SMTP-AUTH(認証)とは？メリットや認証方式、知っておくべきリスクを解説

SMTP-AUTHは、メール送信プロトコルであるSMTPに認証機能を追加した拡張仕様です。不正アクセスやスパムメールの送信を防止するうえで重要な役割を果たしており、ビジネスメール環境のセキュリティ基盤として広く採用されています。

一方で、SMTP-AUTHの基本認証（ユーザー名とパスワードによる認証）はセキュリティ上の脆弱性が指摘されており、MicrosoftはExchange Onlineにおける基本認証の段階的廃止を進めています。2026年12月末には既存テナントでも基本認証が既定で無効化される予定であり、OAuth 2.0への移行対応が急務です。

この記事では、SMTP-AUTHの基本的な仕組みから認証方式の種類、ポート番号、セキュリティリスク、安全な利用方法、そしてExchange Onlineの基本認証廃止に関する最新動向まで網羅的に解説します。

SMTPとSMTP-AUTH（SMTP認証）とは

メールの送受信に際して、SMTPサーバー・POPサーバー・IMAPサーバーと呼ばれる各種サーバーを介する必要があります。POPとIMAPは受信側のサーバーですが、SMTPは送受信双方のサーバーです。

まずはSMTPとはどのようなプロトコルなのか、SMTP-AUTHと併せて解説します。

SMTPとは

「Simple Mail Transfer Protocol（簡易メール転送プロトコル）」の略称がSMTPです。簡潔にいうと、送信したメールを送信側のSMTPサーバーから受信側のSMTPサーバーに届けるときに使用するプロトコルがSMTPです。

SMTPにはユーザーを認証する機能がないため、誰でも簡単にメールを送信することが可能です。そのため、スパムメールなどの悪意あるメールが送信されてしまう危険性があり、対策として、SMTPの拡張仕様でユーザーの認証ができるSMTP-AUTHが登場しました。

 SMTPについては以下の記事で詳しく解説していますので参考にしてください。

SMTP-AUTHとは

「SMTP Authentication（SMTP認証）」の略称で、前述した通りSMTPの拡張仕様を指します。この機能は、不正アクセスやスパムメールの送信を防ぐために使用されます。

SMTP-AUTHが登場する前のSMTPはユーザー認証機能がなかったため、悪意あるユーザーによってスパムメールなどが不特定多数に送信できてしまう状況にありました。

SMTP-AUTHは、メールの送信者にアカウントやパスワードを申告させて、正規のユーザーであることを認証するプロトコルです。これにより、不正なメール送信の防止や別回線からの安全なメール送信が可能となっています。

SMTP-AUTHの仕様はIETF（Internet Engineering Task Force）によってRFC 4954「SMTP Service Extension for Authentication」として標準化されています。1999年にRFC 2554として初版が発行され、2007年にRFC 4954で更新されました。

参考：RFC 4954 – SMTP Service Extension for Authentication（IETF）

SMTP-AUTHが生まれた背景とメリット

SMTP-AUTHの登場した背景には「悪意あるユーザーによる不正利用の防止」があります。

不正防止のために最初に登場したのが「POP before SMTP」というプロトコルです。POPとは「Post Office Protocol」の略称で、メール受信用のプロトコルを指します。

POP before SMTPには、受信側ユーザーのアカウントとパスワード確認による認証機能があり、これによって不正利用が防止されると考えられていました。

しかし、「メール送信前に受信動作が必須となる点」や「同一のIPアドレスを利用している環境下では不正防止の観点から不完全である点」など、課題が浮き彫りとなったのです。そこでSMTP自体に認証機能を持たせた方がよいのでは、と議論され、登場したのがSMTP-AUTHです。

SMTP-AUTHによって、メール送信者が正しいアカウントとパスワードを申告しない限り、送信側サーバーは不正の疑いがあるメールを防止できるようになりました。POP before SMTPでは不完全だった点をSMTP-AUTHが補完したのです。

