メールを送信での認証技術に POP before SMTP と SMTP-AUTH

前回の勉強内容

ponsuke-tarou.hatenablog.com

今回の勉強内容 : メール送信時の認証方法

勉強のきっかけになった問題

SMTP-AUTHの特徴はどれか。

ア. ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP接続を禁止する。
イ. PCからメールサーバへの電子メール送信時に,ユーザアカウントとパスワードによる利用者認証を行う。
ウ. PCからメールサーバへの電子メール送信は,POP接続で利用者認証済の場合にだけ許可する。
エ. 電子メール送信元のサーバが,送信元ドメインDNSに登録されていることを確認して,電子メールを受信する。
平成27年春期問16 SMTP-AUTHの特徴はどれか|情報処理安全確保支援士.com

メール送信時の認証技術には、「POP before SMTP」「SMTP-AUTH」があります。

むかしむかし、SMTPには認証の仕組みがありませんでした。

それに伴い、大量のメールを送り付ける「迷惑メール」が流行りました。

POP before SMTPは、メールを送信する前にPOP3認証を行って認証できたらメールを送信する仕組みです。

SMTPに認証のしくみはないけれど、メール受信で使うPOP3にはIDとパスワードによる認証の仕組みがあります。

https://asahi-net.jp/support/guide/mail/img/0598-1.gif
POP before SMTP方式|プロバイダ ASAHIネット

http://www.tku.ac.jp/~densan/local/mail/popbeforesmtp.gif
メールの利用:メールソフト編

POP3認証をしてから数分間は、認証なしで送信し放題なのでスパムメールが送信できるかもしれない。

複数のPCで同じIPアドレスを使用するNAT環境下では認証を通った人と違う人がメールを送信できる。

SMTP-AUTHは、メールサーバがメール送信者をIDとパスワードで認証してからメールを送信する仕組みです。

https://www.tiki.ne.jp/security/img/spam_fig2.gif
SMTP認証について セキュリティ TikiTikiインターネット

https://www.wfwfserver.ne.jp/function/images/smtpauth.gif
SMTP AUTH 低価格で高品質のレンタルサーバーをご提供するわふわふサーバー

認証方法には種類があります。

f:id:ponsuke_tarou:20180913234047j:plain

PLAINは、暗号化しないでユーザー名/パスワードをそのまま送る仕組みです。

パスワードが平文で流れているので危険な方式です。

LOGINは、標準化されておらず独自の実装をしているメールサーバーもあって互換性が低い方式です。

ユーザー名/パスワードはBASE64に変換される(XXXXXの部分の事)
ユーザー名/パスワードを別々に送信したり一緒に送信したりする(やり方はそれぞれ)

CRAM-MD5は、パスワード文字列がそのままネットワークを流れることがないように、暗号化が施されます。

MD5を使用してチャレンジ-レスポンス認証を行い、パスワードそのものは暗号化された状態でも送信はしません。

  • 流れ
    1. サーバーとクライアントが共通に知っているパスワードを用意
    2. サーバーは、クライアントに対し任意の文字列(Challenge文字列)を送る
    3. クライアントはそのChallenge文字列と共通パスワードを使い、MD5で計算処理を行う
    4. 結果をサーバーに返す
    5. クライアントからの返答が傍受されても、ここからパスワードを復元するのは困難
    6. サーバーは、自分でも同じ処理を行ない、結果が一致すれば相手が正しくパスワードを知っているとして認証する
DIGEST-MD5は、CRAM-MD5の拡張版で、辞書攻撃や総当り攻撃などに対する耐性を高めたものです。

f:id:ponsuke_tarou:20180913233607j:plain

次回の勉強内容

ponsuke-tarou.hatenablog.com