以下は、Windowsメールのセキュリティ設定に関する画面である。図中の①、②はどのプロトコルと関係するか、下の選択肢からそれぞれ1つずつ選びなさい。
a. SMTPS b. SMTP Auth c. POPS
d. APOP e. POP before SMTP f. IMAP
「この問題も6月の模擬試験で誤回答が多かった問題だよ。」
「メールのセキュリティの問題だね。」
「メールのプロトコルって、SMTPやPOPでしょ?選択肢にはこの2つが無いけどなんでだろ?」
「メールの送受信に使われているSMTP(送信)やPOP(受信)には基本的にセキュリティに関する機能を備えていないんだよ。」
「えっ?そうだったの?あぶな~い!」
「うん、送信時のなりすましや受信の際のパスワードといった認証情報の盗聴など、色んな危険性が問題視されるようになったから、SMTPやPOPではなく、セキュリティ機能を備えたメールのプロトコルを各ISPが利用するようになったんだよ。」
「そうか、安全にメールをやりとりしたいもんね。しょうがないよね。」
「その通り!」
「では、まず①の状況を確認してみようか?」
「送信メールサーバの設定箇所だよね。」
「このサーバは認証が必要・・・あれ?送信の際に使うプロトコルってSMTPだよね?」
「以前はね。」
「SMTPって、送信時に認証しないでメールが転送できる仕組みじゃなかったっけ?」
「良く覚えていたね。その通りだよ。だけど、その認証を行わないという点がなりすましのリスクを高めるから、最近では送信時でも認証をするのが、一般的なんだ。」
「へぇ~そうなんだ。」
「『認証』という言葉に着目しようか。」
「この『認証』っていう言葉を英語に直すと『Authentication』になるんだよ。」
「『Authentication』って長いね。カミカミになっちゃうよ。」
「だから、インターネットの世界では、『認証』を意味する言葉の省略形として『Auth』という言葉を使うんだよ。」
「だったら、①の正解は『b.』になるね!」
「そっ、意外と簡単でしょ?」
「でもさ、確か『e.』の『POP before SMTP』っていうのも認証を利用していなかったっけ?」
「SMTP(送信)する前にPOP(受信)しようという認証方式だよね。」
「これはPOP(受信)ではパスワードを使って認証してメールを受信するから、受信できた=メールサーバに認証されたということで、その後一定期間だけ送信要求があった場合、送信を許可するというものだね。」
「メールのセキュリティを高めるには『e.』じゃだめなの?」
「ダメって訳じゃないけど、受信した後、数分程度しか送信できないのも不便だし、送信前にPOPで受信できたからって、SMTP(送信)が正規のユーザーから送られたものかどうかを確かめる手段はないんだよ。」
「だから、今では送信時にユーザ認証を行う『b.』が送信の際の認証としては普及しているね。」
「そうなんだ~。」
「では、次に②を見てみようか?」
「詳細設定タブの『送信メール』の部分だね。」
「ここの、ポイントは『セキュリティで保護された接続(SSL)が必要』という部分だよ。」
「SSL?」
「SSLは公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数を組み合わせて利用するデータ自体を暗号化する仕組みだよ。」
「データ自体を暗号化?」
「うん、認証には一般的にはパスワードを利用するでしょ?」
「パスワードがあっていれば、正規のユーザーだよね?」
「でも、悪い人はこのパスワードを通信途中で盗み見してしまう場合もあるんだよ。」
「えっ!?じゃあ、パスワードを使った認証だって安全じゃないじゃない!」
「そこで、SSL!」
「SSLでパスワードやメールの内容を暗号化することで、通信途中での盗み見(スニファリング)を防止するんだよ。」
「パスワードだけじゃなくって、メールそのものまで暗号化されるなら、盗み見られなくて安心だね♪。」
「SSLはいろんなプロトコルと組み合わされて利用することが多いんだよ。」
「その場合、たいていは元々利用されているプロトコル名の末尾に『S』が付くよ。」
「・・・あれ?じゃあひょっとして、②の正解は送信のSMTPとSSLを足した『a.』?」
「よく解ったね!その通りだよ。」
「②の下にある受信メールの『セキュリティで保護された接続(SSL)が必要』にはチェックが入っていないよね。」
「そうだね。」
「もしも、ここにチェックが入っていた場合は、POPとSSLを組み合わせた『POPS』というプロトコルを利用しているということになるんだよ。」
「POP+SSLだからPOPS・・・末尾の『S』は『SSL』を指しているんだ!」
「うん、そうやって覚えていけばいいからね。」
「確かに!これなら大丈夫☆。」
【 第19回 第2部 第60問 解答&解説 】
[解答] ①-b,②-a
[解説]
① 送信メールサーバに対する認証行為なので、SMTP Authが該当する。
② 送信メールサーバにアクセスする際にSSLを利用するので、SMTPSが該当する。
※コメント投稿者のブログIDはブログ作成者のみに通知されます