かねみきのうふふ o(^-^)o

会員数が多そうな ISP，友人・知人が入っているとわかっている ISP のメールサービスっていったいどの程度のサービスを行っているんだろう？と思ったのです．もちろんきっかけは IPA が公表した「APOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について」，つまり「メールのパスワードが解読され，漏えいしてしまう可能性がある」という記事です．[ 技術解説はこちら ]

用語のおさらい

• プロトコル　インターネットなど，ネットワークで情報をやりとりするときの約束事をまとめたもの．このページでは「通信方法」と考えてもらって大丈夫．
• APOP　メールを受信するときに使うプロトコル．メール用パスワードだけが暗号化され，本文などは暗号化されていない．
• POP　APOPの元になっているプロトコル．パスワードも本文も，すべて暗号化されていない．
• POP over SSL　メールの受信用プロトロルである「POP」を，パスワードも本文もすべて暗号化してやりとりする．

結果

各プロバイダで，次の 3 項目についてわかる範囲で調査．この項目は，下に行くほどセキュリティが高くなる．なお，POP はすべてのサービスで対応しているので表からは割愛．

1. POP　メール用パスワード，本文とも「暗号化ナシ」
2. APOP　本文「暗号化ナシ」，メール用パスワード「暗号化あり」，ただしパスワードが解読される可能性アリ
3. POP over SSL　本文，パスワードとも「暗号化あり」

...APOP にも対応していないのは，正直終わっているような気もします．

対応策

もっと良い方法があったら，教えてください．

ぷららの場合

セキュアメールオプションに加入する．
POP over SSL で受信するのに必要な設定を行う

APOP に対応しているが，POP over SSL は未対応

メール用パスワードを変更する．
メールの受信には APOP を使う　→下記，注意参照
絶対に「他でも使っているパスワードを流用しない」を守る

POP しか利用できない

メール用パスワードを変更する．
次に，APOP，POP over SSL が利用できるメールアドレスに転送する．
POP しか対応していないメールサーバからはメールを受信しない

（注意）　Windows 2000/XP 標準の Outlook Express，Vista 標準の Windows Mail は APOP に非対応です．

余談

POP over SSL と似ているものとして...まちがっても，「POP over オレオレ証明書 SSL」を使ってはいけません．「POP over オレオレ証明書 SSL」は APOP 以上にタチが悪いので．

某ブログに「APOP なんて使っている人いません．だから，そんな注意は意味がない．」というような文面あったので，「お，意識の高い人だ」と思い読み進めたところ，そのすぐあとに「ふつうの人は POP しか使いません．」と書かれていました．頼むから，ウソであってほしい...