送信者認証

迷惑メールやフィッシング詐欺の多くは、他人のメールサーバーを悪用してメールを送りつけたり、送信元を詐称したりして送られるような仕組みになっているため、受信側メールサーバーがメールを受信するときに、送信元サーバーをチェックすることで、こうしたメールを排除することができる。 一般に、送信者認証の実現手法は二つあるとされている。 一つ目は、送信元メールサーバーのIPアドレスを確認する方法である。 このとき、メールを送信する側は、予め自分のドメインのDNSサーバに送信用メールサーバーのIPアドレスを登録しておき、受信側のメールサーバーでは、差出人のメールアドレスのドメイン名からDNSサーバーにアクセスし、そこからIPアドレスに関する情報を取得する。 このIPアドレスが、メールを送信したIPアドレスと一致すれば、送信側の情報が確かなものであると認証される。 この方式の代表例としてはSenderIDと呼ばれる手法があり、例えばMSNのHotmailなどで利用されている。 二つ目は、デジタル署名を利用する方法で、公開鍵暗号と呼ばれる技術を使ってメールの送信元を調べる。 メールを送る側は、あらかじめ自ドメインのDNSサーバーにディジタル署名を検証するための公開鍵データを登録しておく。 そして送信側メールサーバーは、メールを送信するときに、秘密鍵で作ったディジタル署名をメールに添付して送信する。 受信側メールサーバーは、差出人のメールアドレスのドメイン名からDNSサーバーを探し、そこから公開鍵を取得する。 そしてメールに付けられていデジタル署名がこの公開鍵で正しく復号できれば、送信元メールサーバーは信頼でき、受信メールの送信者は詐称されていないと判断する。 こちらの代表例は、DomainKeysと呼ばれる方法であり、Yahoo!メールやGoogleのGmailなどで利用されている。 また、DomainKeysと別の仕様を統合したDKIM（DomainKeys Identified Mail）と呼ばれる仕様の標準化も進められている。