Post Office Protocol
Post Office Protocol(ポスト オフィス プロトコル、POP(ポップ[1][2][3][4]))は、電子メールで使われる通信プロトコル(通信規約)のひとつ。ユーザがメールサーバから自分のメールを取り出す時に使用する、メール受信用プロトコル。現在は、改良されたPOP3 (POP Version 3) (ポップスリー[1][2][3][4])が使用されている。
概要
編集電子メールは、いつ・誰から送られてくるか分からない。しかし、ユーザが自分のコンピュータを常にインターネットに接続してメールを受信できるように待機させておく必要はない。これは、インターネットサービスプロバイダ (ISP) や企業ネットワーク内にメールを配達・受信するためのメールサーバが設置されており、メールサーバが常にメールを受信できるように待機しているからである。メールサーバにメールが届いた後に、ユーザがメールサーバからメールを取り出して、自分のコンピュータに取り込めばよい。この時に使われるプロトコルがPOPである。この作業は、郵便局(メールサーバ)に届けられた手紙をユーザーが郵便局へ取りに行く作業に似ている。メールサーバにメールが届いているかどうかもPOPで確かめることができる。
POPのユーザ認証機能をメール送信時の送信者認証に使用することがあり、これをPOP before SMTPと言う。
通常使用するTCPポート番号は、POP2では109番、POP3では110番を使用する。
ユーザの認証方法
編集認証方法として、平文のUSER/PASS 認証が広く用いられているが、サーバ/クライアント双方が対応していれば、オプションコマンドである APOP(RFC 1460から追加)や拡張機能である SASLメカニズムを利用したAUTHコマンドなどを用いて認証を暗号化し、パスワード漏洩を防止することができる。
ただし、それらを用いても認証の部分のみを暗号化したものであって、その他のメールのヘッダや本文などの内容は平文のままである。このため、TLSを用いてすべてを暗号化することが推奨されている。
IPAの勧告
編集APOPで暗号化された中身の解析については電気通信大学(情報理工学部・大学院情報理工学研究科)の太田和夫教授の研究グループが解析を成功させた[5][6][7]。この脆弱性はMD5ハッシュ方式をAPOPにおいて不適切に用いていることによるプロトコル(通信手順)上の問題であり、現時点で根本的な対策方法は存在しない。そのため、内容を漏洩させないためにはSTARTTLSやPOP over SSL(ポート番号は995番)などを利用してSSLで通信し、ネットワーク経路を暗号化する必要がある。
なお、MD5そのものについても、アメリカ合衆国政府(NIST(アメリカ国立標準技術研究所))及び日本のCRYPTREC(暗号技術評価プロジェクト)では推奨から外されており、その点でもAPOPの利用は勧められない。
暗号化
編集Transport Layer Security (TLS)で暗号化して通信する方式として、POP3S (Implicit TLS)とSTARTTLSが規定されている。POP3Sではポート995番を用いる。
RFC
編集- RFC 5034 - The Post Office Protocol (POP3) Simple Authentication and Security Layer (SASL) Authentication Mechanism
- RFC 3206 - SYS and AUTH POP Response Codes
- RFC 2595 - Using TLS with IMAP, POP3 and ACAP
- RFC 2449 - POP3 Extension Mechanism
- RFC 2384 - POP URL Scheme
- RFC 2195 - IMAP/POP AUTHorize Extension for Simple Challenge/Response
- RFC 1957 - Some Observations on Implementations of POP3
- RFC 1939 - Post Office Protocol - Version 3
- RFC 1734 - POP3 AUTHentication command (RFC 5034で改訂)
- RFC 1725 - Post Office Protocol - Version 3 (RFC 1939で改訂)
- RFC 1460 - Post Office Protocol - Version 3 (RFC 1725で改訂)
- RFC 1225 - Post Office Protocol - Version 3 (RFC 1460で改訂)
- RFC 1081 - Post Office Protocol - Version 3 (RFC 1225で改訂)
- RFC 937 - POST OFFICE PROTOCOL - VERSION 2
- RFC 918 - POST OFFICE PROTOCOL (RFC 937で改訂)
脚注
編集- ^ a b “POP3(ぽっぷすりー)とは? 意味や使い方 - コトバンク”. コトバンク. 2023年8月20日閲覧。
- ^ a b “パソコン用語集 POP3”. 富士通. 2023年8月20日閲覧。
- ^ a b “メールアプリの登録で悩む「POP」と「IMAP」、両者の違いを改めて比較”. 日経XTECH. 2023年8月20日閲覧。
- ^ a b “ポップスリー”. イミダス. 2023年8月20日閲覧。
- ^ IPA:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について
- ^ 情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:脆弱性関連情報の調査結果 JVN#19445002 APOP におけるパスワード漏えいの脆弱性
- ^ “JVN#19445002:APOP におけるパスワード漏えいの脆弱性”. Japan Vulnerability Notes (2007年4月19日). 2018年6月15日閲覧。