前回「認証できないsmtpでメールを安全に送るには」は、同じ「安全」がキーワードであっても、メールの「読み出し」を安全にするpop3sとは少しポイントが違うsmtpのメール送信の暗号化について解説しました。今回は、サーバとクライアントでのsmtpsに沿ったメールの認証のやりとりを分かりやすく解説します。
1 smtpでも認証が必要と聞いたのですが
2 必ず認証するのでしょうか?
3 pop3の認証と同じ意味ですか?
4 pop before smtpって何ですか
5 smtp authって何ですか
6 認証はいつ行うのですか?
7 smtpsと認証の組み合わせを知りたいのですが
8 smtpsと認証の関係をもっと説明してください
9 smtpsと認証の組み合わせでパーフェクトですね
10 トータルで安全にやりとりする方法はありませんか?
11 S/MIMEやpgpを使うには
前にも触れましたが、もともとsmtpに認証の仕組みは用意されていません。しかし、現在はsmtpサーバを使ってメールを送信するときに、先にユーザー名とパスワードを送信して、利用者の認証をすることがあります。こうすることで、そのsmtpサーバが迷惑メールの送信に勝手に利用されるのを防ぎます。
例えば、プロバイダAの接続サービスを利用し、同じプロバイダAのメールサーバを使ってメール送信する場合のように、一定の条件を満たした利用については、認証を必要としないことが多いようです。
逆に、プロバイダAの接続サービスを利用し、プロバイダBのメールサーバを使ってメール送信する場合のように、他社のネットワークからメール送信するときには、送信者の認証をするのが一般的です。
どちらも同じ「認証」ですが、その意味には少し違いがいあります。
pop3での認証は、メールボックスのメールを自分だけが読み、他人には読ませないようにするために行います。これは利用者にとって大きな意味があります。一方のsmtpの認証は、迷惑メール送信者などに勝手にメールサーバを使わせないために行います。これはメールサーバ運営者にとって大きな意味があります。
smtpでメールを送信する前に送信者を確認する方法の1つです。
メール送信前に、まず一度pop3を使ってメールを受信します。このときpop3の認証がうまくいったら、そのコンピュータのIPアドレスを一定の時間「認証済みPCリスト」に載せます。
次にメールを送信するわけですが、そのとき「認証済みPCリスト」に載っているかどうかを調べます。もしリストに載っているPCだったら、それは先にpop3の認証がうまくいったものなので、正当なPCだと考えてメールの送信を許可します(図3)。反対にリストに載っていないPCからのメールの送信は許可しません。
「smtp送信の前にpopでメールの読み出しをする」ことから、このような名前が付いています。
こちらもsmtpでメールを送信する前に送信者を確認する方法の1つです。
smtp authでは、smtpでのメール送信手順の中に、ユーザー名とパスワードをやりとりする手順を付け加えて、一連のメール送信手順の1つとして送信者の確認を行います。
ユーザー名とパスワードのやりとりの方法には何種類か取り決めがあります。そのうちの1つ「CRAM-MD5」では、apopと同じようにチャレンジ文字列にパスワードをつないだものをMD5という一方向ハッシュ関数で変換して送ります。パスワードを直接やりとりしないため、安全に認証をすることができます。
なおapopについては、「TCP/IPアレルギー撲滅ドリル【番外編】 第3回」の>「apopのどこに一方向ハッシュ関数?」の説明を参考にしてください。
Copyright © ITmedia, Inc. All Rights Reserved.