槻ノ木隆の「BBっとWORDS」

バックナンバー

■	その116「DLNAの仕組み」 [2007/03/26]
■	その115「ドメインとActive Directory」 [2007/03/19]
■	その114「ワークグループができること」 [2007/03/12]
■	その113「WPSの仕組み」 [2007/03/05]
■	その112「Gopherの生い立ちと現在」 [2007/02/26]
■	その111「Wikiの使われ方」 [2007/02/19]
■	その110「文字コードとは」 [2007/02/05]
■	その109「IISの生い立ち」 [2007/01/29]
■	その108「NASの登場と一般への普及」 [2007/01/22]
■	その107「HomePNAのいろいろ」 [2007/01/15]
■	その106「Ogg Vorbisの成り立ち」 [2006/12/25]
■	その105「MIDIの原理とSMFの構造」 [2006/12/18]
■	その104「AIFFの構造」 [2006/12/11]
■	その103「WAVの構造と現状」 [2006/12/04]
■	その102「WMAの歴史」 [2006/11/27]
■	その101「AACの特徴」 [2006/11/20]
■	その100「MP3/MPEG Audioの仕組み」 [2006/11/13]
■	その99「HSDPAの仕組み」 [2006/11/06]
■	その98「H.264・MPEG-4 AVCの特徴」 [2006/10/30]
■	その97「IEEE 802.16e（モバイルWiMAX）の特徴」 [2006/10/23]
■	その96「TIFFの特徴」 [2006/10/16]
■	その95「PNGの現状と今後」 [2006/10/02]
■	その94「GIFの構造」 [2006/09/25]
■	その93「10GBASEの種類（2）」 [2006/09/11]
■	その92「10GBASEの種類」 [2006/09/04]
■	その91「GbEのいろいろ」 [2006/08/28]
■	その90「JPEGの特徴」 [2006/08/21]
■	その89「DivXの広がり」 [2006/08/07]
■	その88「MPEGの仕組み」 [2006/07/31]
■	その87「WMVのこれまで」 [2006/07/24]
■	その86「AVIの生い立ちとそのコーデック」 [2006/07/10]
■	その85「QuickTimeの変遷」 [2006/07/03]
■	その84「Realのこれまでと今後」 [2006/06/26]
■	その83「ShareとWinny」 [2006/06/19]
■	その82「DOCSISの仕組み」 [2006/06/12]
■	その81「SQLインジェクションの流れ」 [2006/06/05]
■	その80「RSSの動作」 [2006/05/29]
■	その79「Skypeの仕組み」 [2006/05/22]
■	その78「BitTorrentの特徴と今後」 [2006/05/15]
■	その77「Winnyの仕組みと現状」 [2006/05/08]
■	その76「WinMXの特徴」 [2006/04/24]
■	その75「Gnutellaの歴史と構造」 [2006/04/17]
■	その74「Napsterの歴史」 [2006/04/10]
■	その73「P2Pのいろいろ」 [2006/04/03]
■	その72「IEEE 802.11nの動向」 [2006/03/27]
■	その71「ActiveX Scriptingの動作」 [2006/03/20]
■	その70「Ajaxの仕組み」 [2006/03/13]
■	その69「DHTMLの動作」 [2006/03/06]
■	その68「Scriptの定義」 [2006/02/27]
■	その67「JavaScriptの仕組み」 [2006/02/20]
■	その66「Javaの動作」 [2006/02/13]
■	その65「RFCのプロセス」 [2006/02/06]
■	その64「ActiveX DocumentとActiveX Controlの違いと共通点」 [2006/01/30]
■	その63「ActiveX Controlの機能」 [2006/01/23]
■	その62「ActiveXを構成するもの」 [2006/01/16]
■	その61「Cookieの仕組みと用途」 [2005/12/26]
■	その60「malwareとその分類」 [2005/12/19]
