基礎からわかる!パソコン入門・再入門 / 無料パソコン教室・基礎知識・Word・Excel・PowerPoint

電子メールの危険性 ~ POP before SMTPSMTP-AUTHとは ~

子メールは、送信と受信が異なるプロトコルでやり取りされているというのは前項で解説しました。送信のプロトコルは「SMTP」で、受信のプロトコルは「POP」です。

まず、自分宛の電子メールを読むためには、自分のメールサーバからメールをダウンロードしなければなりません。この時のプロトコルがPOPになりますが、

POPでメールを受け取る場合には「認証」が必要

になります。POPFTPと同じように、認証しなければメールサーバに接続(ログイン)することはできません。しかし、これは当然のことです。自分のメールを、認証なくして他人が見ることができたら、それこそ問題です。

つまり、POPの認証は、メールサーバにある自分のメールボックスを開ける鍵 になるのです。POPサーバ(メールサーバ)に保管された、自分に届いているメールを受け取る時の鍵で、預金口座の暗証番号のようなものです。

下図は、WindowsメールのPOPの設定画面です。「受信メール サーバー」のところには、ユーザー名(アカウント)とパスワードを指定する欄があります。

Windowsメールのサーバ情報画面のイメージ

ユーザー名とパスワードは、プロバイダ等から送られてきます。(ユーザー名を「ユーザーアカウント」もしくは単に「アカウント」と表記するプロバイダもあります)

認証の仕組みは、プロバイダ等のPOPサーバに登録されているユーザー名とパスワードと、入力されたユーザー名とパスワードを比較して、一致すれば認証が完了します。

このように、自分宛てのメールを受け取る時には常に認証が必要になりますが、一般的には、メーラーの起動と同時にメールの受信が行われるため、上図のようにメーラーにIDとパスワードを設定しておけば、POP認証も自動で行われます。

しかし、ここで注意しなければならないのが、POPサーバ(メールの受信)では認証が必要なのに、

SMTPでメールを送信する場合には「認証」機能がない

ということです。(上図の赤線にある「このサーバは認証が必要」というのは後述しますので、今はまだ気にしないようにしてください)

したがって、送信の場合は、メールはSMTPサーバ(メールサーバ)をただ通過するだけになります。銀行でお金を振り込むときには誰でも振り込めますが、引き出す時には認証が必要なことと同じです。

ただ、そのおかげで、このシステムを悪用することが可能になります。まず、メールの送信には認証が必要ないので、スパムメール(営利目的の広告やダイレクトメールといった迷惑メール)を配信するための「踏み台」として利用されてしまう可能性があります。

つまり、知らないうちに第三者によって、あなたのSMTPサーバがスパムメール配信の中継地点にされてしまう可能性があるのです。踏み台にされて、自分の意図しないところで自分が不正行為をしているように見せかけられることもあります。

また、簡単に他人になりすますこともできます。この「なりすまし」によって、クレジットカード等の暗証番号を入手しようとするフィッシング詐欺が問題となっています。

このように、認証が必要なければ誰でも他人のSMTPサーバ利用することができてしまうのです。そこで、メール送信時の対策に考えられたのが、

POP before SMTP(ポップ ビフォア エスエムティーピー)

という方法です。直訳すると「SMTPの前にPOP」ですが、要するに、

メールを送信(SMTPサーバに接続)する前に、受信(POPサーバに接続)して認証を行う

ということです。すなわち、正規のユーザーであることを確認してからでないと、送信はできないというわけです。

この「POP before SMTP」方式は、既存システムのままで設定を変更する必要がないことから、ほどんどのプロバイダで採用されています。

もっとも、我々ユーザーとしては、特にメーラーの設定を変更しなければ、POP before SMTP方式で認証を行いますし、メーラーの起動と同時にメールを受信してくるので、普段これらを意識することはありません。

しかし、POP before SMTP方式では、メールの受信(つまりメーラーの起動)から、数分間経過(プロバイダによって時間は異なる)すると、再度POPサーバで認証を受けないとメールを送信することができなくなります。

また、そもそもSMTPによる送信そのものを保証するわけではありません。やはり、SMTPにも認証機能を持たせることが望まれました。そこで登場したのが、

SMTP-AUTH(エスエムティーピー オウス)

です。AUTHは「authentication」の略で、「エスエムティーピー オーセンティケーション」とも呼ばれます。SMTP-AUTHは、従来の電子メールの仕組みに、

