Page 41

　
Appendix C.  Operational Considerations about Message Authentication

This proposal is predicated on the idea that authentication (and presumably in the future, reputation) work is typically done by border MTAs rather than MUAs or intermediate MTAs; the latter merely make use of the results determined by the former.  Certainly this is not mandatory for participation in electronic mail or message authentication, but the work of this proposal and its deployment to date is based on that model.  The assumption satisfies several common ADMD requirements:

付録C　メッセージ認証の運用に関する考察

本提案は、認証処理（およびおそらく将来的には評価）は通常MUAや中間MTAではなく境界MTAで行われ、MUAや中間MTAは単に境界MTAが判断した結果を使用するだけであるという考えを前提としている。もちろんこれは電子メールやメッセージ認証に必須というわけではないが、本提案とこれまでのその配備は上記の前提に基づいている。この仮定はADMDへの一般的な要求のいくつかを満たすものである。

1.  Service operators prefer to resolve the handling of problem messages as close to the border of the ADMD as possible.  This enables, for example, rejections of messages at the SMTP level rather than generating a DSN internally.  Thus, doing any of the authentication or reputation work exclusively at the MUA or intermediate MTA renders this desire unattainable.

1.　サービス管理者は、問題のあるメッセージの処理をできる限りADMDの境界の近くで解決することを好む。これによって、たとえば、内部的にDSNを生成せずSMTPレベルでメッセージを拒絶することが可能になる。それゆえ、MUAまたは中間MTAでのみ認証や評価の処理を行うと、この要求の達成が難しくなる。

2.  Border MTAs are more likely to have direct access to external sources of authentication or reputation information since modern MUAs are more likely to be heavily firewalled.  Thus, some MUAs might not even be able to complete the task of performing authentication or reputation evaluations without complex proxy configurations or similar burdens.

2.　現在のMUAはより厳重にファイアウォールで守られるようになっているため、境界MTAは認証や評価に関する情報の外部情報源に直接接続することが多くなっている。それゆえ、MUAによっては認証や評価の判断を複雑なプロキシ設定や類似の負荷無しに行うという課題を完了することさえできない場合もあり得る。

3.  MUAs rely upon the upstream MTAs within their trust boundaries to make correct (as much as that is possible) evaluations about the message’s envelope, header and content.  Thus, MUAs don’t need to know how to do the work that upstream MTAs do; they only need the results of that work.

3.　MUAはメッセージのエンベロープ、ヘッダ、内容について（できる限り）正確に評価することを、自分の信頼の境界内の上流MTAに依存している。それゆえ、MUAは上流MTAの行う処理のやり方を知る必要はない。単にその処理の結果が必要なだけである。

4.  Evaluations about the quality of a message, from simple token matching (e.g., a list of preferred DNS domains) to cryptanalysis (e.g., public/private key work), are at least a little bit expensive and thus should be minimized.  To that end, performing those tests at the border MTA is far preferred to doing that work at each MUA that handles a message.  If an ADMD’s environment adheres to common messaging protocols, a reputation query or an authentication check performed by a border MTA would return the same result as the same query performed by an MUA.  By contrast, in an environment where the MUA does the work, a message arriving for multiple recipients would thus cause authentication or reputation evaluation to be done more than once for the same message (i.e., at each MUA) causing needless amplification of resource use and creating a possible denial-of-service attack vector.

4.　単純なトークンの合致（たとえば、優先DNSドメインの一覧）から暗号解析（たとえば、公開鍵／秘密鍵の照合処理）まで、メッセージの質についての評価は少なくとも多少のコストがかかるため、最小限に留めるべきである。そのためには、境界MTAにおける認証試験の実行はメッセージを取り扱う各MUAで試験を行うよりもずっと好ましい。ADMDの環境が一般的なメッセージ処理用プロトコルを支持している場合、境界MTAによって行われる評価の問い合わせや認証検査はMUAによって行われる同じ問い合わせと同じ結果を返す。反対に、MUAがその処理を行う環境では、複数の受信者に宛てられた到着メールの場合、同じメッセージに対して認証や評価の判断が(たとえば各MUAで)複数回行われることになり、資源の使用が不必要に増え、サービス拒否攻撃につながる道となりかねない。

[Page 41]