このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

POP before SMTPのセキュリティーホール?

発言者:今泉克美
( Date Monday, April 23, 2001 09:34:38 )


別スレッドで
POP before SMTPは
セキュリティーホールの種みたいな御発言が
ありました。
参考リソースを御教えくださいませ。


今泉克美 さんからのコメント
( Monday, April 23, 2001 09:36:29 )

今、職場の全クライアントの
メールソフトを、ベッキーに
変えようとしていました。
(POP before SMTPのために)
冷や汗。

今井真人 さんからのコメント
( Monday, April 23, 2001 16:25:13 )

参考リンクは無かったと思います。

POP before SMTPはその名の通り、メール送信の直前にPOP認証をした
場合のみSMTPを通過させる方法です。一見、SMTPサーバをクラッ
カーから隠せる気がします。

しかし、ユーザがメール受信した直後を狙われたり、POP認証した
IPアドレスのフィルタが完全でなかったりとかでセキュリティ
ホールになる可能性があるわけです。

たまちゃん さんからのコメント
( Monday, April 23, 2001 19:43:17 )

日本の某社。アドレス不足のため,NAT でアドレスを共有。

昼休みにAさんが契約しているプロバイダB(POP before SMTP 採
用)にメールを読みに行き,Bのサーバを使って返事を出す。

それを横で見ていたインターネットに詳しいCさん(Bのユーザで
はない)は自分のPCでBのサーバを使っていたずらメールをDさ
んに出した。

今井真人 さんからのコメント
( Tuesday, April 24, 2001 00:09:28 )

> NAT でアドレスを共有

NATしていると外部のSMTPサーバにはNATしているルータのIPアドレスしか
チェックできませんので、いたずらされる可能性が高いですね。

今泉克美 さんからのコメント
( Tuesday, April 24, 2001 09:43:00 )

今井様、たまちゃん様、いつもご教示ありがとうございます。
>ユーザがメール受信した直後を狙われたり、
>POP認証したIPアドレスのフィルタが完全でなかったりと
これ、外部からですね?

>自分のPCでBのサーバを使っていたずらメールをDさんに出した。
なるほど。わかりやすい説明です。ありがとうございます。

POPしてからの有効時間が短ければ(たとえば1分とか)
実質的には、上の問題にかぎりOKそうですね。
(ほかにもあるかもしれませんが)
NATを使う場合、、、、運用に気をつけなくては。

ここより愚痴。
SMTP AUTH がしっかりしていれば大丈夫なのでしょうが
まだまだそういうサービスの有効性が商用レンタルサーバで
認知されていないのではという気がします。
一方、POP before SMTP をサービスしているホスティング屋さんは
これだけでSPAMはOK!みたいな言い方をしています。
使えるクライアント側のメールソフトにベッキーは大丈夫か?
と聞いたら、「なにそれ?」と聞かれました。そういうサーバ屋さんは
お客様の困りそうなことを事前に真剣に検討してないものとみなして
います。(WinのOutlookでも大丈夫みたいなことまで
言います。そりゃ、受信操作してから送信操作すりゃいいんだけど
そんなことまで普通の人、しますかね?)


今泉克美 さんからのコメント
( Tuesday, April 24, 2001 15:38:36 )

Winクライアントにおける
メーラの
各種機能の実装状況がかいてあるページを
みつけました。

MUAs for Windows
http://www.emaillab.org/win-mailer/

実はそればかりではなくて
index.htmlから色々と
サーバ関連でもつっこんだお話しが
のっていて、相当に面白かったです。



→  MUAs for Windows

たまちゃん さんからのコメント
( Tuesday, April 24, 2001 15:59:00 )

> http://www.emaillab.org/win-mailer/

作者の滝澤さんとの私信で,Windows のメールソフトでは主要なも
のはほぼ SMTP 認証に対応したということを確認しました。

Sendmail にしろ qmail にしろ Postfix にしろすべて SMTP 認証に
対応することが出来ますから,後は設定するかどうかの問題でしょう。

「まだまだ SMTP 認証対応のメールソフトが少ないから」というのは
言い訳にしかすぎません。

今泉克美 さんからのコメント
( Tuesday, April 24, 2001 19:25:16 )

sendmailでもできるよ、、というわけで
見つけたリソースを懇意にしている企業に
渡しました。ありがとうございます>たまちゃん様

今井真人 さんからのコメント
( Tuesday, April 24, 2001 22:49:35 )

 確かにメールサーバを貸しているような業者で、SMTP認証してます
から安全ですというページを見たことが無いよなぁ。

 大規模なプロバイダでさえ、SMTP認証しているところを聞いたことが
ない。

 メールソフトの設定がややこしくなるので、サポートが大変になるん
で敬遠してるんだろうか?