■	その59「rootkitの動作」 [2005/12/12]
■	その58「CSSの役割」 [2005/12/05]
■	その57「HTMLの変遷」 [2005/11/28]
■	その56「PONとその種類」 [2005/11/21]
■	その55「FWAの仕組み」 [2005/11/14]
■	その54「DoSとDDoS」 [2005/11/07]
■	その53「SNMPとMIBの動作」 [2005/10/03]
■	その52「Jumbo Frameとフレームサイズ」 [2005/09/12]
■	その51「WPA2の仕組み」 [2005/09/05]
■	その50「WPAとWPA-PSKの違い」 [2005/08/29]
■	その49「WPAの仕組み」 [2005/08/22]
■	その48「WebDAVの動作」 [2005/08/08]
■	その47「OFDMAの仕組みとOFDMとの違い」 [2005/08/01]
■	その46「OFDMの仕組み」 [2005/07/25]
■	その45「WiMAXの特徴」 [2005/07/11]
■	その44「Wi-Fiの役割」 [2005/07/04]
■	その43「FTPの目的と動作」 [2005/06/27]
■	その42「UPnPの動作」 [2005/06/20]
■	その41「ネットマスクの仕組み」 [2005/06/13]
■	その40「ARPの機能」 [2005/06/06]
■	その39「DNSの原理」 [2005/05/30]
■	その38「デフォルトゲートウェイの役割」 [2005/05/23]
■	その37「MACアドレスの仕組み」 [2005/05/16]
■	その36「スイッチとその進化」 [2005/05/09]
■	その35「ルータによるメリット」 [2005/04/25]
■	その34「ブリッジの原理」 [2005/04/18]
■	その33「リピータの機能」 [2005/04/11]
■	その32「IPアドレスのクラス」 [2005/04/04]
■	その31「ブロードキャスト/マルチキャスト/ユニキャスト」 [2005/03/28]
■	その30「SMTP AUTHと認証の種類」 [2005/03/14]
■	その29「Submissionポートとスパムメール対策」 [2005/03/07]
■	その28「Outbound Port25 Blockingとは」 [2005/02/28]
■	その27「PGPの仕組み」 [2005/02/21]
■	その26「PKIと認証局」 [2005/02/14]
■	その25「公開鍵暗号方式とは」 [2005/02/07]
■	その24「共通鍵暗号とは」 [2005/01/31]
■	その23「SSHの仕組みと応用」 [2005/01/24]
■	その22「SSLの役割」 [2005/01/17]
■	その21「POP3とIMAP4の違い」 [2004/12/27]
■	その20「POP3の役割と機能」 [2004/12/20]
■	その19「SMTPの機能と問題点」 [2004/12/13]
■	その18「SPIとパケットフィルタリング」 [2004/12/06]
■	その17「LANの概念とその広がり」 [2004/11/29]
■	その16「SIPの役割」 [2004/11/15]
■	その15「プロキシの利用」 [2004/11/08]
■	その14「VoIPの仕組み」 [2004/11/01]
■	その13「イーサネットとは」 [2004/10/25]
■	その12「IP/TCP/UDP/ICMPとは」 [2004/10/18]
■	その11「DHCPの役割」 [2004/10/04]
■	その10「MIMOとは」 [2004/09/27]
■	その9「DMZとその効果」 [2004/09/13]
■	その8「ファイアウォールとは」 [2004/09/06]
■	その7「NATとNAPTの違いとIPマスカレード」 [2004/08/30]
■	その6「VPNとVPNパススルーの仕組み」 [2004/08/23]
■	その5「無線LANの問題とWEP」 [2004/08/09]
■	その4「IEEE 802.11a/b/gって何を意味しているの？」 [2004/08/02]
■	その3「ダイナミックDNSって？」 [2004/07/26]
■	その2「グローバルIPアドレスとプライベートIPアドレス」 [2004/07/12]
■	その1「PPPoEって何だろう？」 [2004/07/05]