メールを送信(SMTPサーバへ接続)するときも認証を行う

という機能を追加したものです。SMTP-AUTHは、メーラーで設定することができます。上の図で、先ほどの「このサーバは認証が必要」という箇所です。

上図のとおり、Windowsメールでは、「送信メール サーバー」のところで「このサーバーは認証が必要」にチェックを入れると設定が完了します。これで、SMTPによる送信時もユーザーの認証を行うことができます。

ただし、SMTP-AUTHによって送信時も認証を行うためは、サーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければならず、どちらかでも対応していない場合は、POP before SMTP方式を利用することになります。

さて、これで受信も送信も認証を行うことで、電子メールは誰もが安全に利用できるサービスとなれば良いのですが、これでも完璧ではありません。

詳しくは次項で解説しますが、電子メールはインターネット上で基本的に

そのままの形であるプレーンテキストでやり取りされている

のです。つまり、実際の郵便ハガキと同じく、文章は「丸見え」なのです。メールの転送経路やメールサーバ(SMTPサーバ、POPサーバ)に侵入された場合や、またサーバの管理者には、容易に内容を盗み見されてしまいます。

そのうえ、メールを受信する時に、POPサーバで認証を受けるために送信する、

POPの認証パスワードもプレーンテキストで送られている

のです。認証パスワードは、プロバイダ等のPOPサーバで認証に使われるだけで、電子メールのようにインターネット上に流れるわけではありませんが、伝送の途中で盗み見される可能性がないわけではありません。

上図のように、メーラーのパスワードの入力欄は、「●●●」や「***」と表示され、まるで暗号化されているようですが、実際はプレーンテキストで送られている のです。

したがって、いくら送信と受信と2つの認証を実施しても、そのパスワードが郵便はがきのように丸見えでは、簡単に「なりすまし」されてしまいます。

そこで、POPの認証にも、パスワードを暗号化 して送信する仕組みが開発されました。暗号化してしまえば、例え誰に見られても問題ありません。

例えるなら、はがきに当事者同士しかわからない取り決めによって暗号化された文章を書いていたとすると、それを見た他人は、その文章を理解することができないでしょう。暗号化によってパスワードを安全に送信することができます。この暗号化通信を行うプロトコルを、

APOP(エー ポップ)

と言います。APOPは「Authenticated Post Office Protocol」の略になります。その名のとおり、APOPは、POPのセキュリティ機能を高めたプロトコルになります。

ただ、APOPSMTP-AUTHと同様に、サーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければなりません。残念ながら、WindowsメールやOutlook Expressといったメジャーなメーラーはあまり対応していないのが現状です。また、

暗号化されるのはPOPのパスワードだけで、SMTPで送信するメール本文は暗号化されない

のです。したがって、APOPでなりすまし防止のセキュリティを高めたとしても、メールの内容はまだ「丸見え」のままなのです。そこで次に登場したのが、

POP over SSLSMTP over SSL

という技術です。SSL(エスエスエル)については後述しますが、SSLという暗号化技術を用いて、SMTP over SSLは送信時に、POP over SSLは受信時に、

認証パスワードもメール本文も、サーバとのやり取りをすべて暗号化

して送受信する技術です。下図のようにメーラー(下図はWindowsメール)で設定すれば、利用できるようになります。(プロバイダ等のサーバによってポート番号の数値は異なります)

Windowsメールのアカウント「詳細設定」画面イメージ

しかし、この技術もサーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければなりません。ただこちらは、WindowsメールやOutlook Expressも対応しています。(古いバージョンは対応していません)

これで、誰でも安全に電子メールが使えるようになる、と言いたいところですが、まだこれでも全く安全とは言えないのです。なぜなら、

暗号化されるのは、自分のメールサーバとメーラーの間のやり取りだけ

だからです。自分のサーバから送信相手のサーバまでのメールの転送経路や、送信相手のメールサーバまで暗号化されているわけではないので、これでも十分とは言えないのです。

また、市販のウィルスソフトの中には、POP over SSLSMTP over SSLに対応していないものもあり、メールのスキャンができないといったデメリットもあります。したがって、

送信相手のパソコンへ届くまでのすべてのルートで暗号化しなければ安全とは言えない

のです。あらゆることを想定して、第三者に内容が改ざんされたり盗み見されないようにしなければ、本当に安全が保たれているといえません。これについては、次項で解説します。

