- ホーム >
- 基礎知識 >
- インターネットの仕組み >
電子メールの危険性 ~ POP before SMTP・SMTP-AUTHとは ~
- スポンサード リンク:
- 全てのPC買い取ります
- 琉球市場
電子メールは、送信と受信が異なるプロトコルでやり取りされているというのは前項で解説しました。送信のプロトコルは「SMTP」で、受信のプロトコルは「POP」です。
まず、自分宛の電子メールを読むためには、自分のメールサーバからメールをダウンロードしなければなりません。この時のプロトコルがPOPになりますが、
POPでメールを受け取る場合には「認証」が必要
になります。POPもFTPと同じように、認証しなければメールサーバに接続(ログイン)することはできません。しかし、これは当然のことです。自分のメールを、認証なくして他人が見ることができたら、それこそ問題です。
つまり、POPの認証は、メールサーバにある自分のメールボックスを開ける鍵 になるのです。POPサーバ(メールサーバ)に保管された、自分に届いているメールを受け取る時の鍵で、預金口座の暗証番号のようなものです。
下図は、WindowsメールのPOPの設定画面です。「受信メール サーバー」のところには、ユーザー名(アカウント)とパスワードを指定する欄があります。
ユーザー名とパスワードは、プロバイダ等から送られてきます。(ユーザー名を「ユーザーアカウント」もしくは単に「アカウント」と表記するプロバイダもあります)
認証の仕組みは、プロバイダ等のPOPサーバに登録されているユーザー名とパスワードと、入力されたユーザー名とパスワードを比較して、一致すれば認証が完了します。
このように、自分宛てのメールを受け取る時には常に認証が必要になりますが、一般的には、メーラーの起動と同時にメールの受信が行われるため、上図のようにメーラーにIDとパスワードを設定しておけば、POP認証も自動で行われます。
しかし、ここで注意しなければならないのが、POPサーバ(メールの受信)では認証が必要なのに、
SMTPでメールを送信する場合には「認証」機能がない
ということです。(上図の赤線にある「このサーバは認証が必要」というのは後述しますので、今はまだ気にしないようにしてください)
したがって、送信の場合は、メールはSMTPサーバ(メールサーバ)をただ通過するだけになります。銀行でお金を振り込むときには誰でも振り込めますが、引き出す時には認証が必要なことと同じです。
ただ、そのおかげで、このシステムを悪用することが可能になります。まず、メールの送信には認証が必要ないので、スパムメール(営利目的の広告やダイレクトメールといった迷惑メール)を配信するための「踏み台」として利用されてしまう可能性があります。
つまり、知らないうちに第三者によって、あなたのSMTPサーバがスパムメール配信の中継地点にされてしまう可能性があるのです。踏み台にされて、自分の意図しないところで自分が不正行為をしているように見せかけられることもあります。
また、簡単に他人になりすますこともできます。この「なりすまし」によって、クレジットカード等の暗証番号を入手しようとするフィッシング詐欺が問題となっています。
このように、認証が必要なければ誰でも他人のSMTPサーバ利用することができてしまうのです。そこで、メール送信時の対策に考えられたのが、
POP before SMTP(ポップ ビフォア エスエムティーピー)
という方法です。直訳すると「SMTPの前にPOP」ですが、要するに、
メールを送信(SMTPサーバに接続)する前に、受信(POPサーバに接続)して認証を行う
ということです。すなわち、正規のユーザーであることを確認してからでないと、送信はできないというわけです。
この「POP before SMTP」方式は、既存システムのままで設定を変更する必要がないことから、ほどんどのプロバイダで採用されています。
もっとも、我々ユーザーとしては、特にメーラーの設定を変更しなければ、POP before SMTP方式で認証を行いますし、メーラーの起動と同時にメールを受信してくるので、普段これらを意識することはありません。
しかし、POP before SMTP方式では、メールの受信(つまりメーラーの起動)から、数分間経過(プロバイダによって時間は異なる)すると、再度POPサーバで認証を受けないとメールを送信することができなくなります。
