メール送受信用のPOP3/IMAP4/SMTPプロトコルでは、メール本文や認証用パスワードが暗号化されないため、盗聴によって悪用される恐れがある。この欠点をSSLで解消したプロトコル「POP3s/IMAP4s/SMTPs」が、次第にISPなどのメール・サービスに導入されている。メール・サーバおよびメーラがPOP3s/IMAP4s/SMTPsに対応していれば、メーラの設定を変更すると、これらのプロトコルを利用できるようになる。
メールの内容や認証用パスワードが盗聴されたり、漏えいしたりするのを防ぐため、ISPやメール・ボックス提供サービス(メール・サービス)でPOP over SSL(POP3 over SSL、以下OP3s)やIMAP over SSL(IMAP4 over SSL、以下IMAP4s)、SMTP over SSL(以下SMTPs)という技術の導入が進んでいる。本稿では、このPOP3s/IMAP4s/SMTPsのしくみや利用するための条件、注意点などを解説する。
インターネットでメールを受信する場合、一般的にはPOP3あるいはIMAP4というプロトコルを利用してメール・サーバに接続し、ユーザーIDとパスワードによる認証を経て、メール本文を受信する。メールを送信する場合は、SMTPというプロトコルでメール・サーバに接続し、メール本文を送信する(最近ではSMTPでも認証が必要な場合が多い。詳細は右上の関連記事を参照)。
こうしたメール・クライアント・ソフトウェア(メーラ)とメール・サーバとの間の通信プロトコルは、パスワードやメールなどの送受信データをまったく暗号化しない、という欠点がある。これは現在のようにインターネット上での不正行為が問題となる前に、これらのプロトコルがデファクト・スタンダードになったためだろう。なお、POPにはパスワードを平文で送出しないAPOP認証というオプションがあるものの、あまり普及していないのが現状だ。
そのため、パケット・モニタリング・ツールなどでメール・サーバとの通信中のデータを傍聴すると、パスワードやメール本文などが簡単に解読できてしまう。結果として、悪意のある第三者にパスワードを盗まれてメール・ボックスを不正利用されたり、メールの内容が漏えいしたりする、といった危険性がある。特に、接続元のISPのローカルなネットワークを超えてインターネット上にあるメール・サーバと接続する場合、通信が傍聴できる可能性が高まる分、危険性も高くなってしまう。
こうした危険性を解消するために導入が進んでいるのが、POP3s/IMAP4s/SMTPsという技術である。
POP3s/IMAP4s/SMTPsを簡単に説明すると、SSL*1を通してPOP3/IMAP4/SMTPによる通信を行うことで、盗聴やなりすまし、改ざんを防ぐ技術である。SSLといえば、例えばショッピング・サイトの注文ページなどを安全に利用する技術として目にする機会が多い。しかしSSL自体はWeb専用の技術ではなく、TCP/IPを利用するアプリケーション全般で利用可能だ。つまり、メール用プロトコルにおけるSSLの実装例がPOP3s/IMAP4s/SMTPsといえる。
*1 厳密にはSSLではなくTLS(Transport Layer Security)が用いられる場合もある。TLSは現在主流のSSL 3.0を若干改良したもので、大きく異なるものではない。本稿では、説明を簡略化するため、特記しない限りSSLとTLSを同じものとして扱っている。
POP3s/IMAP4s/SMTPsでは、メーラとメール・サーバの間を行き交うデータがSSLによって暗号化される。メール本文などのデータはもちろん認証用のパスワードも暗号化の対象となる。もし第三者がPOP3s/IMAP4s/SMTPsの通信を傍聴しても、暗号が破られない限り、通信パケットからメール本文やパスワードを読み取ることはできない。
またPOP3s/IMAP4s/SMTPsには、偽のメール・サーバへ接続する、いわゆる「なりすまし」を防ぐ効果もある。POP3s/IMAP4s/SMTPsに対応したメール・サーバには、そのFQDNを証明するデジタル証明書が備わっている。もしウイルスやファーミングなどによってメーラにおけるメール・サーバのFQDNの名前解決が偽装され、不正なメール・サーバに振り向けられた場合でも、POP3s/IMAP4s/SMTPsではSSLによって接続時にサーバ側のデジタル証明書が確認されるため、偽のメール・サーバとの接続確立を防ぐことが可能だ。同様に、メール・サーバとの送受信内容の改ざんを防ぐ効果もある。
POP3s/IMAP4s/SMTPsの実装方式には大別して2種類ある。1つは最初からSSLによってPOP3/IMAP4/SMTPを「くるんだ」状態で通信を始める方式で、もう1つは最初にPOP3/IMAP4/SMTPで通信を始めて途中でSSL(TLS)に切り替えるという方式だ。狭義では、前者の方式が真の「over SSL」であり、後者の方式は切換に使うコマンド名から「STLS/STARTTLS」と呼ばれて区別されている。
これらの方式の違いでエンド・ユーザーに影響があるのは、通信時のTCPポート番号の違いだ。前者の場合はメーラにてポート番号をPOP3s/IMAP4s/SMTPsに割り当てられたもの(下表)に変更しなければならない。一方、後者の場合は「原則として」POP3/IMAP4/SMTPと同じポート番号のままで済む、とされる。
暗号化なし | 暗号化あり | |||