 プロバイダの場合、イタズラしたら解約するいう強硬手段が使えるん
で、セキュリティに多少穴があってもいいと思っているのかな。

たまちゃん さんからのコメント
( Wednesday, April 25, 2001 21:10:26 )

今井さんに対してではなく,プロバイダに対して言っているという
ことで。

> 大規模なプロバイダでさえ、SMTP認証しているところを聞いたことが
>ない。

大規模なプロバイダ「だから」していない。ひょっとして,SMTP
認証のことは知らない。知ってはいても,他のどのプロバイダも
やっていない。他のプロバイダがすなる POP before SMTP を自分
のところでもやっておけばよい(横並び)。

という感じでしょうか。

>セキュリティに多少穴があっても

という認識は皆無ではないでしょうか。

今泉克美 さんからのコメント
( Wednesday, April 25, 2001 22:42:17 )

ひるがえってサーバ屋さんのための弁護。
本日、いろいろとうかがったところ、
判明したこと。

SMTP AUTH のほうが、一見、
クライアント側のメールソフトを選ばない分
(つまり、POP BEFORE SMTP を大手メーラが実装してない分)
間口が広くて、顧客に受け入れやすいことは
サーバ屋さんとしても、つくづくわかっているとのこと。
したがって、SMTP AUTHをしたいのはヤマヤマなのだということ。

「じゃぁ、なぜしないの?」と、単純に私。

「いやー、実はですねぇ、クライアント側のSMTP AUTH の
実装方式に方言があってですね、暗号化、平文化の方式に
微妙なズレがあるんですよ。同じ5MDでもね。したがってですね、
お客様のように、サーバ一台まるごとお借り頂くときには
【すべてのメールソフトを同じ商品の同じバージョンに】
していただくことでことなきを得るんですが、していただけます?」

   ゲゲゲ ♪

ってことは、クライアントのメールソフトを統一できない
場合には、SMTP認証って、難しいってことじゃぁないですか。

サーバ側のSMTP認証が、多くのメールソフト対応になるように
たくみな解析を行って頂いてですね、
エイジングがすむまで、まだまだ時間がかかるのでしょうか。

ちょっとした弁護になっているかしら?

今泉克美 さんからのコメント
( Wednesday, April 25, 2001 22:45:42 )

上のお話しは
懇意にしているところの
SENDMAILの技術スタッフさんから聞いたのです。
「とっくに研究はじめていますよ!」とは
いわれなかったけれど、
SENDMAIL関連のリソース渡したのは失敗だったし
イヤミでした。いやー、困った困った。

たまちゃん さんからのコメント
( Wednesday, April 25, 2001 23:13:25 )

>「いやー、実はですねぇ、クライアント側のSMTP AUTH の
>実装方式に方言があってですね、暗号化、平文化の方式に
>微妙なズレがあるんですよ。同じ5MDでもね。

テストをきちんとしていないということを白状したようなもので
すね。

Sendmail 8.10 の初期のパージョンでは SMTP 認証での問題を抱え
ていたので,ひょっとしたらこの時点での話をしているのかもしれ
ません。

また 8.9.3 時代までと書式がかなり異なっているので,簡単にアッ
プグレード出来ないという事情もあるのかもしれません(SMTP 認証
どころか,大手のプロバイダは 8.9.x を使っていると思います)。

sendmail.org をみたら 8.12.0 のベータが始まっていました。

たまちゃん さんからのコメント
( Wednesday, April 25, 2001 23:16:45 )

>サーバ側のSMTP認証が、多くのメールソフト対応になるように
>たくみな解析を行って

きちんとサーバ側が実装していれば,問題は生じないはずです。少
なくとも EIMS 3.0.x では(私もできる限り多くのソフトで試しま
したが)問題は生じていません。問題が生じたのは,クライアント
側での実装がきちんとしていない場合でした。

今井真人 さんからのコメント
( Thursday, April 26, 2001 07:27:19 )

私を含めてなのですが、一度サービスを始めてしまったサーバを入れ
替えるのは相当な元気が必要です。特にSMTP認証というややこしい
ものをユーザに納得させ、実際に使わせるまでサポートするのは、私
のところでも問題になっています。

今まで自宅からも使えてたものが、メールソフトをSMTP認証するも
のに変更した上で、そのややこしい設定まで変更しなければダメなん
ですから。ついでにメールデータの引き継ぎまでやるとなると、ユー
ザ数が多ければ多いほど、運用が困難になります。

実際に今年3月からSMTP認証のみ通過しにしてから私がどれほどユー
ザサポートをしたか考えてみると、大手プロバイダなら躊躇するだろ
うな。

今井真人 さんからのコメント
( Thursday, April 26, 2001 07:31:33 )

構内では、SMTP認証を外している関係でSMTP認証対応でない
メールソフトがクライアントで流行っています。

そのパソコンを構外に持って出て使おうとした場合、すぐ問題
になります。

口を酸っぱくしてSMTP認証をサポートするメールソフトに換
えてというんだけど、「馬の耳に念仏」状態です。

今井真人 さんからのコメント
( Thursday, April 26, 2001 07:38:08 )

