として SPF/Sender ID と DKIM が紹介された。これらは将来的に「ドメイン」自体のランク付けに利用しようという魂胆なのだが、課題として「新規ドメインには評価基準がない」ことが挙げられていた。つまり、spammer がドメインを使い捨てし始めたら対応が難しいということだ。
捨てアドレスではなく捨てドメインとは、凄い時代になったものだ。
▼ [雑] 第5回迷惑メール対策カンファレンス #2
KDDI の本間氏と IIJ の櫻庭氏により、迷惑メールへの技術的な対策の現状報告。
OP25B の普及により、国内からの spam 送信数は減少している。現在は、日本の spammer が海外のサーバを利用して、日本国内へ spam 送信しているパターンが多いそうだ。
KDDI の事例によると、相変わらず中国からの送信も多いのだが、ここのところフィリピンからの送信が目立っているとのことだ。なお、中国に関しては、昨年、日本政府と中国政府との間で迷惑メールに関する話し合いが持たれたそうだ。この結果、当局による摘発等も行われており、中国初の spam は一時よりも少なくなっては来ているそうだ。
また、送信元の IP 数も増加傾向であるが、ひとつの IP からの送信数は減少傾向にある。これは bot ネットワークから spam が送信されていることを物語っていると想定しているとのこと。
国内からの送信数は減少しているとは言え、まだOP25Bを実施していないプロバイダや実施はしているがナローバンド回線では未実施のプロバイダなども存在している。メールは「軽いデータ」であるため、必ずしもブロードバンドである必要はなく、ナローバンド回線(場合によってはケータイのデータ通信)から spam 配信されている実状も残っているそうだ。
それから、(悪徳な)メール配信業者からの配信による迷惑メールが増えているとのこと。この辺りは正規な配信をしている業者とそうでない業者を見極め、対応を取って行く必要が出て来ている。おそらく(良い面、悪い面あると思うが)業界団体などの設立をして、大量送信者のルールを策定する方が良いのかも知れない。アメリカでは「Sender Best Communications Practices」という文書がまとめられているらしいので、これを参考にするのが良いだろう。
SPF に関しても言及があった。現在、SPF レコードを記述している co.jp ドメインは 22% 程度となっているそうだ。これが多いか少ないかは、微妙なのだが、まぁ、それなりに普及したのではないかと思う。昨年の DoCoMo ショックがあったからという説もあった。
ただし、SPF レコードの記述間違いも散見されるという報告があった。スペルミスや余分なスペースを入れてしまって、レコードとして不備が出ている場合があるそうだ。もう一度、自分が管理している SPF レコードを見直した方が良いかも知れないね。
▼ [雑] 迷惑メール対策カンファレンス #3
経済産業省の諏訪園氏と総務省の扇氏、そしてニフティの木村氏による法制度のお話。
経済産業省と総務省では、それぞれ迷惑メールに関する法令を持っているが、現在双方とも国会での審議を行っている最中で、このまま改正案が通れば、今年の11〜12月にも施行される予定らしい。
この改正案で大きく変化をするのは、これまでのオプトアウト方式からオプトイン方式への転換。つまり「いきなり広告メール送って良し、貰いたくなかったら解除ね」から「いきなり送ったらNG」への転換である。
まぁ、いわゆる「未承諾広告※」なんぞ貰っても嬉しい人はあんまりいない訳で、これはこれで良い方向の改正だとは思う。
それから、この法令に違反した場合の業者を特定する権利の強化や罰則が強化された。これまでの法令では違反しても100万円以下の罰金であったし、そもそも経済産業省や総務省から違反者と思われる IP の利用者を ISP などに問い合わせをしても、個人情報保護法の絡みで情報の取得ができなかったとのこと。このため、悪質業者の検挙が難しかったという問題があったようだ。
今後の罰金は3000万円以下であるし、経済産業省や総務省から法令に基づいた問い合わせができることになり、ISP 側としては個人情報保護法に違反せずに回答することができるようになるとのこと。
また、迷惑メールは国をまたがって送信されることも多いため、国際協力が大切な分野になっており、今後迷惑メール対策の連携を実施して行くように進めているそうだ。これがうまく行けば、しばらくはイタチごっこになるにせよ、徐々に悪質業者を追いつめて行けるのではないだろうか?
「お役所」と言うと、あんまり良いイメージを持てないこともあるんだけど、こと迷惑メール対策に関しては、がんばって進めているように見えた。一企業などにはできない分野で、今後も対策を進めて欲しい。
▼ [雑] 迷惑メール対策カンファレンス #4
最後は、東京大学の安東氏、イプリオの石田氏、寿限無の水越氏と IA Japan の樋口氏によるパネルディスカッション。
メールの常識に関する話題では、今の大学生が「メール」というと PC メールではなくケータイメールだという話題が出ていた。メーリングリスト(メーリスと呼ぶ)にも普通にケータイアドレスを使っているらしい。また、学生に「レポートは2000字でメールで提出」と指示したら「先生、僕のケータイでは2000文字入力できません!」と反応があったとか(笑)
あと、メールという「インフラ」を外部にアウトソースしちゃって良いのか?という話題は、各パネラーの意見が分かれていて面白かった。基本的には「いいんじゃね?」という反応と「インフラは自前で管理しないとダメでしょ!」という反応だったのだが、、、オレは一般企業であれば「いいんじゃね?」案に賛成だなぁ。
「インフラ」と言うのであれば、より専門的な技術を持つところへ任せた方が良いんじゃないかと思うのだ。例えば、同じように「インフラ」である電気にしろ水道にしろ、自前でどうこうは(あまり)していない。それと同じように考えても良いと思うのだ。
もちろん電気や水と違って、メールのインフラは「情報」が蓄積されるので、この資産をどう扱うかを決めた上での判断が必要な訳だけど。
それから、ここでも SPF の話題が出た。SPF レコードの定義は浸透し始めたので、そろそろ受信側で SPF を使った送信者の評価を初めてはどうだろう?ということだ。
その為には、MTA に評価する仕組みが必要なのだが、現在出回っているものは設定に柔軟さが欠けているので、いまひとつ使いにくいのが問題らしい。IIJ では、この辺りを解決したモノを開発・使用しており、今後、そのソフトウェアをオープンソースとして公開する予定だとのこと。
公開されたら評価してみたいな。