また、そもそもSMTPによる送信そのものを保証するわけではありません。やはり、SMTPにも認証機能を持たせることが望まれました。そこで登場したのが、
SMTP-AUTH(エスエムティーピー オウス)
です。AUTHは「authentication」の略で、「エスエムティーピー オーセンティケーション」とも呼ばれます。SMTP-AUTHは、従来の電子メールの仕組みに、
メールを送信(SMTPサーバへ接続)するときも認証を行う
という機能を追加したものです。SMTP-AUTHは、メーラーで設定することができます。上の図で、先ほどの「このサーバは認証が必要」という箇所です。
上図のとおり、Windowsメールでは、「送信メール サーバー」のところで「このサーバーは認証が必要」にチェックを入れると設定が完了します。これで、SMTPによる送信時もユーザーの認証を行うことができます。
ただし、SMTP-AUTHによって送信時も認証を行うためは、サーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければならず、どちらかでも対応していない場合は、POP before SMTP方式を利用することになります。
さて、これで受信も送信も認証を行うことで、電子メールは誰もが安全に利用できるサービスとなれば良いのですが、これでも完璧ではありません。
詳しくは次項で解説しますが、電子メールはインターネット上で基本的に
そのままの形であるプレーンテキストでやり取りされている
のです。つまり、実際の郵便ハガキと同じく、文章は「丸見え」なのです。メールの転送経路やメールサーバ(SMTPサーバ、POPサーバ)に侵入された場合や、またサーバの管理者には、容易に内容を盗み見されてしまいます。
そのうえ、メールを受信する時に、POPサーバで認証を受けるために送信する、
POPの認証パスワードもプレーンテキストで送られている
のです。認証パスワードは、プロバイダ等のPOPサーバで認証に使われるだけで、電子メールのようにインターネット上に流れるわけではありませんが、伝送の途中で盗み見される可能性がないわけではありません。
上図のように、メーラーのパスワードの入力欄は、「●●●」や「***」と表示され、まるで暗号化されているようですが、実際はプレーンテキストで送られている のです。
したがって、いくら送信と受信と2つの認証を実施しても、そのパスワードが郵便はがきのように丸見えでは、簡単に「なりすまし」されてしまいます。
そこで、POPの認証にも、パスワードを暗号化 して送信する仕組みが開発されました。暗号化してしまえば、例え誰に見られても問題ありません。
例えるなら、はがきに当事者同士しかわからない取り決めによって暗号化された文章を書いていたとすると、それを見た他人は、その文章を理解することができないでしょう。暗号化によってパスワードを安全に送信することができます。この暗号化通信を行うプロトコルを、
APOP(エー ポップ)
と言います。APOPは「Authenticated Post Office Protocol」の略になります。その名のとおり、APOPは、POPのセキュリティ機能を高めたプロトコルになります。
ただ、APOPもSMTP-AUTHと同様に、サーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければなりません。残念ながら、WindowsメールやOutlook Expressといったメジャーなメーラーはあまり対応していないのが現状です。また、
暗号化されるのはPOPのパスワードだけで、SMTPで送信するメール本文は暗号化されない
のです。したがって、APOPでなりすまし防止のセキュリティを高めたとしても、メールの内容はまだ「丸見え」のままなのです。そこで次に登場したのが、
POP over SSL、SMTP over SSL
という技術です。SSL(エスエスエル)については後述しますが、SSLという暗号化技術を用いて、SMTP over SSLは送信時に、POP over SSLは受信時に、
認証パスワードもメール本文も、サーバとのやり取りをすべて暗号化
して送受信する技術です。下図のようにメーラー(下図はWindowsメール)で設定すれば、利用できるようになります。(プロバイダ等のサーバによってポート番号の数値は異なります)
