Post Office Protocol

出典: フリー百科事典『ウィキペディア(Wikipedia)』
2013年12月19日 (木) 00:58時点におけるClaw of Slime (トーク)による版 (IPA:APOPの利用をやめ、SSLの利用を勧告(2007年4月))
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
移動先: 案内検索

テンプレート:Redirect テンプレート:Infobox Post Office Protocol(ポスト オフィス プロトコル、POP)は、電子メールで使われるプロトコル(通信規約)のひとつ。ユーザーがメールサーバから自分のメールを取り出す時に使用する、メール受信用プロトコル。現在は、改良されたPOP3 (POP Version 3) が使用されている。

概要

電子メールは、いつ・誰から送られてくるか分からない。しかし、ユーザーが自分のコンピュータを常にインターネットに接続してメールを受信できるように待機させておく必要はない。これは、インターネットサービスプロバイダ (ISP) や企業ネットワーク内にメールを配達・受信するためのメールサーバが設置されており、メールサーバが常にメールを受信できるように待機しているからである。メールサーバにメールが届いた後に、ユーザーがメールサーバからメールを取り出して、自分のコンピュータに取り込めばよい。この時に使われるプロトコルがPOPである。この作業は、郵便局(メールサーバ)に届けられた手紙をユーザーが郵便局へ取りに行く作業に似ている。メールサーバにメールが届いているかどうかもPOPで確かめることができる。

POPのユーザ認証機能をメール送信時の送信者認証に使用することがあり、これをPOP before SMTPと言う。

使用するTCPポート番号

通常、POP2では109番、POP3では110番を使用する。

ユーザーの認証方法

認証方法として、平文のUSER/PASS 認証が広く用いられているが、サーバ/クライアント双方が対応していれば、オプションコマンドである APOP(RFC 1460から追加)や拡張機能である SASLメカニズムを利用したAUTHコマンドなどを用いて認証を暗号化し、パスワード漏洩を防止することができる。ただし、それらを用いても認証の部分のみを暗号化したものであって、その他のメールのヘッダや本文などの内容は平文のままである。

IPA:APOPの利用をやめ、SSLの利用を勧告(2007年4月)

APOPで暗号化された中身の解析については電気通信大学の太田和夫教授の研究グループが解析を成功させた[1][2][3]。この脆弱性はMD5ハッシュ方式をAPOPにおいて不適切に用いていることによるプロトコル(通信手順)上の問題であり、現時点で根本的な対策方法は存在しない。そのため、内容を漏洩させないためにはSTARTTLSPOP over SSL(ポート番号は995番)などを利用してSSLで通信し、ネットワーク経路を暗号化する必要がある。

なおアメリカ政府(NIST(アメリカ国立標準技術研究所))及び日本のCRYPTREC(暗号技術評価プロジェクト)では、すでにMD5/APOPを推奨から外し、SHAの利用を求めている。

RFC

  • RFC 3206 - SYS and AUTH POP Response Codes
  • RFC 2595 - Using TLS with IMAP, POP3 and ACAP
  • RFC 2449 - POP3 Extension Mechanism
  • RFC 2384 - POP URL Scheme
  • RFC 2195 - IMAP/POP AUTHorize Extension for Simple Challenge/Response
  • RFC 1957 - Some Observations on Implementations of POP3
  • RFC 1939 - Post Office Protocol - Version 3
  • RFC 1734 - POP3 AUTHentication command
  • RFC 1725 - Post Office Protocol - Version 3 (RFC 1939で改訂)
  • RFC 1460 - Post Office Protocol - Version 3 (RFC 1725で改訂)
  • RFC 1225 - Post Office Protocol - Version 3 (RFC 1460で改訂)
  • RFC 1081 - Post Office Protocol - Version 3 (RFC 1225で改訂)
  • RFC 937 - POST OFFICE PROTOCOL - VERSION 2
  • RFC 918 - POST OFFICE PROTOCOL (RFC 937で改訂)

脚注

テンプレート:脚注ヘルプ テンプレート:Reflist

関連項目

  • IPA:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について
  • 情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:脆弱性関連情報の調査結果 JVN#19445002 APOP におけるパスワード漏えいの脆弱性
  • JVN#19445002: APOP におけるパスワード漏えいの脆弱性