ユーザー認証を安全に行なう仕組み
POP3のユーザー認証は平文でユーザーIDとパスワードをPOP3サーバへ送るため、ユーザー認証の通信を盗聴されるとユーザーIDとパスワードが簡単にわかってしまうという脆弱性があった。この対策としてPOP3では、パスワードを暗号化して送信する「APOP(Authenticated Post Office Protocol)」という認証の仕組みが用意されている。ただし、APOPはPOP3サーバとメールクライアントの双方が対応している必要がある。APOPをサポートしているメールクライアントはBecky! Internet MailやEudora、Windows Liveメールなどだ。
一方、IMAPでも最初に行なうユーザー認証は平文で通信するので盗聴される危険がある。そこで、盗聴への備えとして「AUTHENTICATEコマンド」が用意された。このコマンドは、基本的なユーザー名およびパスワードの認証に加えて、SASL(Simple Authentication and Security Layer)など、より複雑な認証メカニズムを使用可能にする。サーバがサポートしている認証メカニズムは、クライアント側から「CAPABILITYコマンド」を使って調べることができる。
Webブラウザでメールを使う
ここまではWindowsメールなどのメールクライアントでメールを受け取る仕組みを見てきたが、最後にWebブラウザ上でメールを送受信する「Webメール」の仕組みを見ていこう。
WebメールはYahoo!やMSN、Googleといったポータルサイトが、無料のメールサービスとして提供していることで知られているものだ。インターネットにつながっている端末とWebブラウザがあれば、どこからでもメールの送受信が行なえるので利用者が増加している。
では、Webメールの仕組みを見ていこう。メール受信の仕組みにはIMAP4が使われているので、Webブラウザを開いている端末にメールは保存されない。
図4はWebメールの概要である。Webメールは、1つのWebアプリケーションとしてWebサーバにインストールされている。Webブラウザがユーザーインターフェイスとなり、Webアプリケーションがメールサーバとの送受信のやり取りを行なうのである。
図4 Webメールの概要
ではどのようにプロトコルが使われているのか見てみよう。まずメールを受信する場合、WebサーバがIMAP4によってメールボックスの中身を読み取り、Webページを生成している。このページの画面をHTTP(Hypertext Transfer Protocol)でWebブラウザに送っている。このようにして、ユーザーはメールを読むことができるわけだ。一方メッセージを送信する場合は、まずWebブラウザに入力した内容をHTTPでWebサーバに送信している。そして、送られた内容はメールのデータ形式に変換され、その後SMTPによってメールサーバに送信するという仕組みである。
Webメールを使う場合には、必ずWebサーバとWebブラウザが通信する。特にメールを受信する際にユーザー認証を行なうため、Webメールの最初の画面でユーザーIDとパスワードを入力するので盗聴に対する備えが必要となる。そこで、多くのWebメールサービスではSSL(Secure Sockets Layer)によって通信を暗号化している。
導入についてはサーバ管理に関するスキルが必要とされるが、Webメールのアプリケーションは簡単に入手できる。特に、GPL(GNU General Public License)という、だれでも自由に使うことを許諾したライセンスに基づいて公開されているSquirrelMail(スクイリルメール)は有名で人気も高い。
この連載の記事
-
第6回
ネットワーク
メールシステムの脆弱性とその回避策 -
第5回
ネットワーク
メールを受け取る仕組みはどうなっていますか?? -
第3回
ネットワーク
メールの中身をのぞいてみませんか? -
第2回
ネットワーク
メールを支えるドメイン名とDNSの仕組み -
第1回
ネットワーク
メールが届く仕組みを知っていますか? -
ネットワーク
電子メールの秘密 - この連載の一覧へ
