バウンシングバック認証とは、一度メールが送られても受け取らず、相手に認証してね、という返事を返して、それで認証されたらホワイトリストに登録されて、メールを受け取れるようになる、というような種類のスパム対策方法のことだ。
IBMの人が提案してるFairUCEもその種のものだ。
最近だと、ネオジャパンがスパム対策SaaSサービス,1通でもブロック漏れあれば返金:ITproというのがあって、そこのフィルタでこれが使われている。
それで、S25R提唱されてる浅見さんが、
S25R雑情報: バウンシングバック認証という無茶なやり方
と、バウンシングバック認証はダメでしょ、ということを書かれている。
自分もバウンシングバック認証は一般には使いづらすぎてダメだと思う。
で、絶対にスパムが漏れない、と言ってるけどこうしたら漏れうるんじゃない?ということを、
S25R雑情報: バウンシングバック認証の破り方
で書かれてて、これを読んで(というかちょうど別件で浅見さんとメールしてて、そこでこの話題をしてて)もっと簡単に抜けてくる場合が有るんじゃないの?と思った。
バウンシングバック認証は、認証取れたらそれをホワイトリストに入れると思う。
もしくは、メールマガジンのように、バウンシングバック認証してくれないであろうメールアドレスについては、自分でホワイトリストに入れる必要があるのではないだろうか。
そうなると、ホワイトリストに入ってるアドレスで送れば抜けちゃうのではないかと思う。
だから、楽天だとかヤフーオークションだとかまぐまぐだとか、よく登録されていそうなサービスのメールアドレスから出したら抜けちゃう場合があるのでは。
ホワイトリストのメールアドレスからでも、SPFでのチェックが通らなかったら落とす、となってたらたぶん通らないだろうけど、こういうメジャーどころって全部SPFついてるのだろうか。
実際に試したわけではないのでわかりませんが、ホワイトリスト入りしてるメールアドレス騙られてもちゃんと防げるのだろうか、という疑問はどこかに説明有るのかな。
(関連)