さて、現在ではモバイル化が進み、同じ場所の同じパソコン以外からのメール利用が増えたことにより、様々な場所や、様々なパソコンからメールをチェックするという必要性が高まってきました。

POPは、メールをサーバからダウンロードしてパソコンに取り込んでしまうプロトコルです。そうすると、一度メールをダウンロードしてしまうと、他のパソコンがらサーバにアクセスしても、もうそのメールはありません。

そういった場合には、

IMAP(アイマップ)

というプロトコルを使えば、メールを手元のパソコンにダウンロードしないで、サーバに置いたまま様々なパソコンで「同じメール」を見ることができます。

IMAPは「Internet Message Access Protocol」の略になります。IMAPは、タイトルや発信者を見てダウンロードするかどうかを決めることができるので、モバイル環境では大変便利なプロトコルです。

ただし、たくさんのメールをサーバに置いておくとサーバに負荷がかかり、表示に時間がかかることもあります。

IMAPを利用する場合も、サーバ(プロバイダ)とクライアント(メーラー)が双方とも対応していなければなりません。

もっとも、POPでもサーバにメールを残しておくように設定することも可能です。Windowsメールでは、「ツール」→「アカウント」→「詳細設定」で設定できます。

Windowsメールのアカウント「詳細設定」画面イメージ

ただしこの場合は、サーバ上でメールを参照するのではなく、サーバにメールのコピーを置き、パソコンにメールが取り込まれることになります。

Windowsメール(Outlook Express)の設定や使用方法については、「メール」編 で詳しく解説しています。

ページトップへ戻る


関連情報&オススメ

『ニューズウィーク』は『タイム』とともに世界的に購読されているアメリカのニュース雑誌です。日本に関する記事は少ないですが、世界的な視点で編集されており、国際社会の様々な価値観を知ることができます。

様々な意見を取り上げ、いい意味で画一的でないので、私は、毎週読んでいくうちに「自分自身の考え」を持てるようになりました。国際情勢や経済、地域紛争などについて、自分がその歴史や背景、登場人物を認識していて意見できるくらいの知識を得ることができるようになったと思います。

読み始めた当初は、ほとんどのことが理解できないくらい難しい内容に感じました。たとえば、円高や金利などの経済の仕組みや国際社会の地政学的な背景などの基礎知識がなかったからです。しかし、「毎週全部の記事を読む」「わからないことはネットで調べる」と自分に決め、一年間読み続けたらなんとか理解できるようになり、記事を読むのが本当に楽しくなりました。

また、日本のメディアにはない視点に立って書かれている記事が多いので、感心させられることや考えさせられることも多々あります。例えば、日本では「クジラ食文化」は断固として守らなければならないという視点で記事が書かれますが、「クジラを食することを文化としてる日本人はどれだけいるのか」という視点から記事が掘り下げられていきます。

そこには、画一的な報道からでは見えない「気づき」があります。多角的な視点を持つことで、ニュースの裏に透けて見える矛盾や戦略を感じとる皮膚感覚が身についてきたように思います。

さらに、各国の元閣僚や大物財界人、ビッグスターの寄稿も多く、デービット・ベッカムが札幌でPKを決めたときの気持ちをつづったコラム(その前回のワールドカップで退場になった因縁のアルゼンチン戦)で、「もう、大丈夫だと思った」という言葉は今でも印象に残っています。

先進国の世界的不況や中東の動乱、そして東日本大震災における援助や報道など、世界の中で、国際社会と複雑に絡み合う時代に生きていることを教えてくれます。ひとつ上の目線と価値観を与えてくれた雑誌です。

決して安くはありませんが、1年購読は18,520円(一冊定価460円)です。

ページトップへ戻る

更新履歴

2008年11月24日
ページを公開。
2009年5月19日
ページをXHTML1.0とCSS2.1で、Web標準化。レイアウト変更。
2014年5月20日
内容修正。

ページトップへ戻る

参考文献・ウェブサイト

当ページの作成にあたり、以下の文献およびウェブサイトを参考にさせていただきました。

文献
図解入門 インターネットのしくみ参考文献
メールを暗号化する シニアのためのセキュリティ教室
http://www.seniorit.info/kojin/kojin02.htm

ページトップへ戻る