かねみきのうふふ o(^-^)o

これまでは XREA.COM で借りているサーバで運用してきました．しかし，XREA.COM で提供されるメールサービスには，いくつかの問題がありました．

• WEB サービスが主体で，メールサービスはあくまでも「おまけ」という位置づけのため，リスクがある
• APOP，POP3 over SSL に対応しているが，APOP は脆弱性が指摘されているし，POP3 over SSL は証明書の検証を無視ししないとエラーになる

"Perl，Ruby，Python，PHP や SSI に対応するフル装備の WEB サーバで，しかも共用サーバ．激しい使い方をするユーザと共有になっているようなことはなさそうだが，外部公開用のサーバで，WEB とメールのサービスが同居するのはできれば避けたい．"...これが本音であることは言うまでもありません．

APOP の問題，オレオレ証明書による POP3 over SSL の問題

XREA.COM のメールサーバは，受信に関しては APOP，オレオレ証明書による POP3 over SSL と，IMAP4 over SSL に対応しています．

さて，先日の IPA のアナウンスにあった APOP の脆弱性 は，わたしに（メール環境に対する）「現状ではダメだよ」という強い警告になりました．IPA では，ウェブメールや POP3 over SSL への移行を推奨しています．しかし「ウェブメールではイヤだ！」というわたしのようなワガママ人間は，POP3 over SSL を使う必要が生じます．しかし，ただ単純に「POP3 over SSL に対応していればよい」というのではないのです．高木浩光先生の書かれた記事や，高木先生の記事を読んだ wakatono さんが指摘しているように，証明書の検証を行わない POP3 over オレオレ SSL には何の意味もないどころか，キケンなだけなのです...．「証明書の検証を行わない」ということは，メールを受信しようと思って接続しているサーバが乗っ取られていても，気にしないですー！と言っているようなものだからです（これでは，いくら通信経路を暗号化したって，何の意味もありません）．

わたしが SMTP/POP3/IMAP4 over SSL でアクセスするときに使うのは「nPOP」と，stunnel 経由の「WeMail32」のふたつ．nPOP は SMTP/POP3 over SSL に対応しているし，証明書の検証も行ってくれるので問題はありませんでした．しかし，stunnel は...実は証明書の検証をしていなかったのです．それは，XREA.COM の SMTP/IMAP4 over SSL は，証明書の検証ができないから，というだめな理由だったのですが...

しかし，ここまでの悪状況が揃えば，何らかの対策を取らざるを得ません．というわけで，kanemiki.net のメールを，XREA.COM から Google アプリ独自ドメインへの移転を決意しました（注：Google アプリ独自ドメインでは，証明書の検証をきちんと行ってメールの送受信を行うことが出来ます）．これは昨晩のうちに，すんなり完了．そして...次は，stunnel で証明書の検証を行う設定です．

stunnel で証明書の検証を行いつつ...

当然ですが，そこそこの作業は必要になりましたので 作業内容をまとめてみました ．

この作業で，いちばん大変だったのは（実は）証明書探しだったりします．日々之日記: [freebsd] fetchmailでSSL使用時の証明書の検証 という記事を見つけたときのうれしさといったら．しかも，まだ投稿されたばかりではないですかっ！ あぁ，こんなこと書いていると，openssl コマンドをまったくわかってないことがバレバレなんですが．かといって，POP3 に縁のないだんなさんに聞くのもなんだしーとか思って，自力で頑張ってみました．

で，設定に関しては @IT の記事 が参考になりました．日々之日記と @IT の記事があれば，stunnel でウニョウニョやりたいと思うような人であれば，設定できるはずです．

いずれにしても，Windows で動作する使い慣れた MUA（メールソフト，メールクライアント）が SSL 通信に対応していない場合でも，まだまだ延命できるのは非常に嬉しいことです．もちろん，こんなことをしなくても，MUA そのものに実装された方がありがたいのはわかっているのですが...

それにしても，高木先生のこの記事には本当に感謝だ．東京インターネットのメール移行先の決意を固めさせてくださっただけでなく，kanemiki.net ドメインのメールまで変えさせてしまったのだから！