その19「SMTPの機能と問題点」

　SMTPとは「Simple Mail Transfer Protocol」の略で、電子メールを転送するためのプロトコルです。日本語訳すれば「簡単なメール転送プロトコル」という意味になるわけですが、それでは「簡単でないメール転送プロトコルがあるのか？（強いて言えば“CMTP:Complex Mail Transfer Protocol”でしょうか）」と言えば、直接これに該当するものがあるわけではありません。

　ただ歴史的に言えば、インターネットが普及するようになる前から電子メールという概念は存在し、実際に標準化されたものもあります。ITU-Tで標準化されたX.400などは、CMTPの代表例かもしれません。X.400についてよく知りたいという場合、こちらのリンク）をたどるのが良いかもしれませんが、本稿ではこれ以上深入りしないことにします。

　さて、そのSMTPの説明である「メールの転送」とは、メールサーバー間でのメールの受け渡し以外にも、メールの発信そのものも指します。つまり、SMTPは電子メールを発信する場合、必ずお世話になるプロトコルです。また、このSMTPにもとづいてメールを転送・配信するソフトウェアをSMTPサーバーと言います。

■ SMTPが使われる場所

図1：メールの転送と配信

　それでは、もう少し具体的に見ていきましょう。例えば、図1のように、ドメインA（A.com）、ドメインB（B.com）、ドメインC（C.com）といった3つのドメインがあるとします。ここで、a@A.comから、c@C.comにメールを発信する場合を考えましょう。

　この場合、まずクライアントAの上で動くメールソフトでメールを作成してから、自分の所属しているドメインのメールサーバーAにメールを投げます。ここでクライアントAとメールサーバーAの間で使われるのが、SMTPプロトコルです。

　さて、送ったメールはいったんメールサーバーAのメールキューという一時保存エリアに格納され、ここから目的地まで転送されます。この場合、メールサーバーAからメールサーバーCに直接転送できる場合もあれば、1度別のメールサーバー（この場合なら、メールサーバーB）を介して転送される場合もあります。

　ここ数年は、ほとんどのプロバイダーやドメインが直接IX（Internet eXchange）に繋がっており、AからCへの直接転送が当たり前なのですが、以前は間接的に接続されていることが珍しくありませんでした。この場合は、A→B→Cといった具合に、複数のメールサーバーを間に介してバケツリレー式にメールが転送されていったわけです。

　さて、無事にメールがメールサーバーCに到着すると、メールサーバーCはこれをcさん（c@C.com）用のユーザーメールボックスに格納します。SMTPが介在するのはここまで、つまり届いたメールがユーザーメールボックスに格納されるまでで、届いたメールをクライアントCで読み出す際にはSMTPは使われません。

　ちなみにSMTPの2大機能は、転送（Transfer）と配信（Delivery）です。このうち配信というのは、メールサーバーCに届いたメールをユーザーメールボックスに配ってまわる作業で、それ以外はすべて転送としてとらえられます。

　転送と配信という機能は、郵便に近いものがあります。クライアントA→メールサーバーAの転送は、言ってみればポストに郵便を投げ込むのと、これが定期的に郵便局によって回収される作業。そして、A→CもしくはA→B→Cという転送は、投函された最寄りの郵便局から、目的地に1番近い郵便局まで配信する作業、そして最後の配信というのは最寄りの郵便局から個別のポストに分配して配達する作業になるわけです。

■ SMTPの問題点とさまざまな対策

　実のところ、当初利用されたSMTPは非常に単純かつ、性善説に基づいたプロトコルでした。先の郵便の例に戻りますが、要するに宛て名が書いてあって、かつ郵便物の大きさに見合った切手が貼ってあれば、その中身がどうかということは通常問われません。

　それがダイレクトメールか、家族からの便りなのか、ラブレターなのか、はたまた実は脅迫状なのか、という話は郵便局では原則として問いません。これと同じように、SMTPも差出人が誰かは一切問いませんし、プロトコルさえ準拠すれば、差出人がどこのドメインに所属しているかすら問わないというものでした。

　性善説で運営が可能だった初期の段階ならば、これでもさして問題はなかったのでしょうが、インターネットが商用で広く利用されるようになって出てきた問題がスパムメール（迷惑メール）です。要するに、不特定多数に対して無節操にメールを送りつけるスパムメールに対し、最初はスパムメールを送り出すサイトを登録して、そこからのメールを受信しないという対策が取られるようになりました。

　図2で言えば、スパムメールを送り出すドメインからのメールは、ドメインCで転送を拒否するというやり方です。このままだとドメインCから見れば「スパムが送られてこない」ので幸せなのですが、逆にスパムを送り出す側からすれば、ドメインCにメールが送れないのは困るわけです。

　そこで考えられたのが、メールサーバーBを経由するというやりかたです。要するにSMTPの転送を使って、スパムメールをCに送りつけるわけです。こうなると、ドメインCから見る限り、それがスパムメールなのかドメインBからの正規のメールか判断つかないので、スパムメールを受け入れざるを得なくなってしまいます。

　もちろん、内容を見ればスパムメールであることは明白なのですが、先の郵便での例えでも述べた通り、SMTPではメールの中身のチェックは一切行ないません。あくまでも宛先のアドレスが正しいかどうか、が判断基準なわけです。

　ですから、そもそも中身をチェックする機構を持っていない（*1）わけで、SMTPの側でこれに対処するのは難しいのです。最終的に、これに対しては「勝手にメールリレーを行なわない」という対策をSMTPサーバー側で施す形で対策が施されているのが実情です。

