Post Office Protocol

電子メールで使われるプロトコル

Post Office Protocol(ポスト オフィス プロトコル、POP(ポップ[1][2][3][4]))は、電子メールで使われる通信プロトコル(通信規約)のひとつ。ユーザメールサーバから自分のメールを取り出す時に使用する、メール受信用プロトコル。現在は、改良されたPOP3 (POP Version 3) (ポップスリー[1][2][3][4])が使用されている。

概要 編集

電子メールは、いつ・誰から送られてくるか分からない。しかし、ユーザが自分のコンピュータを常にインターネットに接続してメールを受信できるように待機させておく必要はない。これは、インターネットサービスプロバイダ (ISP) や企業ネットワーク内にメールを配達・受信するためのメールサーバが設置されており、メールサーバが常にメールを受信できるように待機しているからである。メールサーバにメールが届いた後に、ユーザがメールサーバからメールを取り出して、自分のコンピュータに取り込めばよい。この時に使われるプロトコルがPOPである。この作業は、郵便局(メールサーバ)に届けられた手紙をユーザーが郵便局へ取りに行く作業に似ている。メールサーバにメールが届いているかどうかもPOPで確かめることができる。

POPのユーザ認証機能をメール送信時の送信者認証に使用することがあり、これをPOP before SMTPと言う。

通常使用するTCPポート番号は、POP2では109番、POP3では110番を使用する。

ユーザの認証方法 編集

認証方法として、平文のUSER/PASS 認証が広く用いられているが、サーバ/クライアント双方が対応していれば、オプションコマンドである APOP(RFC 1460から追加)や拡張機能である SASLメカニズムを利用したAUTHコマンドなどを用いて認証を暗号化し、パスワード漏洩を防止することができる。

ただし、それらを用いても認証の部分のみを暗号化したものであって、その他のメールのヘッダや本文などの内容は平文のままである。このため、TLSを用いてすべてを暗号化することが推奨されている。

IPAの勧告 編集

APOPで暗号化された中身の解析については電気通信大学(情報理工学部・大学院情報理工学研究科)の太田和夫教授の研究グループが解析を成功させた[5][6][7]。この脆弱性はMD5ハッシュ方式をAPOPにおいて不適切に用いていることによるプロトコル(通信手順)上の問題であり、現時点で根本的な対策方法は存在しない。そのため、内容を漏洩させないためにはSTARTTLSPOP over SSL(ポート番号は995番)などを利用してSSLで通信し、ネットワーク経路を暗号化する必要がある。

なお、MD5そのものについても、アメリカ合衆国政府NIST(アメリカ国立標準技術研究所))及び日本のCRYPTREC(暗号技術評価プロジェクト)では推奨から外されており、その点でもAPOPの利用は勧められない。

暗号化 編集

Transport Layer Security (TLS)で暗号化して通信する方式として、POP3S (Implicit TLS)とSTARTTLSが規定されている。POP3Sではポート995番を用いる。

RFC 編集

  • RFC 5034 - The Post Office Protocol (POP3) Simple Authentication and Security Layer (SASL) Authentication Mechanism
  • RFC 3206 - SYS and AUTH POP Response Codes
  • RFC 2595 - Using TLS with IMAP, POP3 and ACAP
  • RFC 2449 - POP3 Extension Mechanism
  • RFC 2384 - POP URL Scheme
  • RFC 2195 - IMAP/POP AUTHorize Extension for Simple Challenge/Response
  • RFC 1957 - Some Observations on Implementations of POP3
  • RFC 1939 - Post Office Protocol - Version 3
  • RFC 1734 - POP3 AUTHentication command RFC 5034で改訂)
  • RFC 1725 - Post Office Protocol - Version 3 RFC 1939で改訂)
  • RFC 1460 - Post Office Protocol - Version 3 RFC 1725で改訂)
  • RFC 1225 - Post Office Protocol - Version 3 RFC 1460で改訂)
  • RFC 1081 - Post Office Protocol - Version 3 RFC 1225で改訂)
  • RFC 937 - POST OFFICE PROTOCOL - VERSION 2
  • RFC 918 - POST OFFICE PROTOCOL RFC 937で改訂)

脚注 編集

関連項目 編集