連載
» 2006年03月07日 00時00分 公開

セキュリティプロトコルマスター(5):端から端までメールを安全にやりとりできる方法はあるの? (1/3)

[福永勇二,インタラクティブリサーチ]

前回「認証できないsmtpでメールを安全に送るには」は、同じ「安全」がキーワードであっても、メールの「読み出し」を安全にするpop3sとは少しポイントが違うsmtpのメール送信の暗号化について解説しました。今回は、サーバとクライアントでのsmtpsに沿ったメールの認証のやりとりを分かりやすく解説します。


目次

smtpと認証の関係

1 smtpでも認証が必要と聞いたのですが

2 必ず認証するのでしょうか?

3 pop3の認証と同じ意味ですか?

4 pop before smtpって何ですか

5 smtp authって何ですか

6 認証はいつ行うのですか?

7 smtpsと認証の組み合わせを知りたいのですが

8 smtpsと認証の関係をもっと説明してください

端から端まで安全に

9 smtpsと認証の組み合わせでパーフェクトですね

10 トータルで安全にやりとりする方法はありませんか?

11 S/MIMEやpgpを使うには


smtpと認証の関係

smtpでも認証が必要と聞いたのですが

 前にも触れましたが、もともとsmtpに認証の仕組みは用意されていません。しかし、現在はsmtpサーバを使ってメールを送信するときに、先にユーザー名とパスワードを送信して、利用者の認証をすることがあります。こうすることで、そのsmtpサーバが迷惑メールの送信に勝手に利用されるのを防ぎます。

必ず認証するのでしょうか?

 例えば、プロバイダAの接続サービスを利用し、同じプロバイダAのメールサーバを使ってメール送信する場合のように、一定の条件を満たした利用については、認証を必要としないことが多いようです。

 逆に、プロバイダAの接続サービスを利用し、プロバイダBのメールサーバを使ってメール送信する場合のように、他社のネットワークからメール送信するときには、送信者の認証をするのが一般的です。

pop3の認証と同じ意味ですか?

 どちらも同じ「認証」ですが、その意味には少し違いがいあります。

 pop3での認証は、メールボックスのメールを自分だけが読み、他人には読ませないようにするために行います。これは利用者にとって大きな意味があります。一方のsmtpの認証は、迷惑メール送信者などに勝手にメールサーバを使わせないために行います。これはメールサーバ運営者にとって大きな意味があります。

pop before smtpって何ですか

 smtpでメールを送信する前に送信者を確認する方法の1つです。

 メール送信前に、まず一度pop3を使ってメールを受信します。このときpop3の認証がうまくいったら、そのコンピュータのIPアドレスを一定の時間「認証済みPCリスト」に載せます。

 次にメールを送信するわけですが、そのとき「認証済みPCリスト」に載っているかどうかを調べます。もしリストに載っているPCだったら、それは先にpop3の認証がうまくいったものなので、正当なPCだと考えてメールの送信を許可します(図3)。反対にリストに載っていないPCからのメールの送信は許可しません。

 「smtp送信の前にpopでメールの読み出しをする」ことから、このような名前が付いています。

図3 pop before smtpの仕組み 図3 pop before smtpの仕組み

smtp authって何ですか

 こちらもsmtpでメールを送信する前に送信者を確認する方法の1つです。

 smtp authでは、smtpでのメール送信手順の中に、ユーザー名とパスワードをやりとりする手順を付け加えて、一連のメール送信手順の1つとして送信者の確認を行います。

 ユーザー名とパスワードのやりとりの方法には何種類か取り決めがあります。そのうちの1つ「CRAM-MD5」では、apopと同じようにチャレンジ文字列にパスワードをつないだものをMD5という一方向ハッシュ関数で変換して送ります。パスワードを直接やりとりしないため、安全に認証をすることができます。

 なおapopについては、「TCP/IPアレルギー撲滅ドリル【番外編】 第3回」の>「apopのどこに一方向ハッシュ関数?」の説明を参考にしてください。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。