- ベストアンサー
SMTP AUTHは脆弱性がありsmtpsが望ましいと聞いたのですが
どこのサイトで見たかわかりましたが、 表題のとおり、 SMTP AUTHは脆弱性がありsmtpsが望ましいと聞いたのですが、 現実問題どのくらい、というかどういった脆弱性があるのでしょうか? 以上、よろしくお願いいたします。
- daisuke_dm
- お礼率81% (595/727)
- Linux系OS
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
あまり詳しいわけじゃありませんので参考程度に… 結論から言えば、パスワードが漏洩する恐れがある、ということだと思います。 SMTP AUTH では PLAIN, LOGIN, CRAM-MD5, DIGEST-MD5 の認証方式が選択できるようですが、前2者は平文パスワードなので問題外です。 後2者はMD5ハッシュによるものですが、MD5のアルゴリズム自体に脆弱性が見つかっていて、同一ハッシュは割と簡単に作れるようです。(これが根本的な脆弱性) 上記MD5の脆弱性の具体例として、CRAM-MD5 と同様にMD5を使っており、かつ同様にチャレンジ&レスポンス方式の APOP においてですが、もとのパスワードを割り出せる、という研究結果があるようです。 DIGEST-MD5 についてはどんな方式か良くわからないのですが、MD5を使っている以上衝突は起こせるはずなのでやはりそう強くはないのだと思います。
その他の回答 (1)
- junkUser
- ベストアンサー率56% (218/384)
何を重視しているか次第です。 プロバイダが提供しているPOP3はパスワードが平文ですし、WebサーバにFTPでアップロードするときも同様です。 SMTPだけ強化する(or したい)目的は何でしょうか? SMTPSはメールを送信元からSMTPサーバまでを暗号化します。 (が、リレー先へは平文で転送されます。) SMTP Auth は、SMTPサーバがインターネット上にあり外部からメールのリレーを要求したい場合に、許可されたユーザーのみ転送できるようにするのが目的です。 つまり、SMTPSとSMTP Authは用途が異なります。 なお SMTPS + SMTP Authの組み合わせも可能だったはずです。
お礼
ご回答ありがとうございます。 >SMTPだけ強化する(or したい)目的は何でしょうか? 素朴な疑問からの質問だったのですが、 そういえば、自分、FTPのかわりにSCPにしているのに、POPはパスワード平分で受信していました。 >SMTPSはメールを送信元からSMTPサーバまでを暗号化します。 >(が、リレー先へは平文で転送されます。) 確かに・・・そうすると実質意味ないですね。 SMTPSとSMTP Authもごっちゃに考えていましたが、分かりました。 どうもありがとうございました。
関連するQ&A
- smtp-authって安全なんですか?
タイトル通りですが、smtp-authというのは安全なんでしょうか? 要約すると、smtp-authもパスワードはapopのように暗号化されて送信されるのでしょうか? pop before smtpの場合、popのパスワードが平文ですよね?だから危険な気はします。。。 apop before smtpなら暗号したパスワードだから安全になる?もしそうならsmtp-authとどちらが安全なんでしょうか? 分かりにくい質問かもしれませんがよろしくお願いします。
- ベストアンサー
- その他(メールサービス・ソフト)
- PerlでSMTP-AUTH認証をする
現在、さくらのレンタルサーバにてperlスクリプトを稼動しています。 今回、さくらのレンタルサーバのメール認証がPOP before SMTPからSMTP認証(SMTP-AUTH)に変更になりましたので、perlスクリプト内で自動メール送信させるのにNet::SMTP::TLSモジュールを利用することにしました。そこで (1)SMTPサーバー名、ポート番号、ユーザー名、パスワードを設定する (2)宛先などの必要な設定をする (3)メール内容を設定する (4)メールヘッダを設定する (5)メールを送信する という流れで現在perlスクリプトを以下のように記述しました。 #!/usr/bin/perl use CGI::Carp qw(fatalsToBrowser); use Net::SMTP::TLS; use Authen::SASL; my $smtp = Net::SMTP::TLS->new($mailhost, Port => $mailport, User => $mail_username, Password => $mail_password ); $smtp->mail($from_mail); $smtp->to($tomail); $smtp->data(); $smtp->datasend($header); $smtp->datasend($message); $smtp->dataend(); $smtp->quit; 変数の値は割愛していますが、 上記のスクリプトは、POP before SMTPの時は問題なくメール送信できたのですが、サーバのメール認証がSMTP認証(SMTP-AUTH)に変更になってからは以下のようなエラーが出ます。 invalid SSL_version specified at /usr/local/perl/5.8/lib/perl5/site_perl/5.8/IO/Socket/SSL.pm line 418 何か間違いであるとか、他に必要な設定がありますでしょうか? 宜しくご教授お願いいたします。
- ベストアンサー
- Perl
- Becky! でのSMTP-AUTH設定の仕方(送信ができない)
以前、Yahooにてインターネット接続をして、YahooメールをBecky!で取り込んで使用していました。 転居に伴い、Yahooの回線がとれず、ケーブルテレビの回線を使用することになりました。 メールの環境をそのまま使いたいため、設定しましたが、送信ができません。 まず、ケーブルテレビに問い合わせたところ、 ・サーバーのポート番号 「SMTP」を25→587に変更 ・SMTP認証にチェックをつける 以上のみ指示がありましたので、変更しましたが、送信不可です。 今度は、Yahooに問い合わせましたが、HPによるSMTP-AUTHの設定方法を案内されたのみ(Outlookの設定方法のみ載っている)で、どうしていいかわかりません。 Becky!の使い方を調べたのですが、SMTP認証の方法は各プロバイダなどに問い合わせて下さい、とのこと。 以上の回答を得て、どうしようもなくなっています。 SMTP-AUTHの設定方法など、どうしたら送信ができるようになるのか、どなたか教えてください。 よろしくお願いします。
- ベストアンサー
- その他(メールサービス・ソフト)
- サンダーバード1.5で、POP BEFORE SMTPの設定が見あたらないのですが…?
表題の通りなのですが、 サンダーバード1.5で、POP BEFORE SMTPの設定が見あたりません。 いったいどこで設定すればいいのでしょうか? 以上、よろしくお願いいたします。
- ベストアンサー
- その他(メールサービス・ソフト)
- PHPの脆弱性ってどうなったんでしょうか?
PHPの脆弱性ってどうなったんでしょうか? 初心者でもとっつきやすいと聞いたのでPHPを勉強しようと思っています。 ところがウィキベディアを読んでみると、PHPには重大な脆弱性があるとのことでした。 でも、最近はPHPを使ってサイトを作ってるところが多いですよね(OKWaveもそうですよね)。 多くの企業のサイトなどが使用しているということは、この脆弱性は解決されていると見て良いのでしょうか? それとも脆弱性とは単なるプログラムの書き方の問題で、システムに問題があるというより自由度が高いので危ないものも作れるということでしょうか? 何に気をつけたら良いのでしょう? よろしくお願いします。
- ベストアンサー
- PHP
- BASP21メール送信(SMTP-AUTH認証)ASP
ご存知の方、宜しくお願いします。 あるプロバイダのメールサーバへBASP21を使用してメールの送信を 行いたいのですが、以下のエラーMSGが表示されて できません。 「エラー530 Sorry,Please use SMTP-AUTH instead」 outlook Expressだと問題なく送信できます。 outlook Expressの設定は ・送信メールサーバ このサーバは認証が必要・・・にチェック 受信メールサーバと同じ設定を使用する SMTPポートは「587」 BASPでは、 MailServer="xxxx.co.jp:587 mailfrom="user1:pass1" と設定しています。 詳しい方、宜しくお願いします。
- ベストアンサー
- Microsoft ASP
- Thunder birdで画像のようなエラーは?
Thunder birdで送信サーバについて、画像のようなエラーが出ます。 送信サーバのセキュリティには、認証(SMTP-Auth等)と、暗号化(SMTPS等)の2つがあると認識しているのですが、これはどちらについての警告でしょうか?
- ベストアンサー
- その他(メールサービス・ソフト)
- pop-before-smtpの設定
OS:FedoraCore5、Smtp:Postfix、Pop:dovecotでサーバーを構築しています。dovecotではsmtp-Authでの認証設定は問題なく設定できました。現状、pop-before-smtpを使用している事もあり、pbsの設定をしたいのですが、雑誌、書籍に載っていません。Postfix、dovecot、pop-before-smtpともインストール済です。Postfixのmain.cf、dovecot.conf、pop-before-smtp.plの設定を教えてください。よろしくお願いします。
- 締切済み
- ハードウェア・サーバー
- Net::SMTPでメールを送信したいが、サーバーに接続できない
メールフォームからメールを送信することについて、 FENICSメール(富士通株式会社)でNet::SMTPを使用してメールを送信しようと考えています。 お問い合せでNet::SMTPでメールを送信する場合、smtp authの認証が必要だとわかりまして、下記のサイトを参考にして組みましたが、 メールが送信されませんでした。 http://d.hatena.ne.jp/yoshifumi1975/20060831/1156975960 色々と調べてみた結果、最初の $smtp = Net::SMTP->new('SMTPサーバ', Hello=>"SMTPサーバ"); の文で$smtpに値がなく、サーバーに接続できてませんでした。 参考サイト)http://tech.bayashi.net/pdmemo/sendmailbyperl.html でも、smtp情報はメーラーで問題なく設置できましたので、 サーバー情報、認証には間違いはないと考えられます。 Net::SMTPは使えているのにどうしてsmtpサーバーに接続できないのか わからずにいます。 初歩的で恐縮ですが、ご回答お待ちしております。 よろしくお願いします。
- 締切済み
- Perl
お礼
ご回答ありがとうございます。なるほど、確かにMD5はぜい弱性が見つかっているときいたことがあるので、 そのせいなのですね。 その他の情報も参考になりました。どうもありがとうございました。