電子メールの認証(POPS before SMTPS)
APOP before SMTPでは、認証に使うパスワードを暗号化していましたが、メール本文の暗号化は行われていませんでした。
パスワードが盗聴されSMTPサーバがスパムの踏み台になってしまうというリスクは減りますが、ユーザのメール本文が読み取られてしまうというリスクは依然として残ったままです。
そこで、ユーザとSMTPサーバ間を暗号化する仕組みとして考えられたのが、POPS before SMTPSです。
POPS before SMTPSでは、認証に使うパスワードと本文の暗号化をまとめて行うことで、ユーザとSMTPサーバまでの間を完全に暗号化して安全なメールの送信を実現します。
POPS before SMTPSは、「POP over SSL before SMTP over SSL」の略です。over SSLとある名前の通り、SSLの技術を利用して暗号化を実現しています。
電子メールの認証(SMTP-AUTH)
SMTP-AUTHは、「SMTP Authentication」の略で、POP before SMTPの後に開発された方式で、メール送信時に使用するSMTPにユーザ認証機能を追加したものです。
POP before SMTPでは、SMTPサーバが認証機能を持たないため、代わりにPOPサーバが認証を行いSMTPサーバと連携を取ることで、認証機能を実現していましたが、SMTP-AUTHでは、POPサーバと連携を取る必要がないため、最初にメール受信しなくても送信することができます。
SMTP-AUTHでは、POP認証とSMTP認証でユーザIDとパスワードを別のものを使用することができます。運用管理の負荷がかかりますが、セキュリティを高めることができます。
POP before SMTPでは、IPアドレスをしばらくの間、記憶しておいて、その記憶しておいたIPアドレスからのメールだけを受け入れていました。つまり、記憶しているIPアドレスと同じIPアドレスを使用されると、第三者がSMTPサーバを利用できてしまうという欠点があります。
SMTP-AUTHならば、メール送信の度に認証が行われるので、このような心配もありません。
また、多くのユーザが利用しているMicrosoftの「Outlook Express」、「Windowsメール」「Microsoft Office Outlook」がSMTP-AUTHに対応しています。
電子メールの認証(SMTPS-AUTH)
SMTPS-AUTHは、SMTP-AUTHをSSL暗号化した方式です。ユーザとSMTPサーバ間を暗号化を行います。
暗号化の範囲は、ユーザとSMTPサーバ間だけです。SMTPサーバ間の暗号化はインターネット上の全てのSMTPサーバが暗号化に対応していなければならないためできません。
ユーザ間を安全にメールを送るための仕組みにS/MIMEという電子署名を使った暗号化があります。S/MIMEを利用すれば、盗聴や改ざん、なりすましといった脅威からメールを守ることができます。