ライブドアがWebメールサービスをGmailに全面的に移行する話題が出たばかりだが、Gmailを含むSaaSを提供するGoogleの担当者のインタビュー記事があった。

Gmailは現在1億アカウント、1日数百万ペースで増加 (@IT)

それによれば、ライブドアの数百万単位のユーザの増加も物の数ではないらしい。やはり国内的にはポータルサイトそのものが、メールの部分だけとはいえ、Googleに依存するようになったこと自体が大きな反響だと言えそうだ。

　またGmailを利用することで、内部のメールを外部に預けてしまうことに対する不安については、「そもそもメールは外に出て行くもの」とし、むしろ独立運用しているメールサイトに比較して、セキュリティや運用面での安全性を強調する。現在１億アカウント、１日数百万単位のアカウント、1000以上のドメインで増え続けているスケーラビリティに絶対的な自信があるようだ。
　昨年秋に日本を含むいくつかの国でGmailが招待制から登録制になってから、現在1億アカウントというのは、やはり大きな数と言うべきだろう。検索部門に続き、Webメール部門でも事実上のトップになっていると言ってよいのだろう。

　ところでメールシステムは、運用面ではウイルス対策よりもスパム対策が大きな問題であり、管理者の負担も大きい。管理者はスパムをただ発信、転送するだけの踏み台サイトに利用されることだけは絶対に避けなければならない。スパムというと一般ユーザにはクライアント側でのスパムフィルタばかりが話題になるが、クライアント側でゴミ箱に選り分けるのは、本当に水際に過ぎないわけで、本来ならばメールサーバー側で受信する際に拒否できればそれに越したことはない。

　ところがスパムメール個々の内容をメールサーバーでは判断できないから、そのまま転送してしまうことになる。それに加えて、そもそもメールのシステムは、受信と送信が対称的ではないというところに、事実上の脆弱性がある。受信にはパスワードが必要だが送信にはパスワードが不要であることである。結局、元来のメールのプロトコルに脆弱性があるということである。
　つまり受信のPOP3ではパスワードが必要だが、送信のSMTPではパスワードが必要がない。ユーザアカウントだけ知られてしまえば、誰でも勝手にスパムをさまざまなところへ送りつけることが可能になってしまう。

　これを改善するために、ユーザがメールを送信するためには先に必ず受信パスワードを入力して受信操作をする必要があるようにした仕掛けが POP3 before SMTP であった。いわば受信パスワードを送信パスワードに転用していることになる。

　しかしそもそも、POP3もパスワードはあるとはいっても暗号化されておらず、それを暗号化したAPOPにも脆弱性があるとのことだ。ちゃんと送信も安全なパスワードをかけたければ、独自にパスワードがかけられるプロトコルに変更しなければならない。それが SMTP AUTH である。当初からPOP before SMTPは、セキュリティ上は過度的な技術と思われていたが、やっと本格的に SMTP AUTH を採用するプロバイダなどが出現してきたというわけだろうか。

DION,メール送信時の「POP before SMTP」を廃止し「SMTP AUTH」に一本化 

　ところが今や、メールシステムとしては遅きに失したといえるかもしれない。Gmailをはじめ、世の中の大勢はすでにSSLを介するWebメールに移行してしまっているからである。ThunderbirdやOutlook Expressをはじめ、メールソフトが SMTP AUTH や POP before SMTP に対応しているかどうかなどは無関係な話になったからである。

　そういう流れからかどうかはわからないが、MozillaプロジェクトがWebに開発を集中させるために、Thunderbirdをスピンアウトさせたい意向であるという。

Mozilla Foundation、Thunderbirdのスピンアウトを検討(INTERNET Watch)

自分もGmailをメインに使うようになってから、Thunderbirdを起動させる必要すらなくなってきたが、この話は、それが世の中一般の傾向となってきたことを示しているのだろうか。