メール暗号化技術「SMTPS」と「S/MIME」の違い
SMTP over SSL/TLSとは
SMTPS(SMTP over SSL/TLS)とは、メール送信者と送信者のメールを管理しているメールサーバ間の通信を暗号化する際に使用するプロトコルです。
SMTPS 自体は単体のプロトコルではなく SSL/TLS によって提供されるセキュア(安全)な接続の上でSMTP (Simple Mail Transfer Protocol)を行うことをSMTPSと呼んでいます。
上記図はSMTPS のイメージ図です。
送信者は平文のメールを「暗号化」してメールサーバにメールを送信します。そして「暗号化」されたメールを受信したメールサーバは復号することで、平文のメールを受け取ります。
しかし、SMTPSはあくまでも送信者とメールサーバ間の通信を暗号化するだけです。その先の通信経路は受信者のメールサーバが SMTPS、POP3S(もしくは IMAPS) に対応していないと暗号化されずにメールが平文で送信されてしまいます。
上記図は、SMTPSを利用した際のメール送受信のイメージ図です。送信側のメールサーバはSMTPSに対応しているが、受信側のメールサーバはSMTPS、POP3Sには対応していない場合の例です。
このように、受信側のメールサーバが暗号化に対応していなければ、暗号化されずにメールが平文で送信されてしまうのです。
メール送受信は次のような流れで行われます。
- 送信者がメールを送信。
- 送信者のメールを管理しているメールサーバにメールが送られる。(SMTP)
- 受信者のメールを管理しているメールサーバにメールが転送される。(SMTP)
- 受信者はメールサーバにメールが届いていないか問い合わせを行い受信する。(POP3もしくはIMAP)
スポンサーリンク
S/MIMEとは
S/MIME(Secure / Multipurpose Internet Mail Extensions)とは、メール送信者とメール受信者間の通信を暗号化する手法です。
主に銀行のような機関でのメールの送受信で採用されています。
SMTPSでは、送信側のメールサーバと受信側のメールサーバの両方が暗号化に対応する必要がありました。しかし、S/MIMEでは送信者と受信者間で「共通の鍵」を使い暗号化することでメールサーバの設定にとらわれず、メール送信から受信までの通信を暗号化できます。
上記図は、S/MIMEのイメージ図です。(送信者が銀行で受信者が利用者)
送信者は平文のメールを「暗号化」して受信者にメールを送信します。そして「暗号化」されたメールを受信した受信者は復号することで、平文のメールを受け取ります。(送信者と受信者のメールサーバでは復号せず暗号化されたメールのまま転送する)
また、S/MIMEではメールに電子署名を付与します。電子署名とは送信者の身元を証明するための証明書です。
電子署名があることで「なりすまし」によるフィッシング詐欺を予防する効果が期待できます。またメールの「改ざん」を防ぐことができます。
上記図は「なりすまし」によるフィッシング詐欺のイメージ図です。
「なりすまし」とは本家になりすまして、偽メールを送り偽サイトに誘導し個人情報などを盗み取ったり、盗んだ情報を悪用するなどの行為ことをいいます。
S/MIMEを利用することで、電子署名により送信元の確認をすることができ「なりすまし」による偽メールなのかを判断できます。