経済産業省が!広告!抜きspam撲滅大作戦 73
ストーリー by Oliver
効果はいかほど 部門より
効果はいかほど 部門より
Batty曰く、"経済産業省の24日の発表で、サブジェクトへの「!広告!」表記や事業者のメールアドレス表示義務などに違反しているとして、約1,100の送信元サイトに対して是正を求める警告メールを送信する措置がとられたことが明らかになったそうだ。これで、迷惑メールによる不眠症からみなさん改善されるのではないだろうか?"
情報提供された6万4000通のうち3万5000通(1100の発信元)に警告したとのこと。この中の少なくない数がUser Unknownになったんだろうな。spam以外にも3万件のオンライン通版サイトをチェックし、9000件を警告って多いな。
インフラを見直すことはできるか? (スコア:3, すばらしい洞察)
旧来からの電子メールによるメッセージ交換は相互信頼モデルで成り立っているんですよね。From:然りReply-To:然り、自身を名乗るためのフィールドは偽証しないことが当然で、間違った情報が載っていれば当然のごとく相互のメッセージ交換が成り立ちません。さらに、第三者に迷惑がかかることすらありえます。
(RFC等のリファレンスをすぐに出すことができません...失礼)
宣伝目的で不特定多数に電子メールを送る場合、現実世界でのダイレクトメールとは明らかに異なる事情が存在します。それは、「(仕掛け上)連絡先として電子メールアドレスを明らかにする必要が無い」点ですね。
URLを文中に載せておけばダイレクトメールとしての目的は十分果たします。さらに、電子メールでの連絡先を隠せば、相手の意思にいちいち答える必要も無い!
改めて考えると、電子メールの仕掛けって、商売やってる側の一方的な思惑がとおりやすい仕掛けになってるんですねぇ。なんかやだなぁ。
送信元を偽証できず、明らかにしない限りメッセージが交換できないような新たな電子メールに関するRFCを仮に制定するとしたら、どのような問題が出てくるでしょう?
#利用者の観点でざくっと考えたところでは、目立った問題点が思いつきませんでしたが...。
Re:インフラを見直すことはできるか? (スコア:1)
新たに何か規格を作っても広まらなければ意味がないということでしょうね。
鵜呑みにしてみる?
Re:インフラを見直すことはできるか? (スコア:1)
詳しくないので教えていただきたいのですが、それって、「暗号化・署名」を行う為の規格と言う事は、送信されたメールの内容を、第3者が除いたり、改竄したりできないように、また改竄されていたとしたら気付けるようにする仕組みですよね?
送信元が予め、悪意…かどうかは解らないですが、メールアドレス等を偽証していたり、明らかにしていない事に対する防衛策にはならないのではないでしょうか?
違っていたら申し訳ないのですが、逆にそうであるなら、もうちょっと詳しいところを聞きたいですね。
# いや、自分で調べればいいんですけどね。(^^;
Yasuda
Re:インフラを見直すことはできるか? (スコア:3, 参考になる)
もちろん、これが現状で有効な方法かというと残念ながら難しいのですが、受け取りたいと思うメールの差出人が全員 S/MIME 署名できるメーラを使ってくれればいいわけで、今後 S/MIME が広まるかどうかは利用者次第という気がします。
// こんなことを書いているぼく自身、まだ PGP の鍵を持っていなかったりしますが……いろいろ事情があるのです。
鵜呑みにしてみる?
Re:インフラを見直すことはできるか? (スコア:1)
なるほど。
何となく解ってきました。
まだ微妙に納得しきれないところがあるのですが、とりあえずこの記事 [atmarkit.co.jp]でも読んで、もうちょっと自力で勉強してきます。(^^;
でも、未練がましく納得いかない部分を書いておくと、S/MIMEでなりすまし、改竄は防げたとしても、元から存在しないようなメールアドレスで届くspamがS/MIMEで暗号化されて届く事はないのだろうか…と。
署名とか鍵とかを、どこかの信頼できる第3機関で取得しなければならない、あるいは登録してあるということなら、わかるんですけどね。
しかし、この納得いかない部分って言うのが、なんとなく自分の理解力の無さをさらけ出しているようで、ちょっと恥ずかしいな…。(笑)
Yasuda
Re:インフラを見直すことはできるか? (スコア:1)
信頼できる認証機関以外から発行された鍵を使って署名されたものも同列に扱ってしまったら、署名の意味がなくなります。
どの認証機関を信用するかについては、 SSL のときと同じように考える必要があります(って、どれだけの人が「SSL の認証機関としてどこを信用するか」について考えた上で結論を出しているかは疑問ですが……)。 それを言われてしまうと、既に恥をかいてしまった [srad.jp]身としてはちょっと悲しい……。
鵜呑みにしてみる?
