Yahoo は、yahoo.com アドレスに対する電子メールのなりすまし攻撃をブロックするために、より厳格な電子メール検証ポリシーを導入し始めましたが、残念ながら、これによって正当なメーリング リストの通常のワークフローが損なわれてしまいました。
問題は、ヤフーがサードパーティのメールサーバーに宣伝している新しいDMARC(ドメインベースメッセージ認証、レポート、適合)の「拒否」ポリシーにあると、長年のメールインフラコンサルタントで迷惑商業メール対策連合(CAUCE)の代表を務めるジョン・レバイン氏が、インターネット技術タスクフォース(IETF)のメーリングリストに月曜日に送ったメッセージで述べた。
DMARCは、SPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)といったメール検証・認証メカニズムを実装するための技術仕様です。これらの技術は、スパムやフィッシング攻撃で一般的に使用されるメールアドレスのなりすましを防ぐために設計されました。
DMARC の目標は、メール検証のメリットを享受したい大手メール サービス プロバイダーやその他の企業間で、SPF と DKIM の統一された実装を実現することです。
この仕様では、Aligned Identifiers(整合識別子)の概念が導入されており、SPFまたはDKIM検証のドメインは、「送信元」フィールドのメールアドレスのドメインと同一、またはサブドメインであることが求められます。ドメイン所有者は、「p=」と呼ばれるDMARCポリシー設定を使用して、受信メールサーバーにDMARCチェックが失敗した場合の処理を指示できます。この設定には、「none」または「reject」を指定できます。
先週末、ヤフーは「p=reject」を含むDMARCレコードを公開し、基本的にすべての受信メールサーバーに、自社サーバー以外から発信されたyahoo.comアドレスからのメールを拒否するよう指示したとレバイン氏は述べた。
電子メールの専門家によると、これはなりすまし防止の観点からは良いことだが、正当なメーリングリストにとっては問題を引き起こすという。
「メーリングリストは必ず自らのドメイン内の独自のバウンスアドレスを使用するため、SPFは一致しません」とレヴィン氏は述べた。「メーリングリストは通常、件名タグ、本文フッター、添付ファイルの削除など、DKIM署名を破る便利な機能を使ってメッセージを改変します。そのため、IETFのような最も正当なメーリングリストのメールでさえ、ほとんどのメールはDMARCアサーションに不合格になります。これはメーリングリストが何か「間違った」ことをしているからではありません。」
新しいポリシーでは、Yahoo!ユーザーがメーリングリストにメールを送信すると、リストサーバーはそのメッセージをすべての登録者に配信し、ヘッダーを変更してDMARC検証を破ります。Gmail、Hotmail(Outlook.com)、Comcast、Yahoo!自体など、DMARCチェックを実行するサーバーにメールアカウントを持つメーリングリスト登録者は、元のメッセージを拒否し、自動的にDMARCエラーメッセージをメーリングリストに返信します。
例えば、Gmailは次のようなメッセージを返します。「smtp;550 5.7.1 yahoo.comからの認証されていないメールは、ドメインのDMARCポリシーにより受信されません。正当なメールの場合は、yahoo.comドメインの管理者にお問い合わせください。」
そのため、Gmail、Hotmail、その他のDMARC対応プロバイダのユーザーは、Yahooユーザーがメーリングリストに送信したメッセージを受信できないだけでなく、リストがバウンスメッセージで溢れ、自分自身もリストから除外されるリスクがあるとLevine氏は述べた。
電子メールの専門家は、メーリングリスト運営者に対し、yahoo.com ユーザーのリスト投稿権を停止し、別の電子メールプロバイダーのアカウントを使用してリストに再登録するよう求めることを推奨した。
「現在、フィッシングやなりすまし攻撃からユーザーを守るための不正利用防止技術の実験を行っています」とヤフーの担当者はメールで回答した。「この実験の結果、ヤフー以外のサービスプロバイダーをご利用のユーザーの一部に問題が発生する可能性があります。影響を受けるユーザーは、ヘルプページにアクセスして詳細をご確認ください。ご不便をおかけしたことをお詫び申し上げます。」
Yahoo は、新しい DMARC ポリシーがサードパーティの電子メール サービス プロバイダーにどのような影響を与えるかに関する情報を含むヘルプ ページを公開しました。
火曜日にdmarcian.comのツールを用いてYahoo!のDMARCレコードをテストしたところ、yahoo.comドメインでは「p=reject」設定が依然として有効であることが判明しました。一方、gmail.comのポリシーレコードは「p=none」となっており、これは他のメールサーバーに対し、DMARCチェックに失敗したgmail.comアドレスからのメッセージをどのように処理するかを指示しないことを意味します。
カリフォルニア州パロアルトに拠点を置くメールスパム対策コンサルティング会社Word to the Wiseの共同創業者、ローラ・テスマー・アトキンス氏も、月曜日のブログ記事でこの問題を確認し、詳細を説明した。彼女は、Yahoo!が「拒否」ポリシーを宣伝し始めたのは、Yahoo!ユーザーに対する最近の攻撃が原因だと考えている。この攻撃では、攻撃者がyahoo.comのメールアカウントに侵入し、連絡先に不正なメールを送信していた。
「攻撃者は攻撃手法を変更し、Yahooユーザーからのメールを他のサーバー経由で連絡先に送信するようになりました」とアトキンス氏は述べた。「ap=rejectレコードを公開することで、Yahooは他のシステムに対し、Yahooが管理するサーバーを経由しないYahooユーザーからのメールは受信しないよう指示しています。これには攻撃者からのメールだけでなく、別のSMTPサーバーを使用する一般のYahooユーザーからのメール、ESP(メールサービスプロバイダー)経由で送信される一括メール、メーリングリストに送信される個別メールも含まれます。」
DMARC標準の開発と採用を監督する業界団体DMARC.orgは、Yahoo!の件に関するコメント要請にすぐには応じなかった。しかし、同団体のウェブサイトのよくある質問セクションでは、メーリングリストとDMARCの相互運用性に関する問題が認められており、いくつかの推奨事項が示されている。
Yahooからのコメントを追加して4月9日に更新しました。
