SPFの設定とメールサーバの管理が重要になる理由

今回、迷惑メール対策関連法の改正によって、「国内にある設備からまたは設備に送信したら」という形で「海外発のメールであっても法の規律の対象となる」ことが明記されました。これによって、いままで海外のメールサーバを使って国内に迷惑メールを送っていた事業者を規制の対象とすることができるようになります。

また、一定の条件下とはいえ、厳しい規制のかかっているプロバイダであっても、SPFやDKIMといった送信ドメイン認証技術などを使ってメールアドレスを偽称しているメールの受信拒否ができるようになります（このへんの詳しい情報については、インターネット協会の「有害情報対策ポータルサイト －迷惑メール対策編－」で公開していきます）。

このことが何を意味するかというと、「（発信元が国内であるか国外であるかに関係なく）不正なメールサーバを使って送信してくるメールは受け取ってもらえなくなる可能性が高くなる」ということです。もちろん、ほとんどの方は「俺のところは不正なメールサーバなど使っていない」と思うはずですし、実際、そうであってくれなければ困ります。

しかし、それでは「不正か否か」というのはどのように調べられるのでしょうか？　おそらく、現状ではSPFが一番有力だと考えられます。SPFをご存知無い方に簡単に説明すると、メールアドレスに書かれているドメイン名を管理しているDNSサーバに、「あなたが使っているメールサーバに関する情報を教えてください」と問い合わせて、帰ってきた答えとメールを送ってきたメールサーバの情報を比較して評価する仕組みです。このとき、メールサーバの情報が一致していれば OK、一致しなければ NG となります。もちろん、SPFは完璧ではありませんが、現状ではブラッリストなどを使うよりもはるかにましであることは事実ですし、いずれは一般化していくと考えられているので、できるだけ早めにSPFの設定をすることが大切になっていくということです。

さて、では、今度は迷惑メールを送っている事業者の立場になってみましょう。海外からの送信もダメ、SPFによる迷惑メールブロックも出てきた。困りますよね（こちらは歓迎ですが……）。そうすると、対策を考えるようになるはずです。ちょっと考えても、当面は「送信ドメイン認証のできない、SPFの書かれていないドメイン名を使ってメールを送信する」とか「管理の弱いメールサーバを乗っ取る」といったようにいくらでも考えつきます。

もし、このような方法で自分のところのメールアドレスやメールサーバが使われたとしたらどうなるでしょう？　自分自身も被害を受けますし、信用もがた落ちですよね……。そうならないためには、自分自身の管理しているDNSにSPFを設定し、メールサーバの管理をしっかりやっていくことが重要になります。

ということで、（繰り返しになりますが）SPFの設定とメールサーバの管理は今後ますます重要になってくる、という話でした。

追伸：
SPFを設定したから迷惑メールが減るというわけではありません。実際、「自らが使うメールサーバにSPFを設定し、送信ドメイン認証をパスさせるが、送信者表記を詐称して（*1）迷惑メールを送信する」、もっと極端になると「そもそも偽りなどせず、堂々と出す」といったアイデアもあるわけです。しかし、その際には自分自身が管理しているメールサーバが踏み台になるリスクがありませんので少しは安心できるということです。また、送信者表記を詐称に対しては、メールソフトの設定を変えて「メールアドレスそのものを出すようにする」とすることである程度は回避できるはずです。

*1　たとえば“ITmedia事務局 <悪人@freeなメール.xx>”といったようなメールアドレスを使うと、Outlook の様なメールソフトでは差出人として「ITmedia事務局」と表示されます（この設定は変更できます）。こうした機能も、悪用すればユーザーを騙すことができます。