Re:インフラを見直すことはできるか? (スコア:1)
世界の全ての人がS/MIMEのメール以外うけとらないように強制するならば話は違いますが、現実的ではありませんね。
現状より優れたインフラを考えるのは簡単ですが、実際に世界的に広まったインフラを変更もしくは置換することは恐ろしく難解なように思えます。
# IPv6のように
Re:インフラを見直すことはできるか? (スコア:1)
今から新しい仕組みを作って広めるのと、 S/MIME 署名されていない電子メールの受け取りを拒否しても害がない程度まで S/MIME を広めるのとの労力を比較したら、今新しい仕組みを作ることの利点はないと思う、というのがぼくが #98920 [srad.jp] で言いたかったことです。 という発言には賛成です。現状より優れたインフラを考案することよりもずっと難しいでしょう。ただ、現状より優れたインフラを考案するのが簡単と言えるかどうかはぼくにはわかりません。
鵜呑みにしてみる?
Re:インフラを見直すことはできるか? (スコア:1)
私は以前自分のメールアドレスが広告メールのfrom詐称に使われたことがあります。このようなメールを他人が受け取らないようにするためには他人にもS/MIMEを使ってもらわないとダメなような気がします(方法があればご教授いただけるとありがたいです)。
#自分が出すメールは全部S/MIMEで送るからそれ以外は信用しないで、というのも無理でしょ?
Re:インフラを見直すことはできるか? (スコア:1)
#98961 [srad.jp]でぼくは、「from 詐称の被害にもいろいろあって、 #98912 [srad.jp] に書かれているような種類の from 詐称の被害に遭わないためには、自分だけ署名なし電子メールの受け取りを拒否すればよい」という意味のことを書いたつもり……だったのですが、よく読んだら #98912 にはどんな種類の被害とは書いてませんでしたね。失礼しました。
鵜呑みにしてみる?
Re:インフラを見直すことはできるか? (スコア:1)
送信そのものについて信頼性を与える仕掛けではないと私は理解しています。
最初の発言が舌足らずだったと思っているんですが、
電子メールでも、法的ではなく技術的に迷惑な運用を不可にする方法ができれば、省庁による「しのぎの削り合い(笑)」とか見せられなくてスマートでいいなぁ...、と思ったわけです。
Re:インフラを見直すことはできるか? (スコア:1)
個人で使うには、 CA に証明書を発行してもらわずにすむ PGP のほうがいいと個人的には思います。
// 恥ずかし……。
鵜呑みにしてみる?
Re:インフラを見直すことはできるか? (スコア:1)
だから,見ず知らずの人から届いたPGP署名メールが,それが本当にその人から発信されたモノかをその場で判断することは出来ません。
Re:インフラを見直すことはできるか? (スコア:1)
PGP が広く使われるようになったら、信頼の輪って実際どの程度役に立つのでしょうね。「信頼」できる精度を保ったままどの程度広い送信元をカバーできるのかに興味があります。
// そのためにも、 PGP を広める必要があるわけで……やっぱりインストールしようかなあ。
鵜呑みにしてみる?
Re:インフラを見直すことはできるか? (スコア:1)
その「送信元を偽証できない仕組み」、「明らかにしなければならない仕組み」の実現方法しだいだと思いますが、現時点の私では、信頼できる第3機関に、全メールアドレスの証明書を発行してもらう以外に思いつきません。
そういったDBの構築・運用が可能かどうかはまた別にして、ユーザーの視点で見ると、メールアドレスを変更するだけでも、証明書の再発行など時間と手間がかかってしようがないです。
私は技術的な面には疎いので、これくらいしか思い浮かばないのですが、他にもっとよい方法はないでしょうか?
Yasuda
Re:インフラを見直すことはできるか? (スコア:1)
Re:インフラを見直すことはできるか? (スコア:1)
できない事はないとは思いますけどねぇ…。
でも、結局、事後対処になっちゃいますよね。
もちろん、抑止力がある事は認めますけども…。
まともにMUAの設定のできない方々もたくさん、インターネットを使用されているので、副作用として、そういう方々がばんばん引っ掛かりそうな気も…。(^^;
Yasuda
Re:インフラを見直すことはできるか? (スコア:1)
だと,駄目でしょうけど.^^;;)
まともにMUAの設定のできない方々もたくさん、インターネッ
トを使用されているので、副作用として、そういう方々がばん
ばん引っ掛かりそうな気も…。(^^;
ま,そういう人は,「立件しない」ってことで,運用で対処できるか
ら,大丈夫でしょうけど.
(ご本人にも,いい教訓になるでしょうし.)