しかし、この技術もサーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければなりません。ただこちらは、WindowsメールやOutlook Expressも対応しています。(古いバージョンは対応していません)
これで、誰でも安全に電子メールが使えるようになる、と言いたいところですが、まだこれでも全く安全とは言えないのです。なぜなら、
暗号化されるのは、自分のメールサーバとメーラーの間のやり取りだけ
だからです。自分のサーバから送信相手のサーバまでのメールの転送経路や、送信相手のメールサーバまで暗号化されているわけではないので、これでも十分とは言えないのです。
また、市販のウィルスソフトの中には、POP over SSL、SMTP over SSLに対応していないものもあり、メールのスキャンができないといったデメリットもあります。したがって、
送信相手のパソコンへ届くまでのすべてのルートで暗号化しなければ安全とは言えない
のです。あらゆることを想定して、第三者に内容が改ざんされたり盗み見されないようにしなければ、本当に安全が保たれているといえません。これについては、次項で解説します。
さて、現在ではモバイル化が進み、同じ場所の同じパソコン以外からのメール利用が増えたことにより、様々な場所や、様々なパソコンからメールをチェックするという必要性が高まってきました。
POPは、メールをサーバからダウンロードしてパソコンに取り込んでしまうプロトコルです。そうすると、一度メールをダウンロードしてしまうと、他のパソコンがらサーバにアクセスしても、もうそのメールはありません。
そういった場合には、
IMAP(アイマップ)
というプロトコルを使えば、メールを手元のパソコンにダウンロードしないで、サーバに置いたまま様々なパソコンで「同じメール」を見ることができます。
IMAPは「Internet Message Access Protocol」の略になります。IMAPは、タイトルや発信者を見てダウンロードするかどうかを決めることができるので、モバイル環境では大変便利なプロトコルです。
ただし、たくさんのメールをサーバに置いておくとサーバに負荷がかかり、表示に時間がかかることもあります。
IMAPを利用する場合も、サーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければなりません。
もっとも、POPでもサーバにメールを残しておくように設定することも可能です。Windowsメールでは、「ツール」→「アカウント」→「詳細設定」で設定できます。
ただしこの場合は、サーバ上でメールを参照するのではなく、サーバにメールのコピーを置き、パソコンにメールが取り込まれることになります。
Windowsメール(Outlook Express)の設定や使用方法については、「メール」編 で詳しく解説しています。
- 更新日:2009年5月19日(更新内容は本ページ下部に記述)
- 前ページ、次ページへのリンクバーは本ページ下部にあります。
関連情報&オススメ
フレッツ光プレミアム、Bフレッツ、ひかり電話、光ブロードバンドの申し込みは、受付窓口としてNTT正規契約している「代理店」がオススメです。
NTTやプロバイダによるキャンペーンや割引はどこの窓口(代理店)で申し込んでも同じですが、実は「代理店独自のキャンペーン」があり、申し込む代理店によってかなりお得度が異なります。
株式会社インテレコムは、NTTや大手家電量販店などで契約するよりも、キャッシュバックや特典、プレゼントもありかなりお得です。
初期工事費、月額利用料最大2ヶ月無料、さらに現金キャッシュバック最大43,000円キャンペーンを実施中で、ユーザー向けプレゼントキャンペーンは、業界最高クラスです。
更新履歴
- 2008年11月24日
- ページを公開。
- 2009年5月19日
- ページをXHTML1.0とCSS2.1で、Web標準化。レイアウト変更。
参考文献・ウェブサイト
当ページの作成にあたり、以下の文献およびウェブサイトを参考にさせていただきました。
- 文献
- 図解入門 インターネットのしくみ
- メールを暗号化する シニアのためのセキュリティ教室
- http://www.seniorit.info/kojin/kojin02.htm
- 次ページ:「電子メールのセキュリティ(1) ~ 公開鍵暗号化方式とは ~」へ進む
- 前ページ:「電子メールの仕組み ~ POP・SMTPとは ~」へ戻る
- 基礎知識:「メニューページ」へ戻る
- ホームへ戻る
