知っている人から来たメールだと思って開いてみれば……。なんと迷惑メールだったということはありませんか? 差出人メールアドレスは、どこまで信用できるのでしょうか?
【回答】
メールが届いたときに表示される「差出人」や「宛先」。私たちがメールを開くか否かを決めるとき、一番頼りにする重要な情報です。しかし、最近の迷惑メールでは、この部分を偽称して送ってくるものがあります。なぜそのようなことが可能なのでしょうか? ここでは、メールの配送がどのように行われるのかに光を当てて、その理由を見ていくことにしましょう。
この問題を考えるとき、まず最初に知っていただきたいことは、実際のメール送信は「エンベロープ(封筒)」と呼ばれるものに格納されて行われるという事実です。下の図を見てください。
図1 メール送信の仕組み (図をクリックすると拡大します)
太郎さん“taro@example1.co.jp”は、花子さん“hanako@example.jp”にメールを出そうとしています。このとき、メールの仕組みの中では、相手に届けるメール本体(薄い緑で囲んだ部分)の外側に「エンベロープ(封筒)」が作られ、エンベロープ側に“実際に配送に必要な情報”が書き込まれます。
そして、メールは作成されたエンベロープの情報に従って配送されます。当該メールが花子さんがいる“example.jp”のメールサーバに到達し、花子さんのメールフォルダに格納された時点でエンペロープはお役ご免となり、捨てられます。以上が、正常なメールの流れだと思ってください。
では次に、おそらく皆さんが疑問に思うこと、すなわち、「メール本体に書かれた宛先とエンペロープに書かれる宛先は同一になるのでは?」ということと、「差出人にいい加減なメールアドレスを書いたらどうなるのか?」ということを考えてみましょう。
▼ メールの配送に、メール本体に書かれている宛先は使われない
通常、一般的なメールソフトを使ってメールを書く場合、宛先や差出人にはメールを書いた人が入力した宛先や内部的に管理されたその人自身のメールアドレスが使われます。図の例で言えば、宛先には太郎さんが書いた“hanako@example.jp”が、そして差出人には太郎さんが使っているメールソフトが持っている太郎さん自身のメールアドレス“taro@example1.co.jp”が使われることになります。
しかし、実際には“メール本体に書かれる宛先や差出人”と“エンベロープに書かれる宛先や差出人”が同一である必要はありません。メールの配送途中において、メール本体はいっさい参照されないからです。そして、メールの受信側でもチェックされることはありません。
したがって、「メール本体に書かれた宛先とエンペロープに書かれる宛先は同一になるのでは?」の答えとしては、「それぞれにはまったく別のことが書ける」ということになります。不正に迷惑メールを出す人々は、この仕組みを悪用してエンベロープには真面目に宛先を書くけれど、メール本体にはいい加減な、もしくは相手を騙すためのメールアドレスを書くわけですね。
▼ 差出人アドレスは、エラーのとき以外は使われない
では、もうひとつの疑問。「差出人にいい加減なメールアドレスを書いたら?」はどうなるのでしょうか。こちらについては、その答えを考える前にひとつ想像してみてほしいことがあります。ごく身近にある郵便でも何でもいいのですが、「差出人が見られるタイミングはいつでしょう」という質問に対してです。
通常、宛先に問題が無ければ、差出人が見られるのは受け取った人が「誰からだろう?」と思って見る瞬間が最初になります。なぜなら、宛先に問題が無ければ配達人はそこだけを見ればいいわけで、誰から来たのかなどということには興味がありません。配達人が差出人を“見なければいけない”ときは、宛先が間違っているか何かで届けることが困難になったときだけでしょう。
実は、メールでも同じことが言えます。差出人の情報が必要なのは、メールがエラーになったときだけなのです。そう考えると、迷惑メールを出す人にとって相手に届かないメールは不要のものですから、まったく無関係のメールアドレスを書いても問題無いと言えます。
つまり、「差出人にいい加減なメールアドレスを書いたらどうなるのか?」の答えとしては、「メールの配送がエラーになったときに、そのことをメール差出人に通知できない」と「差出人が偽称されているときには、そのエラーメールは偽称されたメールアドレスを管理しているメールサーバに届く」ということになります。後者については、何の関係もないメールサーバに不要な負担がかかるという影響がありますが、迷惑メールを出す人々にしてみれば「関係ない」ということになるのでしょう。腹立たしいことではありますが……。
▼ 差出人の正当性を確認できるようにするためには?
ここまでの説明で、私たちが見るメールに書かれている宛先とか差出人には本当のことが書かれていなくてもいいということが分かってしまいました。では、私たちはどうすればいいのでしょうか?
その答えのひとつは、メールを管理している人たちに「送信ドメイン認証を行って」と言うことでしょう。
送信ドメイン認証とは、差出人が称しているメールアドレスが本当か否かを判定するための技術のことです。仕組みは単純で、たとえば差出人が“taro@example1.co.jp”のアドレスだった場合、“example1.co.jp”が管理しているメールサーバからメールが出てくるはずですよね。そこで、受て取り手となるメールサーバがメールを受信したとき、その接続先もしくはエンペロープを見て差出人のドメイン名を特定し、本当にそのドメイン名が使っているメールサーバから来たものかを判定するわけです。これにより、かなりの確率でメールアドレスの偽称を見破ることができます。