電子メールの認証(POP before SMTP)
電子メールは、もともと、バケツリレー方式で転送してゆく仕組みになっていており、自分が送ったメールは、直接相手に届くのではなく、まずは隣のSMTPサーバへ、そして、その隣のSMTPサーバへと、この動作を繰り返すことで宛先に届ける仕組みを取っていました。
バケツリレーを行うということは、メールの中継を誰にでも許可しておかなければなりません。つまり、電子メールは善意の中継で成り立っており、利用者認証の機構を持っていないということです。
しかし、利用者の増えてくるとこの善意の中継が成り立たなくなってきました。利用者制限がないことを悪用され、SMTPサーバがスパムの中継のために悪用されるケースが増えてきたのです。
利用者認証の機構を持っていないということを悪用されるケースが増えてきたため、メールを受信する時だけなく、送信する時にも、何らかの利用者制限を施す必要に迫られてきました。
メールを受信する場合は、POP3では、利用者名とパスワードによって、利用者の認証を行います。第三者にメールを受信されないように受信に関しては、認証の仕組みが用意されています。
この仕組みをメールの送信する時にも利用するのが、POP before SMTPです。SMTPの利用者認証にPOP(POP3)の認証を利用します。利用者が電子メールをSMTPで送信する前 (before) に、POPによる認証を行うことからこの名称が付けれれています。
この認証を行うことで、正規の利用者からのメール中継だけを受け付けることが可能になります。
POP before SMTPの利点は、POP3の認証を利用していることから、POPが使える端末なら利用者の環境を変更する必要がないということです。また、既存システムをそのまま利用できることから、多くのプロバイダで採用されています。
しかし、利点ばかりではありません。
POP before SMTPでは、認証を行うのは、認証機能を持ったPOPサーバが行います。その際、送信元のIPアドレスが記録し、記録したIPアドレスだけをSMTPサーバで利用させる仕組みを取っています。
勘の鋭い方ならお気づきになると思います。
インターネットの利用において、多くの場合、NATを利用して接続します。NAT環境下では、多くの利用者が、同一のグローバルIPアドレスを共有して、インターネットに接続します。
SMTPは、POPが記録した一覧の中にあるIPアドレスであれば、送信要求を受け付けるので、同一IPアドレスを使用している第三者でもメールの送信要求を許可してしまう可能性があります。あくまで、IPアドレスだけをチェックするため、IPアドレスを偽装されると不正メールの送信を許可してしまう可能性があります。
また、POPの認証では、パスワードは、平分で送信されます。平分で送信されるということは、伝送の途中で盗聴される可能性があります。
このように、POP bofore SMTPは、上で説明したように、まだまだ、不完全な面があります。POP bofore SMTPは、本格的に利用者を認証する目的に設計されたSMTP-AUTHが普及するまでのつなぎの技術だと言えます。
電子メールの認証(APOP before SMTP)
POPの認証では、パスワードは、平分で送信されます。平分で送信されるということは、伝送の途中で盗聴される可能性があります。パスワードを盗聴され、解析された場合、メールサーバはスパムの踏み台にされてしまいます。
そこで、パスワードを暗号化して認証を行うAPOPを採用したAPOP before SMTPという電子メールの認証方法があります。暗号化機能を持ったAPOPを採用することで、安全な認証を行うことができます。
基本的に、POP before SMTP方式と同じ流れになりますが、クライアントのPOP認証に使用されるパスワードは暗号化されています。
APOPの場合でも盗聴されるリスクが残りますが、パスワードは暗号化されているため復号化できなければ、パスワードが漏れることはありません。
しかし、問題点もあります。
多くのユーザが利用しているMicrosoftの「Outlook Express」、「Microsoft Office Outlook」がAPOPに対応していないのです。
APOPに対応する方法もありますが、ローカルマシン上でゲートウェイとなるサーバを立てて、そのサーバ経由する必要があり、初心者にとって敷居が高いものとなっています。