Sender IDは無力か?

SPAM対策を目的とした発信者認証技術としてMicrosoft Caller ID, Yahoo DomainKeysなどをMasa33 BLOGで紹介してきました。　MicrosoftのCaller IDはSPFとの合意案となり、SenderIDという名前になっています。　最近になって、SenderIDによる発信者認証はSPAM対策には効果がないという記事が目立っています。　本エントリでまとめて紹介します。

[1] CNET NEWS 2004.9.8 Study: Spammers use e-mail ID to gain legitimacy
[2] MIT Technology Review 2004.9.10 Spammers Using Sender ID ([3]を引用）
[3] Infoworld 2004.8.31 Spammers using sender authentication too, study says
[4] eWeek 2004.9.6 Spammers Skirt IP Authentication Attempts
[5] eWeek 2004.9.7 Authentication Is Not an Anti-Spam System

[1]によるとSPAMメールの1/6はSPFに基づく発信アドレス証明情報を含んでいるとのこと。　つまり、正当な発信アドレス証明を含むこと自体はメールの正当性の根拠にはならないということだ。　[2]によれば、SPAM業者はドメインあたり5ドルの使い捨て感覚でドメインを使用している。　SenderID自体はＭＴＡｻｰﾊﾞとドメインとの従属関係を証明するだけなので、以下の[1]からの引用の通り、ドメイン自体の信用度を提供する補完サービスが必要となる。　これって、VeriSginがIETFに提案している おすみつき方式 に相当しそうだ。

MX Logic's Chasin argues that SPF does not really solve the problem of spam--at least not until there are supporting services to provide a measure of the reputation of the various e-mail senders. ([[1]より引用）

[3]によると、現時点で早々とSenderIDに対応しているメールトラヒックの半分以上はSPAMメールだそうだ。　皮肉なことに、SPAM業者の方が一般のネットワーク管理者よりも早くSPAM対策の新技術へ対応しているようだ。　 SPAM送信の経済学にあるように、SPAM業者の方が経済的動議が強いからだろう。

[4]の記事では、SenderIDを支持するSendmailのCEOが、”信頼できるドメインのホワイトリストを作成して、SenderIDに基づきドメインを認証しながらホワイトリスト中のドメインからのメールのみを受け付ければよい”と提案。　多くのネットワーク管理者はこの提案を受け入れないだろう。　従来通過していた正当なメールまでSPAM対策のためにフィルタリングしてしまうのは本末転倒だから。　

[5]の記事は、SenderID自体が無意味なわけではなく、SenderIDによるドメイン詐称防止と他のしくみを組み合わせながらトータルでSPAMを抑止することを考えるべきだ、と説いている。　また、[5]の記事にもおすみつきシステムの話がでている。

感想：　SPAM業者の方が強い経済的動機に基づいて行動しているため、SPAM業者の方が新技術に早く対応してしまうという点がこの問題の難しさを表していると思います。　また、全体のトレンドとしては、[1], [5]の記事にあるようにドメインおすみつきサービスなどの補完技術を整備していくことになるのでしょう。

＃＃　Verisignがinternet draftを提出している ドメインおすみつき方式(原題：DNS Publication Accreditation Data）　については、そのうち解説記事をアップします。

（あまりにテキーなネタなので、その他にアップしました）

Masa Kawashima / R&Dマネージャ http://motlab.net/