プロトコル名 | ポート番号 | プロトコル名 | ポート番号 | |
POP3 | 110 | POP3s | 995 | |
IMAP4 | 143 | IMAP4s | 993 | |
SMTP | 25/587 | SMTPs | 465 | |
メール送受信用プロトコルで使用されるデフォルトのTCPポート番号 STLS/STARTTLS対応の場合は、原則としてPOP3/IMAP4/SMTPと同じポート番号が利用できる。ただし実際にはPOP3s/IMAP4s/SMTPsのポート番号に変更しなければならない場合もある。またポート587でもSMTPsが利用できるメール・サーバも多い。 |
しかし実際にはSTLS/STARTTLS対応をうたうメール・サーバでも、POP3s/IMAP4s/SMTPsのポート番号に変更しなければならないことがあるので要注意だ(メーラ側の制限に依存しているのかもしれないが)。
メールの配送システム全体から見ると、実はPOP3s/IMAP4s/SMTPsによって守られる範囲は限定的である。
上図のように、POP3s/IMAP4s/SMTPsによって暗号化されるのは、自分のPCのメーラおよび直接接続するメール・サーバ間の「通信」に限られる。メール・サーバ同士の配送は一般的に暗号化されないし、相手のメーラとメール・サーバの間の通信が暗号化されるか否かは、相手のメーラ/サーバなどに依存し、自分側で制御する術はない。これはメールそのものではなく通信路を暗号化しているデメリットともいえる。もし自分のメーラから相手のメーラまで一貫して暗号化したいのであれば、S/MIMEでメールそのものを暗号化するなど別の手段を検討すべきだ。メールそのものの暗号については、右上の関連記事を参照していただきたい。
メーラあるいはメール・サーバに蓄えられているメールについても、POP3s/IMAP4s/SMTPsで守れるわけではない。POP3s/IMAP4s/SMTPsはあくまでもネットワーク上で通信中のデータを守るプロトコルであり、送受信前のデータについては関与しないからだ。さらに、スパム・メールやウイルス・メールを回避する効果もない。
だからといってPOP3s/IMAP4s/SMTPsが無意味ということはなく、特に認証用パスワードの漏えいを暗号化によって防ぐ効果は大きい。メール本文についても、S/MIMEのように送受信の相手の環境に影響されることなく、少なくとも直接接続するメール・サーバとの間までは暗号化できる。
POP3s/IMAP4s/SMTPsを利用するには、メーラとメール・サーバの両方ともこれらのプロトコルに対応している必要がある。
メール・サーバ側では通常、従来のPOP3/IMAP4/SMTPを利用可能にしたままPOP3s/IMAP4s/SMTPsの対応が追加される。したがってPOP3/IMAP4/SMTPでメールを送受信している限り、POP3s/IMAP4s/SMTPs対応に気付くことはないので、ISPのサポート用Webサイトやサポート窓口で確認する必要がある。
プロトコルの対応/未対応 | ISP(リンク先はサポートサイト) |
---|---|
POP3s/SMTPs対応 | DION/AU one(SMTPsのみ)、Gmail、IIJ4U、ODN、Yahoo!メール、ZAQ |
POP3s/SMTPs対応(有料オプション) | @nifty(有料オプション)、BIGLOBE(有料オプション)、ぷらら(有料オプション) |
POP3s/SMTPs未対応 | AOL、DTI、OCN、So-net、ZERO、リムネット |
主要な個人向けISP/メール・サービスのPOP3s/SMTPs対応状況(2008年1月上旬) POP3s/SMTPs対応のサービスは増えているものの、大手でも非対応の場合がある。またサービスによってはSMTPsのみ対応、あるいは有料の契約が必要といった違いがあるので注意が必要だ。最新情報は各ISP/メール・サービスのサポート・サイトを参照していただきたい。なおIMAP4sについては、IMAP4非対応のサービスが多いので割愛した。 |
メール・サーバに比べてメーラの方がPOP3s/IMAP4s/SMTPs対応は進んでおり、すでに非対応の製品の方が少ないようだ。マイクロソフトのOutlook Express/Outlook/Windowsメール、MozillaのThunderbirdも対応済みだ。ただし、メール・サーバの実装によっては特定バージョンのメーラで通信できない、あるいは特殊な設定が必要な場合があるので、メーラについても各ISP/メール・サービスのサポート・サイトなどで確認した方がよい。
メールの送受信にPOP3s/IMAP4s/SMTPsを利用する場合、たいていはメーラの設定を変更する必要がある。SSLを有効にする設定はもちろんのこと、前述のようにポート番号を変更しなければならない場合もある。
SMTPsの場合、SMTPにはなかった認証の設定も必要になる。さらにメール・サービスによっては、接続先のメール・サーバ名まで変更を強いられる場合もある。各メーラの具体的な設定方法については、TIPS「メールの送受信でSSLを利用して暗号化する」を参照していただきたい。
■更新履歴
【2008/11/24】Outlook Express 6におけるSSL有効時のSMTPポート番号の挙動について修正しました。
【2008/01/18】初版公開。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.