こういうときに、シェア握ってるMSがやるべきこと (スコア:1)
こういう方のために、OutlookExpressのデフォルト設定をS/MIMEにしてしまえばいいんですけどね。
htmlメールをデフォルトにしていたこと(今はどうなの?)にくらべれば、はるかにまともだし、OS付属メーラとして果たすべき義務だとおもいますけどね。
Re:インフラを見直すことはできるか? (スコア:1)
私もやってるんですが、ADSL導入後Linux自宅サーバ上で電子メール環境を構築しています。
個人的にサーバを立てられるんであれば、あえてFrom:偽証を許す設定でサーバ立ててばら撒くなんて事も可能なわけですよね。
パーソナルSMTPサーバ [impress.co.jp]のような実装もあるわけですし、対策としてはちょっと難しいですね。
やはり現状ではPKI技術を使うしか解決策はありませんかねぇ。
Re:インフラを見直すことはできるか? (スコア:1)
SMTPサーバのDNS正引き/逆引きチェックもそうですよね。おそらくこれのおかげで家のサーバからメールを送れないドメインが存在します...。"You got mail!"なところとか(^^;
使いやすさを損なうことなく、迷惑をかけたり受けたりすることも無く使える仕掛けは、現状ではやはり夢なんでしょうかねぇ。
僕なりの現実解 (スコア:1)
SMTP は POP認証をからめるトコが増えてきてますが、最低でもそんな感じで (でも韓国・中国とかあるんで理想のまま
現実解: 信頼できるSMTP網を作成
信頼できる SMTP のリストを作成。登録をリスト入手の前提にすればあるレベル以上のISPは登録するだろう。そして、ユーザに「信頼できるSMTPからのメールのみを受信」するオプションを提供
自分でサーバ立てる場合も、SMTP だけは ISP のものを利用することになる。
インフラを見直さないで対処 (スコア:1)
Re:インフラを見直さないで対処 (スコア:1)
もちろん通信コストは受信しない方が安いかもしれませんが、サイズやサブジェクトで受信する/捨てるを判断するのであれば、ちゃんと読まなきゃいけないけど、受信したメールを見て判断するのであれば、ぱっと一目見れば「あ、これステ」ってのが判断できるので、人件費(?)は安くつく.....かもしれない。
大きなメールを落とさずに削除すると (スコア:1)
Re:インフラを見直さないで対処 (スコア:1)
Re:インフラを見直さないで対処 (スコア:1)
いや、必ずしも「!広告!」が無くても対処できる方法、というつもりで書きました。
「インフラを見直すことはできるか?」のサマリ (スコア:1)
SPAM周辺の対策として、私の問いかけから出てきた話題としては
思うに、最後の署名技術を除くすべてが「今よりもやりにくくなる」方向に話が行ってしまうように思えるんですよね。
あと、署名技術については「届いたメールの発信者が信頼に値するかを検証する」ために有効な技術であると思います。
では、さらに一歩踏み込んで「発信者が応答に対し信頼できることを証明できない限りメール発信ができない」ような技術的な仕掛けって考えられないですかね。PKI技術とメールインフラが密接にかかわらないと無理な気がしてきました...。
#98912 [srad.jp]を書いたときにはまだあいまいだったのですが、だいぶ考えがまとまりました。同時に、本人が激しく不勉強であることを実感しましたのでさらに勉強したいと思います。
#あ~なんかちょっと優等生的な発言でちょっと自分でイヤ~ンな感じになってしまいました(笑)。
#slashdotの発言経験が少ないのでよくわからないのですが、こういうサマライズとかまとめ的発言とかってどうなんでしょう?あっていいですか?
ドメイン保有者に・・・ (スコア:2, 興味深い)
まあ、でも別にドメインの保有者がサイト運営してると限ったわけじゃないし・・・むずかしいのかな・・・?
---------- ------ ISHII Nayuta
これで (スコア:1)
Re:これで (スコア:1)
それぞれ数Bytes分ずつ増えるわけか...。
フィルタを許すと (スコア:1)
"RE:!広告!hogehoge " てなサブジェクトのメールを返信すると
拒否メールが届かず,拒否してもいつまでもspamが届いてしまいます.
やっぱり拒否されても何度でも送信していい法律なんだ.
Re:「韻壱」撲滅! (スコア:1)
こんな感じで、ある程度は。
:0
* ^Content-Type: .*; charset="(ks_c_5601-1987|DEFAULT_CHARSET"|GB2312_CHARSET|GB2312|gb2312|euc-kr)"
Spam/.
