IPv6メール

IPv6

この記事は Where is IPv6 in Email? の抄訳です。

終末がやってくる

「IPv4アドレスは尽きかけています。あと数年で完全に枯渇します。インターネットを存続させるためにはIPv6に移行するしかありません。」

この一節は、私が受講した大学のネットワークの講義で、IPv6について最初に出てきたフレーズです。20年近く前のことです。その後、NAT等の技術のおかげでグローバルIPアドレスの消費速度は非常にゆるやかになったものの、とうとうIPアドレスが不足する暗黒の時代がすぐそこまでやってきてしまいました。

最近、レピュテーションや固有IPアドレスについて多くの質問が寄せられています。IPv4アドレスの枯渇を危惧する方々にとって「IPv6の場合はどうなるの?」というご質問はごもっともかと思います。これについてはSendGrid社内でも重要な課題として議論を重ねてきました。そこで今回は、この問題に関する私の経験や考えを、読者のみなさんにも知っていただこうと思います。

IPアドレスが大切な理由

まず初めに送信元IPアドレスがどうして大切なのかをおさらいしましょう。インボックスプロバイダが「望まれるメール」や「迷惑メール」とは何なのかを理解しようと努めていた昔、便宜上の理由で小さなIPv4アドレス空間を利用することが決まりました。IPv4アドレス空間は比較的狭く、とても安定していたため、通信する相手を特定するには良い手段でした。

送信元IPアドレスは、レピュテーションを紐付けたり、受信制限を行うために利用されるようになり、複数のインボックスプロバイダで悪質な送信者の情報を共有するためにブラックリスト業者にも使われるようになりました。IPアドレスはそもそも偽ることが極めて難しいもので、とりわけ現代社会においては取得したり改変したりするのが困難です。

IPv6へ簡単に移行できない理由

メールに関してIPv6が直面している最大の問題は、上述の悪質な送信者への対策はすべてIPv4アドレスに依存しており、IPv6アドレスでは全く機能しないことです。IPv6アドレス空間はあまりに広すぎて、追跡したりきめ細やかな対策を打てないのです。例えば、SendGridには10の24乗個のIPv6アドレスが割り当てられています。もし、無謀にもIPv4の場合と同様の手法を試したとすると、SendGridに割り当てられた全IPアドレスのような巨大なアドレス空間を、一つのカテゴリにまとめるのが関の山です。これは現行方式で255個のIPv4アドレス全範囲をブロックするのと同等ですが、対策としては以前よりも粗いものになります(255と1×10^24とでは随分違いますね)。

このような事情により、IPv6をサポートしているインボックスプロバイダはごくわずかなのです。主要な宛先10ドメインについて簡易チェックを行ったところ、IPv6のメールに関するDNSレコードを公開しているのはたった2ドメインのみでした。世の中にIPv6のみをサポートしているプロバイダはまずないでしょう。さらに悪い事に、IPv4からIPv6へ移行する際の通常の方法では、ゲートウェイを中継サーバとしてIPv4のみをサポートするサーバにIPv6のリクエストを転送するのですが、そのような中継サーバのアドレスは、たとえSMTPリクエストを受け付けたとしてもほぼ間違いなくレピュテーションが低いのです。これは、にわとりと卵の問題です。そして、どちらを先に食べるかなんて気にしない大型犬が近くで待ち伏せしているのです。

移行シナリオ

IPv6へ移行する上で重要になる次の一歩は、レピュテーションをIPアドレスから切り離すことです。昨今電子署名が普及し始めたことを考えると、レピュテーションをドメインに紐付けるのが理にかなっています。Gmailはさらにこの方針を推し進めており(また、送信者の設定に注目する方向に動いており)、かつてESP(メール配信事業者)業界でTLSメールの送信を促進したように、電子署名をつけてメール送信する人を優遇するでしょう。

次は、その他すべての主要インボックスプロバイダが、ドメインレピュテーションを考慮に入れたレピュテーションシステムに移行することです。世の中の百万社以上のインボックスプロバイダがこの変更を行うのは容易なことではありません。しかし、少なくとも主要プロバイダが実施すれば、その他のプロバイダに波及するのに十分な勢いを生むでしょう。ただ、レピュテーションシステムにこの種の変更を加えるだけでなく、苦情のフィードバックループもドメインベースに切り換えなければなりません。目下、Yahoo! とGmailだけがこれを実施しています。

その他に必要なこととして、数多くのインボックスプロバイダがレピュテーション算出で頼りにしているブラックリスト業者が、送信者ドメインを元にしたブラックリストの公開を始めることが挙げられます。これはインテグレータにとっては少々乱暴な仕様変更です。なぜなら、IPを元にしたブロックであれば接続時に処理できますが、ドメインベースの拒否をするにはメッセージ全体が届くのを待たなければならないからです。もちろんこれは、ドメイン認証用のコマンドをSMTPプロトコルに追加していない前提での話です。この追加作業はいずれやらなければならないものです。

