メールプロトコルでユーザー認証を強化
SMTPにおいてユーザー認証がないという点だが、これに関してはSMTPサーバの設定で、メールサーバの管轄するドメイン以外のユーザー以外からのメールの中継を受け付けない設定にすることが挙げられる。
たとえば、著名なメールサーバのsendmailでは、複数のサーバがバケツリレー方式でメールを送受信していたインターネット黎明期の名残から、こうした外部から外部へのメールの中継がデフォルトでオンになっていた。こうしたメールサーバは外部から不正なメールを中継するサーバとして悪用されることが多いため、現在では多くのメールサーバでこうした中継機能がオフにされている。
しかし、この場合は正当なユーザーであってもメールサーバを外部から利用することができなくなってしまう。そのため用意されたのが、「POP before SMTP」である(図3)。POP before SMTP は、文字通りSMTPでの通信の前にいったんPOP3の認証を行なうというものだ。POP3の認証を通過したホストに対しては、SMTPサーバの利用を一定時間許可する。POP before SMTPはクライアントとサーバで大きな変更を行なわずに実現可能という点で、多くの企業やISPに受け入れられた。ただ、そもそも認証機能を持たないSMTPにPOP3での認証を流用するという点では、付け焼き刃的な方法といえる。
そこで、SMTP自体にユーザー認証機能を追加する「SMTP AUTH」という機能も標準化された。ただし、POP before SMTPと異なり、クライアントとサーバ双方での変更作業が必要になる。SMTP AUTHはISP側でスパムメールの送信をブロックする「Outbound Port 25 Blocking(OP25B)」と併用されることが多い。OP25B※3は通常のSMTPで利用する25番ポートは遮断しておき、正規のユーザーに対してはSMTP AUTHを行なう587番のサブミッションポーを提供するというものだ。これにより、宛先ポートに25番を指定するコネクションは遮断されるため、ISPのメールサーバを介さずにインターネットに直接送信されるメールは、迷惑メールとみなされ、遮断されることになる。
※3:OP25B 現在、国内の大手ISPの多くはこのOP25Bを実施しており、認証ののちISPのメールサーバを用いる仕様となっている。しかし、ユーザーにSMTP AUTH設定変更を強いることから、一時期メールが使えないという苦情が起こった。
APOPやSSLの活用
一方、POP3は認証機能を持つものの、パスワードは平文で流れてしまうという問題がある。そのため、POPのパスワードを暗号化するAPOP(Authenticated Post Office Protocol)がPOP3のオプションとして用意されている。ただし、APOPはプロトコル上の弱点として、パスワードが漏えいする危険性が指摘されている。
昨今では、SMTPやPOP3などのセッションをまるごとSSLで暗号化する「SMTPS」や「POP3S」などのセキュアプロトコルも使われるようになってきた。既存のSSLの仕組みで、SMTPやPOP3を安全に運用できるため、すでに導入しているISPもある。
(次ページ、「DNSを活用した送信元ドメインの認証」に続く)
この連載の記事
-
第11回
TECH
正規のユーザーやPCを判断する認証製品 -
第10回
TECH
社内の安全を守るセキュリティ製品の進化を知ろう -
第9回
TECH
検疫からシンクライアントまで!情報漏えいを防ぐ製品 -
第8回
TECH
ITでどこまで実現する?情報漏えい対策の基礎 -
第7回
TECH
インターネットで構築するVPNの仕組み -
第6回
TECH
通信サービスを安価にしたVPNの秘密 -
第4回
TECH
メールが抱える根本的な弱点とスパム対策 -
第3回
TECH
拡がるWebの脅威と対策を理解しよう -
第2回
TECH
巧妙化する不正プログラムを防ぐには? -
第1回
TECH
不正アクセスを防ぐファイアウォールの仕組み - この連載の一覧へ