SMTP over SSL/TLS
SMTPSとは
SMTPS (SMTP over SSL/TLS)とは、安全に電子メールを送信する際に使用するプロトコルです。
SMTPS 自体は単体のプロトコルではなく SSL/TLS によって提供されるセキュア(安全)な接続の上でSMTP (Simple Mail Transfer Protocol)を行うことをSMTPSと呼んでいます。
電信メールの送信プロトコルである「SMTP」は、通信内容は暗号化されず平文のままメールが送信されます。そのため、盗聴すれば簡単に通信内容を見ることができてしまい、個人情報の漏洩に繋がる危険性があります。
そこで、SSL/TLS プロトコルを利用することで通信内容を暗号化することができ「盗聴」などの攻撃を防ぐことができます。
SMTPSの問題点
スポンサーリンク
メール送受信の流れ
電子メールの送受信は、電子メールの送信プロトコルである SMTP と、電子メールの受信プロトコルである POP(Post Office Protocol)または IMAP(Internet Message Access Protocol)というプロトコルが使用されています。
電子メールの送受信の流れは次の通りです。
送信者はメーラーと呼ばれるメールソフトやWebメールからメールを送信します。この時に使用するプロトコルのがSMTPです。送信したメールは、まず送信側のメールを管理しているメールサーバに送られます。
そして、受信側のメールを管理しているメールサーバへとメールを転送します。ここまででSMTPの役割は終了です。
あとは、受信者がメールサーバにPOP3を利用して受信者のメールを管理しているメールサーバにメールがないかの問い合わせを行います。(メールの問い合わせを行う際は「ユーザ名」と「パスワード」情報を送り認証を行う)
問い合わせの結果、メールがあればメールを受信することができます。
SMTPSは全ての通信の暗号化を保証する訳ではない
送信者のメールを管理しているメールサーバに、SMTPSを導入することで送信者と送信者のメールサーバ間の通信を暗号化することができます。
ただし、その先の通信経路は受信者のメールサーバが SMTPS、POP3S(もしくは IMAPS) に対応していないと暗号化されずにメールが平文で送信されてしまいます。
SMTPSは送信者の「なりすまし」には対応できない
SMTPSは、SSL/TLS によって提供されるセキュア(安全)な接続の上でSMTP (Simple Mail Transfer Protocol)を行うプロトコルです。
SSL/TLSは、SSLサーバ証明書があることで認証局がサーバ証明書を発行した信頼性が高いサーバという判断ができ「なりすまし」による攻撃を予防する効果が期待されています。
関連記事
SMTPSも、SSLサーバ証明書で信頼性が高いメールサーバという判断はできるも、送信者が信頼できる相手かまでは判断できません。
そこで、メール送信者が電子署名を作って送信する「S/MIME」という電子メールのセキュリティを向上する暗号化方式も存在します。
S/MIMEは主に銀行のようなセキュリティが重要なメールの送受信で採用されている方式です。
送信者が電子署名を作ってメールを送信することで、受信側は送信相手が正規な相手かを判断することができ「なりすまし」による攻撃を防ぐ効果が期待できます。
また、S/MIMEはSMTPSとは違い、受信者のメールサーバには依存せずにメール送信〜メール受信までの全ての通信を暗号化することができます。