最近思ったのですが、送信者認証技術って、いつの間にか選択肢がそれなりになっていますよね。
今回は「それぞれの違いや目的が分からない」とか「何が自社環境や要件にベストな方法なのか悩んでいる」といったご要望に応えて、送信者認証の始まりからSMTPの基本、認証技術のご紹介、更には実装方法まで!解説してみようと思います。
送信者認証が求められるようになった背景
1982年に電子メール&SMTPが使われ始めましたが、メールのSMTPの基本で解説している通り、SMTP自体は認証を持たない、シンプルな作りになっています。
シンプルな仕様でありながら、広く直接的に使われているものでもあるため、悪用される事も多いのが電子メールです。
ウィルスやスパムメールの送信を、自分のリアルなメールアドレスで行う人はいません。 みな、成り済ましたアドレスを利用する訳ですが、受信側のメールサーバーに拒否されないよう、ただ成り済ますだけでなく、実際に踏み台にするケースも多いのが実情です。どうして踏み台にされてしまうのか、と、根本的な理由を考えると、やはり、SMTPプロトコルに、認証という仕組みがないのがポイントだと考えています。
通常、メーラーでメールの送受信を行う際、受信のためのパスワードは設定しても、送信のためのパスワードは設定しないケースが多いですよね。例えば、自社サーバーが踏み台にされたとします。こうした「踏み台にされてしまったメールサーバー」がブラックリストに載ってしまったりするのです。(スパムの送信元とみなされるため)
送信の際、管理者としてはどうしたら踏み台や成り済ましのリスクをなくす事ができるのか、検討が必要になります。送信者認証として、どういった選択肢があるのか、という事で、まずは大きく次のように分類できます。