メールソフトに本当に必要なSMTP認証が最近までサポートされ
なかったという原因がまずあった。そして電子メールに依存して
いるユーザが異常に増えた。

電子メールユーザから見ると一見使いにくくなってしまうSMTP
認証が無視されてしまうという感じかな。

私の家族でさえ、なんで「SMTP認証?」しないといけないの?
今使っているメールソフトじゃダメなの?って聞くので延々と
説明して嫌になった経験があります。

いまいずみかつみ さんからのコメント
( Thursday, April 26, 2001 13:08:54 )

いやー、勉強になります。>たまちゃん様、今井様、

EIMSって最強ですね。

今泉克美 さんからのコメント
( Friday, April 27, 2001 09:35:31 )

たまちゃんさん、、て本当によく
検証されているのですね、その行動力に
脱帽です。いろいろありがとうございました。
しっかりした情報が得られるのが
このサイトの楽しみです。

たまちゃん さんからのコメント
( Friday, April 27, 2001 13:03:02 )

蛇足です。(^_^;;

SMTP 認証ですが,これをサーバ側で設定するとユーザはすべて
SMTP 認証で送信を行わないといけないという理解の方もおられ
ると思いますが,違います。

EIMS であれば 2nd option でメールリレーを定義し,Require
secure のところをチェックせずにおくと,定義された IP アドレ
スからはそのままメール送信ができ,定義外のアドレス,例えば
他のプロバイダ経由の場合などは,SMTP 認証で送信することが
できます。APOP 認証の場合と同様に,内と外で設定を変える必要
がありません。

kozka さんからのコメント
( Wednesday, May 16, 2001 11:02:39 )

Require secure のチェックはクライアントのメーラーによって変えなく
てはいけないのが面倒でややこしいのという点でも、各ユーザーの設定
ではチェックをはずしておいて、メールリレーのIP範囲の制限を超えて
くるユーザーにはSMTP認証が必要になるという設定が管理しやすいかと
思うのですが、そういう理解で良いでしょうか?

今泉克美 さんからのコメント
( Wednesday, May 16, 2001 11:52:59 )

ちょっと話題の流れと違いますが。

弊社で現在企画している内容です。
コバルト社の専用サーバにて
GUIレベルでSENDMAILを運用できるソフトを
搭載します。
GUIがSENDMAILの進化のスピードにおいついて
いないため、
当面は、SMTP AUTH を断念し
POP before SMTP を採用します。

なお、サーバはホステイングします。
完全無停電で、鍵がかかっている
空調完備の専用サーバ室に設置。
何重にもセキュリティーのかかっている
ところで管理してもらいます。

サーバと弊社のLANとは
フレッツADSLで結びます。
固定IP接続オプションをつけます。

この固定IPからの接続ならば
POP before SMTPを採用せず
これ以外のIPからは
POP before SMTPを要求します。

たとえば、弊社の本社事業体以外の
営業所、店舗からの、IPがころころ変わる
ISDN接続ではPOP before SMTP認証を
させてからのメール送信の許可となります。

各店舗ではWindowsクライアントがありますが
MUAとしては、POP before SMTPが出来、
将来的には SMTPAUTH が可能な
BECKY!というシェアウェアを使います。(@4300円)
本社LAN内では、従来どおり、何でも可です。
各メーラの設定を特に気にすることはないでしょう。
(社内からのイタズラはないものと考えています)

あくまで暫定ですが
将来、SMTP AUTHを使うときがきたら
MUAは統一したいと考えています。
OUTLOOK EXPRESS で大丈夫かしらん?
うわさですが、RFCを満たしてないとのこと。
SENDMAILにあてるパッチが出ているようです。


たまちゃん さんからのコメント
( Wednesday, May 16, 2001 12:22:47 )

>そういう理解で良いでしょうか?

はい,それでいいと思います。私はそれで運用しています。

kozka さんからのコメント
( Thursday, May 17, 2001 10:45:59 )

たまちゃんさん、ありがとうございます。
私もそのように運用しようと思います。

今泉克美 さんからのコメント
( Friday, May 18, 2001 15:23:51 )

今回、メーラの選定に
以下のページを参考にしました。

POP BEFORE SMTP 関連について、メーラの設定方法が
のっていました(WINDOWS用)

http://www.magma.ad.jp/service/pbs/index.html


たまちゃん さんからのコメント
( Thursday, July 12, 2001 21:15:03 )

EIMS の Glenn さんの紹介で下のようなソフトがあることが
分かりました。

→  Baton Mail

たまちゃん さんからのコメント
( Monday, January 21, 2002 22:32:01 )

> Baton Mail

SMTP 認証に対応していないメールソフトを対応させるための道具
として上の Baton Mail というのが Macintosh 用にありますが,
同様の働きをする Windows 用のソフトとして,綾の明さんの SMTP
AUTH Proxy Blueberry AUTH があります(私は使用したことがあり
ません)。

#何か怪しそうな奴が一杯あるなあ。

→  akira