パスワードを忘れた? アカウント作成
Close
9220 story

Yahoo! MailもDomainKeysによる電子署名を開始 30

ストーリー by Oliver
差し出し人証明 部門より

GRA21曰く、"GMailに遅れること約一ヶ月、DomainKeysの提案元である?Yahoo! Mailが自らDomainKeysによる署名を開始したそうだ(ZDNetの記事)。
記事ではDomainKeys vs. Sender IDという構図も切り取って描写しており、AOLが両方の技術に興味を持っており、MSはHotmailにSender IDを実装することを計画している、という内容になっている。DomainKeysとSender IDは本来共存できる技術だと思うので、ユーザーとしては、対立構造になることなく、早く業界のアンチフィッシング技術の標準を確立してほしいと思う。HotmailとGMailとYahoo!MailとAOLが両技術に対応してくれれば良いのだけど…"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Yahoo! MailもDomainKeysによる電子署名を開始 More

  • 本来共存できる技術 (スコア:2, 参考になる)

    by schroedinger (11547) on 2004年11月17日 10時02分 (#653602)

    昨日のITProの記事 [nikkeibp.co.jp]でも同様のことが書かれてますね。

    「複数の方法があれば,複数のロジックが組める。例えば,『まずはSender IDで検証して,だめならDomainKeysで検証する。どれか一つでもOKならよしとする』あるいは『すべてでOKではないと信用しない』など,受信側のポリシーに合わせた認証方法を選択できる」(センドメールの小島氏)。

    ただ、全部実装・実行すると負荷がかなり大きくなるような気がするので、そのあたりを見極めた上でどれを使うかという判断は必要になるでしょうな。

    • S/MIME ではだめですか・・・?

      • Re:本来共存できる技術 (スコア:3, 参考になる)

        by Ryo.F (3896) on 2004年11月17日 10時28分 (#653614) 日記
        S/MIMEとは目的が違うから。
            Why not just use S/MIME? [yahoo.com]
        S/MIMEは、ユーザ間の認証を行います。従って、各ユーザがS/MIMEのキーを使わなければ意味がない。
        DomainKeysは、サーバ間あるいはドメイン=サーバ間の認証を受け持ちます。例えば、hogehoge@yahoo.comというFrom:を持ったメールが、本当にyahoo.comドメインから送られてきたかどうかを認証することが可能です。このhogehogeが何であろうと(つまり、どのYAHOOユーザであろうと)認証可能です。この認証は、サーバ間で完結するため、YAHOOユーザは自分のキーを持ったり、それを使ったりと言うことを意識する必要はまったくありません。
        シェア
        親コメント
        • 以前 SenderID に関する記事を読んだ時に、SMTP のエンベロープで認証する方法とメッセージヘッダに専用のヘッダを追加して認証する方法とが紹介されていたんですが、サーバ間で完結するならエンベロープでやったほうがユーザから見れば完全に透過的なのでいいんでしょうかね。
          --
          屍体メモ [windy.cx]
          シェア
          親コメント

          • Re:サーバ間で完結するならエンベロープで (スコア:2, 参考になる)

            by Ryo.F (3896) on 2004年11月17日 11時16分 (#653637) 日記
            SenderIDは全然知らないんで外してるかもしれませんが、サーバ間で完結するとは言っても、受信するサーバ(あるいはサイト・ドメイン)によっては、サーバでは認証を行わない、という場合もあるでしょう。その場合は、ユーザ(MUA)で認証する必要があります。メッセージヘッダ形式では、そういった場合を救うことができますね。
            ユーザから完全に透過的なのが利点かどうかも、いまひとつ不明な気がします。
            シェア
            親コメント
          • それだと、From:に嘘が書いてあっても気付かないのでは?

            • Re:サーバ間で完結するならエンベロープで (スコア:1, 参考になる)

              by Anonymous Coward on 2004年11月17日 17時50分 (#653777)
              SenderIDでは、直接、接続してきている相手のIPアドレスをチェックすることになるので、MUAでチェックということは(ほとんどの環境で)基本的にできない。 サーバ間での認証、それも組織の一番外側にあるMTA同士でのチェックが基本。 DomainKeysは、メールの本文とヘッダをもとに電子署名を作成してヘッダに つけてくるので、メールの本文やヘッダにノイズが乗らない限りはMUAでチェックできるが、アンチウィルスサーバやらグループウェアが複雑に入っている現在の メールシステムでは、これもやはり組織の一番外側にあるMTAでのチェックが最も 有効。
              シェア
              親コメント
              • じゃなくて、エンベロープしか見ないのはダメなんじゃないか、と言いたいんだけど。
              • ごめん、コメントつける先まちがえたかも、、 エンベロープしかみないのがSPFで、ヘッダ上の送信者(PRA)をみるのがSenderID(CallerID)。最近では、SenderIDはSPFの”エンベロープしかみない”という部分も取り込んだ。 ”エンベロープしかみない”のはヘッダの詐称であるPhishing対策としてみるなら、”ダメ”かもしれない
      • 自社が主導権を握れなくなるから。
  • >対立構造になることなく
    といったって、MSのライセンスがはっきりしない限り、対立もなにもないと思いますけど。

