| 「業者はあなただけじゃない、商機を逃す」って意見がいいねー でもそれS25Rでもありえるリスクでしょ。 |
そのとおり。素のS25R方式でも、正当なメールを受け損なうことでビジネスチャンスを失うリスクはある。DNSBLでもベイジアンフィルタでも同様である。偽陽性判定からの救済を自動で行わないスパム対策方式すべてにそのリスクがある。
ただ、そのリスクのコントロールのしやすさは異なる。
OptPlusでは、初めてメールを送ってきた人のメールは、送信者がバウンシングバック認証に応じなければ、受信者のメールボックスに入らずにペンディングキューに留め置かれる。つまり、偽陽性と同等の状態になる。そこからの救済は各ユーザーの責任になる。ペンディングキューの内容が時々メールで通知されるので、差出人アドレスとサブジェクトを手がかりに、バウンシングバック未認証の正当なメールを救済する必要がある。
S25R方式では、偽陽性判定された送信元ホストからはリトライアクセスが来る。それを発見してホワイトリストで救済するのはメールシステム管理者の責任である。もし正当なメールだったかもしれないリトライアクセスの救済が間に合わなかったのを発見したら、受信者に知らせて判断を委ねる必要がある。DNSBLでもベイジアンフィルタでも、拒否応答コードを「4xx」(再送要求)にして偽陽性判定からの救済を図っている場合は同様である。
ビジネスチャンスになるかもしれないメールを受信し損なうことは、企業にとって損失になりうる。そこで、「偽陽性判定されたメールが受信者のメールボックスに届かない」ことをリスクととらえて、社を挙げてそのリスクの回避を図ろうとする場合、どんな対策が必要になるか(メールボックスに届いたメールをユーザーが見落とすリスクは、スパム対策のいかんにかかわらずありうるので、ここでは考えない)。OptPlusの場合は、「ペンディングキューを必ず確認せよ」というユーザー教育が必要になる。S25R方式の場合は、ログの監視とホワイトリスト登録、および救済に失敗したと思われるときの受信者への通知を作業手順として定め、メールシステム管理スタッフに守らせる必要がある。
どちらの方がリスクコントロールがしやすいか。OptPlusでは、どんなにユーザー教育を徹底しようとしても、誰か一人でもペンディングキューの確認の作業手順を怠る確率はゼロにはしにくい(腰を落ち着けてメールを読むことができないほど忙しい人のことを考えてみてほしい)。それに対してS25R方式では、作業手順の教育をメールシステム管理スタッフだけに集中できる。少数のスタッフがログの監視とホワイトリスト登録の作業手順を確実に守ることにより、偽陽性判定されたメールが受信者のメールボックスに届かないというリスクを回避できる。もし救済が間に合わなかったとしても、受信者に知らせることにより、受信者から送信者に連絡をとってコミュニケーションをリカバーできる。
リスク回避の対策の対象は、ユーザー一人一人に分散させるより、メールシステム管理スタッフに集中させた方がよい。その意味でも、OptPlusよりもS25R方式の方が安全なのである。
0 件のコメント:
コメントを投稿