多くのインボックスプロバイダがドメインによる認証を利用するようになれば、次のステップは、IPアドレスに基づいたブラックリストを公開している人々が公開停止日を決めることです。IPアドレスに基づいた識別方法が無くなれば、少なくともIPv6への移行期間中にIPv6からIPv4へのゲートウェイが利用可能になります。変化に伴う労力が割に合わないと感じる人はいつでも出てきますが、そういった人を動かすには、結局のところトップダウンでやるしかないのです。

理想と現実の狭間

ドメインに基づく認証だけを見ても、確かに多くの難題を含んでいます。悪質な送信者にとっては、多くのIPアドレスを取得するよりも、無数の偽ドメインを登録する方がよほど簡単です。私の経験では、こういった送信者は、あらかじめ偽のメールマーケティングキャンペーンを実施して盗んでおいたクレジットカードを使うので、びた一文支払いません。個人的に、数ヶ月休止状態にあったアカウントから送信されたフィッシングメールを目にしたことがありますから、ドメインの利用年数は良い指標になり得ません。

特定のレジストラのレピュテーションが重要になってくる時代がやってくるかもしれませんが、これがどれだけ現実的な話なのかは分かりません。どのようなルールであれ、メールのコミュニティがSendGridのお客様を判定するルールに従い、我々はサービスを運営していかなければなりませんし、レジストラにおいても同様のことが言えるでしょう。

インボックスプロバイダはまた、ESPからの署名も考慮に入れ、精査するようになるでしょう。SendGridは、苦情を収集する目的で、すでに全てのGmailおよびYahoo!メールに自署名を入れているため、プロバイダがSendGridの総レピュテーションを考慮したとしても、大して影響はないでしょう。SendGridではお客様を守るために個々のIPレピュテーションを頼りにしていますが、これは同時に、インボックスプロバイダによるSendGridへの評価(レピュテーション)でもあるのです。低いレピュテーションのESPは、現環境下で多くの困難に直面しているでしょう。高いレピュテーションのESPとして、私は現状を維持していきたいと思います。

また、先ほど述べましたように、ドメインレピュテーションを使うと、受信側は判定を下す前にメッセージ全体を処理しなければなりません。これにより、システムには相当量の負荷がかかります。簡単な道、正しい道、そして困難な道が与えられたら、人は簡単な道を選びがちです。百万ものインボックスプロバイダから同意を取り付け正しい道を進むのは、並大抵のことではありません。

今なすべきこと

さしあたって我々が取り得る最善の策は、現行のルールに則って運用しつつIPv6への移行を促進することです。IPv4の空きが本当に枯渇しそうになれば、人々はこの問題が重要だと考え始めるでしょう。

興味深い副作用は、ESPの規模が重要になってくることです。IPv4アドレスを購入できるマーケットプレースはありますが、IPアドレスの割当を統括するARIN(American Registry for Internet Numbers: 日本では総務省が担う)のルールでは、ESPは所有するIPアドレスの80%を使用していることを示す必要があり、合理的な期間内で残りの20%を利用することができます。その後、直接ARINから割り当てられるか、自分で購入するかして、新しいIPアドレスを取得できるのです。

ですから企業は、将来の利用を見越してIPv4アドレスを貯めこんでおくことができません。SendGridでは2009年から固有IPアドレスを扱っており、ARINの規約を守って利用可能な5万アドレスのうち約4万アドレスを利用してきました。そして、SendGridが成長するために必要なIPアドレス群の取得に取り組んでいます。この市場に参入したての会社にとって、この規制は非常に大きな壁であり、IPアドレスを更に取得するためには利用IPアドレスの伸びを定量的に示すしかありません。

みなさんの言いたいことも分かります。「どうせSendGridも、IPv6経由のメールを受け取れないんでしょ」と。個人的にはIPv6メールのファンなのですが、例えば、クライアント側のインボックスプロバイダはIPv6のヘッダを解析する必要があるので単にDNSレコードを公開するよりも骨が折れる、といったリスクもあります。いずれにしても、SendGridはお客様のために最善を尽くしますし、お客様がIPv6を必要とされる時になれば、そのように対応します。

IPv6メールが来るのはいつ?

「IPv4がなくなる頃には、おれ多分死んでるしw」というのは私の秘密のジョークです。私のジョークはほとんどでたらめなのですけど、メールに関して言えばそう間違っていないと思います。IPv6の仕様が策定されてから今日の状況に辿り着くまで20年近く掛かりました。IPv6メールが来るのは、まだまだ先のことになりそうです。