矛盾 (スコア:1)
お上はアテにならないので、procmailでSPAM除け(「!広告!」をフィルタする) [oucc.org]にあるように、サブジェクトに広告の文字が入っているのは /dev/null 行きにできるような機能を提供しろとプロバイダに要求しようかな。
Re:矛盾 (スコア:1)
Re:矛盾 (スコア:1)
しかも両省とも面目を潰されずに済みます。
広告業者以外みんな幸せになれていいことじゃないですか。
今年の目標考え中
騙されてるだけ(Re:無理) (スコア:1)
procmail が使えるプロバイダならできます。(安い所だと無理でしょうけど) 多分、そういった機能を提供する事が出来ないか、能力が無い為にそういった説明をユーザーにしたのでしょう。
Re:無理 (スコア:1)
>無理だと言われましたね。中身は見れないって。
FromとかToなどのヘッダ情報はハガキにおける「表書き」に相当するでしょうから,
これを見てフィルタリングしても検閲や,通信の秘密の侵害にはならないでしょう.
プロバイダによるウイルス除去サービスも,契約時なんかに「ユーザからの事前の承諾」を得てやれば問題無いんじゃないでしょうか.
ただ,Subjectは微妙ですね.「通信の内容」そのものとも取れますから.
Re:無理 (スコア:1)
残念ながら違います。電子メールの表書きは SMTP セッションにおける MAIL FROM (Envelope-Recipient) と RCPT TO (Envelope-Recipient) で示されるアドレスであって,From ヘッダや To ヘッダは関係ありません。
無理じゃないってば (スコア:1)
:0
* ^Subject:.*(ADV|sex|porn)
/dev/null
とでも書いて ftp すればいいし、ヘッダだけでなくてメールの中身までスキャンさせたければ
:0HB
* (ADV|sex|porn)
/dev/null
などとすれば、実現できますが・・・・ 通信の傍受って、何ですか? 「procmail の正規表現が俺のメールのサブジェクトを勝手に見たぁ! UNIX を訴えるぞ」とか、そういった話になるのでしょうか。 よかったらFAQ [helsinki.fi]とリンク集なぞを参照ください。
Re:無理じゃないってば (スコア:1)
(どっかから写したにせよ)「自分で」レシピを書けば,傍受もナニも自分がやったことで問題ないですが,
プロバイダが「勝手に設定して」通信内容であろうところのSunjectをフィルタリングしたらまずいのではないか,ということなのですが.
Re:無理じゃないってば (スコア:1)
確かにそれなら問題ですが、ユーザーが希望して、例えば具体的にSo-net の着信拒否機能 [so-net.ne.jp]みたいなので、自分で GUI で設定してサーバーで削除した場合でも問題があるとお考えなのでしょうか?
具体的な作業手順は? (スコア:1)
2か月間で64000通を処理した訳ですから, 1日あたり1000通の内容を確認したことになりますよね. 担当者の人数にもよりますが, ギリギリ人手で処理できそうな気もするんですが(後に屍がころがっているかもしれませんが), 機械的なルールに基づいて何らかのツールを使ってチェックしたなら, そのツール等の具体的な内容を公開してもらいたいですね.
RFCじゃないですけど, 具体的な実装例があるのと無いのでは, 判断基準の明確さが大違いですから.
Re:具体的な作業手順は? (スコア:1)
Re:具体的な作業手順は? (スコア:1)
Re:具体的な作業手順は? (スコア:1)
総務省の条件と経済産業省の条件のどちらも満たしていなければいけないということになったのでしたっけ?
双方が同時に成り立たないような気がしていましたが…。
#統一してほしいですが、そのまえに「ざる状態」で無くして欲しい…
タブレット中毒者。
Re:具体的な作業手順は? (スコア:1)
そうなると(少なくとも国内発信の)spamが
送られてこなくなって,受信側はハッピーとなる.
「経済産業省はやってるんだぞ!」 (スコア:1)
まさか、今回だけってことはないよね?
この「迷惑メール」のところって、なんだか各省があれやこれやとバトルを繰り広げて、自分のテリトリーにしたがっているじゃないですか。たしかに、このアイテムだと特殊法人とかNPOとか作れそうでしょ?
(財)電子媒体広告事業者協会
とかね。
今回は各省の縄張り争いの具にされているだけのように見えるんですが。
Re:「経済産業省はやってるんだぞ!」 (スコア:2, 参考になる)
日本広告主協会 [jaa.or.jp]
日本新聞協会 [pressnet.or.jp]
日本民間放送連盟 [nab.or.jp]
日本雑誌広告協会 [zakko.or.jp]
日本広告業協会 [jaaa.ne.jp]
インターネット広告推進協議会 [jiaa.org]
japan.internet.com 2002/01/28 記事 [internet.com]より
Re:!広告!がついていようがいまいが (スコア:1)
でも、それだったら広告内容に偽りありということで、 JARO に提訴できるかも。^_^