? byway, sideway::SPFを入れたところで
About
CISSPʾ󥷥ƥॻƥץեåʥǧˤĤ⺣˿òҤǴäƤޤ
LINKS

Advertisements

Dec 09, 2005


[Security] SPFを入れたところで 03:47
CISSPとして、たまにはセキュリティネタを1つ。忘れないように。

携帯電話事業者各社が送信ドメイン認証技術への対応を発表:IT Pro

NTTドコモグループ9社,KDDI,沖縄セルラーは12月6日,携帯電話向けメール・サービスを送信ドメイン認証に対応させると発表した。送信ドメイン認証は,メール・サーバーが「送信元が詐称されていないかどうか」を確認できるようにする仕組み。各社ともSPF(sender policy framework)への対応を強化する。


たぶんSPFを入れたところで、SPAMの総量とクレームは減るわけではないのでは、と思います。(注:これは会社員としての見解ではなく、CISSPたる私個人の見解。)
各社ともそれを分かった上で、あえてこれをやっていると思うので、その前向きな取り組みを否定するわけではありません。ただ、この動きは客観的にエキスパートの第三者が技術評価をすべきで、大手がやったからこれで大丈夫という単純な話ではないです。これからも引き続き、インターネット・コミュニティを含めた粘り強い長期的なアプローチが必要になります。

実は携帯会社が入れた一番の目的は「打ち上げ花火」として消費者を安心させ、SPAM業者を牽制すること。そして、2番目の目的は各電話会社のサーバ負荷軽減ではないかなぁとCISSP的には思うのです。「大手3社から来るメールは必ず携帯メールだから、(その中身がどうであっても)スクリプトで量産されたSPAMメールではないはず」というのが社会全体の理解だった(はず)。しかしながらこの通説は崩れつつあって、互いに「送信元のメールサーバが正当なものだよ」と必死に伝えあわないといけないくらい、携帯メールはインターネットそのものに近づいているという捉え方のほうが正確だと思います。

そういった意味でも、これはSPAMを排除する本命とはなりえないというのが個人的見解。メールの送信元がどこからであっても、その中身(コンテンツ)がSPAMで無い限りは結局信頼できないメールである、ということは変わり無いのですよ。1年前にはこういった話も出ていますし。

ITmedia エンタープライズ:SPFはスパム業者も積極利用。送信者詐称防止には一定の効果

電子メール認証プロトコルはメッセージの“善悪”を判断することはできず、送信者が本人であるかどうかを確認するものにすぎないとCipherTrustは指摘。SPFだけではスパムに対抗することはできず、電子メール認証は詐欺メール/スパム防止策の一部として導入すべきだと勧告している。


ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1134067648.html |