*1：最近はウィルスチェックなどにも絡んで、転送や配信を行なう前に中身をチェックするSMTPソフトも増えてきましたが、この方式が標準化されているというわけではありません。

図2：スパムメールの送られ方その1

　さて、こうして転送を使ったスパムメール配信ができなくなったので、次なるアイディアとして登場したのが、他のSMTPサーバーを勝手に使うという方式です。要するに自ドメインのメールサーバーからの転送が引っかかるわけですから、はじめから他のメールサーバーを使ってメールを送れば、転送禁止に引っかかることなくスパムを配信できるというわけです。

　図3はこれを示したもので、スパム生成クライアントはインターネット経由で他のSMTPサーバーに接続し、ここからメールを発信する形を取るわけです。最初に書いた通り、最初のSMTPではユーザー認証も何もなく、誰でも手軽に発信できる仕組みになっていましたので、これは非常に簡単にできてしまいます。結局、短期的な対策としてSMTPサーバーは自ドメインからの発信（図3の例で言えば、ドメインBのSMTPサーバーは、ドメインB内部のクライアントからの発信）のみを受け付け、そのほかのドメインからは一切発信できない様な制限を付けているのが一般的です。

　ただ、このアプローチでは問題も残ります。例えば、普段Bドメインに所属しているクライアントがあるとしましょう。このクライアントがノートPCで、時々は持ち歩くこともあったりして、例えば自宅や出先のホットスポット、あるいはPHSなどでインターネットと接続するなんてことは十分にありえます。こうした外部に出ているとき、「自ドメインのみ発信許可」という方法では、メールが発信できなくなってしまいます。

図3：スパムメールの送られた方その2

　そこで、SMTPにユーザー認証を付け加えるという形で、正規ユーザーはどんなドメインからアクセスしてきても、メールを発信できるような仕組みが一般的になりつつあります。最も代表的なのはPOP before SMTPと呼ばれる方式で、SMTPを使って送信する前にPOP3を使って（POP3については次回お話します）、いったんユーザー認証を行ない、それからSMTPを使って発信を行なうという方式です。

　この方式だと、既存のSMTPの変更なしで実施できるという点で便利なのですが、いかにも取って付けた感は否めませんし、潜在的にはいくつか問題があります（POP3による認証とSMTPによる送信の間を狙われると無力になってしまうなど……）。

　こうしたことに対する根本的な解決案として次第に普及しつつあるのが、ESMTP（Extended SMTP：拡張SMTP）に含まれるSMTP-AUTHという仕組みです。ESMTP自体はSMTPをさまざまな面で拡張する仕様で、SMTP-AUTHだけが新機能というわけではありませんが、本稿では割愛します。

　SMTP-AUTHですが、要するにメールを送信する前に、それが登録された正規ユーザーかどうかをSMTP自体で認証しようというものです。この認証方式には、ユーザー名/パスワードを平文で送りつけるPLAINとか、これを少し拡張したLOGIN、ユーザー名/パスワードを暗号化したCRAM-MD5とかDIGEST-MD5など、いくつかの種類が存在しています。一番安全と考えられているのはDIGEST-MD5ですが、SMTPサーバーとクライアント側のメーラーの両方で対応する必要があるため、現時点でもそれほど広く普及しているわけではありません。

　ただ、こうした方式を持ってしても、SMTPの持ついくつかの欠点は相変わらず残されています。その最たるものが、「発信者を詐称できる」というもので、スパムメールやウイルス、最近だとフィッシング詐欺にはなくてはならない重要なファクターにまでなってしまいました。根本的な解決案としてはSMTPを捨てるしかないわけで、これに絡んでMicrosoftが提唱したSender-IDは、確かに発信者詐称に対する根本的な解決案であることは事実ですが、現時点では有力な代替プロトコルは決まっていないのが実情です。

びび（右）：
ブロードバンド用語を習得すべく、日々学習中の小学生。何とか自力で学ぼうとはしているが、結局はワーズに助け船をだしてもらっている。

ワーズ（左）：
言葉がキツくなるときもあるが、基本的には面倒見の良いお姉さんタイプ。びびとは家も近いこともあり、昔から何かと世話を焼いている。びびからは「ワーズさん」と呼ばれ、慕われている。

2004/12/13 11:05

槻ノ木隆
　国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ２年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。（イラスト：Mikebow）

Broadband Watch ホームページ