    電子メールSender IDライセンスのどこが問題なのか [linux.com]

    明らかになったMSの「Sender ID」関連特許 [itmedia.co.jp]
    --
    --

  • 教えて偉い人 (スコア:1)

    by lunatic_sparc (15416) on 2004年11月17日 13時57分 (#653682)
    この手の技術が yahoo.co.jp とか hotmail.com とかのエンベロープFrom とヘッダーFrom があっているようなサービスの MTA に適用できるのはわかるんですが、ISP の MTA のように必ずしもヘッダーFrom が自分のドメインではないことがあるような MTA ではどうなるんでしょうか。

    接続もとの IP があってれば認証しちゃう、ってんだと PC が踏み台になってたりすると意味ないし。

    この辺、ご存じの人解説きぼん。
    • >ISP の MTA のように必ずしもヘッダーFrom が自分のドメインではないことがあるような MTA ではどうなるんでしょうか。

      aaa.jpのDNSに"IN SPF mail.bbb.jp"(←テケトー)って書いてあれば、aaa.jpドメインの人がmail.bbb.jpを使ってもOKなんじゃ?

      >接続もとの IP があってれば認証しちゃう、ってんだと PC が踏み台になってたりすると意味ないし。

      PCはともかくMTAがいるサーバが踏み台になってたら、そりゃダメなんじゃない?
      シェア
      親コメント

    • Re:教えて偉い人 (スコア:1, 興味深い)

      by Anonymous Coward on 2004年11月17日 17時16分 (#653760)
      ISP経由で送るけれど、メールアドレスとしては会社の物を使うとか、そういう状況のことですよね。
      たぶん、会社側でこの手の送信者認証技術を使うようになると、どこかのISPを丸ごとOKにしちゃうというのはあまり意味がないので、会社のメールアドレスを使うのなら会社のMTAを使えということになると思います。
      自分で取ったドメインを自宅サーバからISPのMTAに投げて、という話だとすると、将来的にはそのISPによって発行されたアドレス以外はリレーしてくれなくなるかもしれません。
      シェア
      親コメント

    • Re:教えて偉い人 (スコア:0)

      by Anonymous Coward
      SenderIDだとエンベロープFromかPRA(簡単にいうとヘッダ上の送信者メールアドレス)のドメイン部分に対応するDNSのレコードを引いて、そこから返ってくる(簡単にいうと)サーバのリストに適合する送信元からそのメールが送られくれば認証されたことになる。だから、ホスティングを利用している人(またはSPAMうつ人)が利用するドメインのDNSのTXT(SPF)レコードに全然関係のないIPアドレスを書く事は可能である。が、すくなくともその人(ないしSPAMer)はそのDNSにレコードを設定できる権限をもってなくてはい

  • 結局 (スコア:1)

    by Elbereth (17793) on 2004年11月17日 22時08分 (#653900)
    Yahoo!とHotmailのメールは受信即破棄に設定してあるんで
    電子署名とか割とどうでもよかったりして。
    そういう人多くないですか?

    #と他人に同意を求める振りをして意味のない書き込みを
    #正当化してみるテスト

    • 残念! (スコア:0)

      by Anonymous Coward
      >#と他人に同意を求める振りをして意味のない書き込みを
      >#正当化してみるテスト

      不合格

    • その後 (スコア:0)

      by Anonymous Coward
      gmailアカもらえましたか? なんなら1個あげられますが

      Ypacarai (20383)

  • どっちにしても (スコア:0)

    by Anonymous Coward on 2004年11月17日 9時17分 (#653580)
    フリーで使える実装もしくはプラグイン的なものが出てこないかのほうが重要だと思います。
    現状において、極一部でしか使えないというのではうれしくないからです。

    いずれにしても(検証の方法はあって、実際できるだろうけど)メールの正真性を確認できるツールがないと持ち腐れのままです。

  • libdomainkeysについて (スコア:0)

    by Anonymous Coward on 2004年11月17日 15時57分 (#653726)
    libdomainkeysのdktestを使われた方おられます?
    yahoo.comからのメールを通しても、DK_STAT_BADSIGになるんですが・・・
    # ./dktest -v hogehoge.msg
    yahoo.com
    dktest: DK_STAT_BADSIG: Signature was available but failed to verify against domain specified key
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs