- ベストアンサー
SMTP AUTHは脆弱性がありsmtpsが望ましいと聞いたのですが
どこのサイトで見たかわかりましたが、 表題のとおり、 SMTP AUTHは脆弱性がありsmtpsが望ましいと聞いたのですが、 現実問題どのくらい、というかどういった脆弱性があるのでしょうか? 以上、よろしくお願いいたします。
- daisuke_dm
- お礼率81% (595/727)
- Linux系OS
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
あまり詳しいわけじゃありませんので参考程度に… 結論から言えば、パスワードが漏洩する恐れがある、ということだと思います。 SMTP AUTH では PLAIN, LOGIN, CRAM-MD5, DIGEST-MD5 の認証方式が選択できるようですが、前2者は平文パスワードなので問題外です。 後2者はMD5ハッシュによるものですが、MD5のアルゴリズム自体に脆弱性が見つかっていて、同一ハッシュは割と簡単に作れるようです。(これが根本的な脆弱性) 上記MD5の脆弱性の具体例として、CRAM-MD5 と同様にMD5を使っており、かつ同様にチャレンジ&レスポンス方式の APOP においてですが、もとのパスワードを割り出せる、という研究結果があるようです。 DIGEST-MD5 についてはどんな方式か良くわからないのですが、MD5を使っている以上衝突は起こせるはずなのでやはりそう強くはないのだと思います。
その他の回答 (1)
- junkUser
- ベストアンサー率56% (218/384)
何を重視しているか次第です。 プロバイダが提供しているPOP3はパスワードが平文ですし、WebサーバにFTPでアップロードするときも同様です。 SMTPだけ強化する(or したい)目的は何でしょうか? SMTPSはメールを送信元からSMTPサーバまでを暗号化します。 (が、リレー先へは平文で転送されます。) SMTP Auth は、SMTPサーバがインターネット上にあり外部からメールのリレーを要求したい場合に、許可されたユーザーのみ転送できるようにするのが目的です。 つまり、SMTPSとSMTP Authは用途が異なります。 なお SMTPS + SMTP Authの組み合わせも可能だったはずです。
お礼
ご回答ありがとうございます。 >SMTPだけ強化する(or したい)目的は何でしょうか? 素朴な疑問からの質問だったのですが、 そういえば、自分、FTPのかわりにSCPにしているのに、POPはパスワード平分で受信していました。 >SMTPSはメールを送信元からSMTPサーバまでを暗号化します。 >(が、リレー先へは平文で転送されます。) 確かに・・・そうすると実質意味ないですね。 SMTPSとSMTP Authもごっちゃに考えていましたが、分かりました。 どうもありがとうございました。
お礼
ご回答ありがとうございます。なるほど、確かにMD5はぜい弱性が見つかっているときいたことがあるので、 そのせいなのですね。 その他の情報も参考になりました。どうもありがとうございました。