テクノロジ系 > 大分類3 技術要素 > 中分類11 セキュリティ > 5.セキュリティ実装技術> (2)認証プロトコル
メールセキュリティ
メールセキュリティについては電子メールの仕組みに深くかかわるため、まずは以下で電子メールの仕組みについて理解してください。
SMTPの問題点(復習)
電子メールの仕組みで重要な役割を持つプロトコルであるSMTPの主な役割は、メールを転送することでした。しかしはSMTPで転送する際に認証手順を持っていないため、外部からの来た転送依頼も受け付けるオープンリレー(第三者中継)を許してしまい、これが迷惑メールの原因となっていました。
オープンリレーに対処するため、送信側メールサーバによる送信者認証が行われるようになりました。
送信側メールサーバによる送信者認証とOP25B
送信側メールサーバによる送信者認証はPOP before SMTPとSMTP-AUTHの2種類があります。
POP before SMTP
POPは受信側のメールクライアントがメールサーバにメールを読み出しに行くために使用されるプロトコルです。POPにはもともと送信者を認証する手順が備わっているため、その機構を利用して送信者認証を行う方法が考案されました。これをPOP before SMTPといいます。
具体的には、POPサーバの認証手順に従って認証をしたクライアントについては、一定期間SMTPによる転送を許可するという方式です。
この方式は長らく使われてきましたが、以下の2点の問題がありました。
- POPによる認証手順はユーザIDとパスワードによるもので、平文で転送されるため、盗聴されやすい
- 一度認証すると一定期間認証が不要になるため、その間は認証なしで転送できてしまう。
盗聴対策については、APOPと呼ばれるチャレンジレスポンス方式による認証方法が考え出されましたが、それでも問題が多く、現在では次に挙げるSMTP-AUTHを使用することが多くなっています。
SMTP-AUTH
SMTP-AUTHとは、SMTPを拡張しSMTP自体に認証機能を持たせたプロトコルです。認証方式はパスワードによる認証、チャレンジレスポンスによる認証などとなっており、これらを使用する場合の課題はPOP before SMTPと大きく変わりません。この解決にはTLSによる暗号化通信を行うSMTPSと併用する方法があります。
SMTP-AUTHはTCP25番ポートではなく587番ポート(サブミッションポート)を使用することに特長があります。これは次に説明するOP25Bと呼ばれる規制が関係しており、現在のスパムメール対策はこの二つの組み合わせで行われることが主流となっています。
OP25B
OP25B(Outbound Port 25 Blocking)とは、スパムメールの送信を遮断するためにISPなどが導入している規制です。ISPとはプロバイダのこと、Oubbound Port(アウトバンドポート)とは、ISPから外部(インターネット)へ出ていくSMTP通信のことで、具体的にはプロバイダメール(OCNやso-netなど)から外部へ送信されるメールが対象となっています。
①ISPのメールサーバを使用した転送は25番ポートでも許可します。
②ISPメールサーバを経由せず25番ポートで転送しようとした場合はブロックします。これがOP25Bの本体です。
③ISPのメールサーバを使用せず外部メールサーバに転送したい場合はSMTP-AUTHを使用した587番ポート(サブミッションポート)で転送を許可します。
ボットなどから送信されるスパムメールの多くは②の方式です。これはISPのメールサーバを使ってしまうと追跡されやすくなってしまうためでした。そのため②の通信を遮断することにより多くのスパムメールを遮断することができると考えられています。
OP25Bと似た仕組みでIP25B(Inbound Port 25 Blocking)というものもあります。これは、インバウンドポート、つまり外部(インターネット)からのSMTP通信(25番ポート)を遮断する規制です。