SMTP-AUTHのポート番号

SMTP-AUTHのポート番号は587番です。

ポート番号とは「0番から65535番まであるプログラムの識別番号」を指します。

ポート番号とは

コンピュータのIPアドレスがネットワーク上のデバイスの住所のようなものであるなら、ポート番号はそのデバイス内の特定のアプリケーションやサービスを指し示す「部屋番号」のようなものです。

ポート番号には次のような種類があります。

• SMTPやPOPのようなプロトコルごとに割り振られている「ウェルノウンポート番号（0番から1023番）」
• IANA（インターネット資源の国際的な管理グループ。現在は非営利法人ICANNにおける機能の名称）が登録を受け、公開している「登録ポート番号（1024番から49151番）」
• 一時的な通信やクライアント側の通信に使用されることが多い「ダイナミック/プライベートポート番号（49152番から65535番）」

ウェルノウンポート番号

ウェルノウンポート番号は、インターネット上の標準的なプロトコルとサービスをサポートするために広く認識されており、ネットワークの通信を円滑にするために重要な役割を果たしています。

以下にいくつかの主要なウェルノウンポート番号と、それらが関連するサービスの例を挙げます。

• HTTP（ウェブサービス）: ポート80
• HTTPS（セキュアなウェブサービス）: ポート443
• FTP（ファイル転送）: ポート21
• SMTP（メール送信）: ポート25
• POP3（メール受信）: ポート110
• IMAP（メール受信）: ポート143
• DNS（ドメイン名解決）: ポート53

「OP25B」によるセキュリティ対策

上述したように、SMTP-AUTHのポート番号は587番です。

もともと、SMTPには25番のポートが使用されていましたが、ユーザー認証機能のないSMTPにおけるセキュリティ面の不安定さから、「OP25B」という規制が誕生しました。OP25Bとは、「Outbound port 25 Blocking（25番ポートを利用するメール送信規制）」の略称です。OP25Bによって、ISP事業者指定のメールサーバー以外では25番ポート利用のメール送信は原則として不可となっています。

これにより、悪質なメール送信の防止にはつながったものの、その他ユーザーにも弊害が発生するため、587番ポートを使ったSMTP-AUTHが誕生したという経緯があるのです。587番ポートは、「TLS（Transport Layer Security）」と呼ばれる暗号化プロトコルによってサポートされているため、安全にメールを送信できます。

なお、SMTPには2種類の伝達手段があり、SMTP-AUTHの587番ポートでは「サブミッション・ポート」が、従来のSMTPにおける25番ポートでは「SMTPリレー」が使用されています。サブミッション・ポートは送信側のメールサーバーにメールを送信するプロセスで、リレーはサーバー間でメールを転送するシステムです。

SMTP-AUTHの認証方式

ポート番号に続いて、SMTP-AUTHの認証方式についても見ていきましょう。認証方式とは、アカウントとパスワードによってユーザーを識別するシステムを指します。

PLAIN

一般的に知られる認証方式です。アカウントとパスワードを暗号化せずに「UserID¥0UserID¥0Password」というフォーマットで無変換、あるいはBASE64化（あらゆるデータを英数字＋一部の記号で表すエンコード方式）したデータで認証します。

パスワードが暗号化されていないため、セキュリティの面で危険性が伴います。そのため、TLSのような暗号化プロトコルと併用することが重要です。

LOGIN

PLAIN方式と同様に、アカウントとパスワードをBASE64化して認証する方式です。異なる点としては、アカウントとパスワードを個別に送信する点が挙げられます。

こちらもPLAINと同じく、セキュリティの面で不安が残るため、暗号化プロトコルとの併用が推奨されています。

CRAM-MD5

CRAM-MD5では、まず、サーバーと送信者側の双方が共通して認識しているパスワードを用意します。続いて、サーバー側から送信者に対して「Challenge文字列」と呼ばれる任意の文字列が送信されます。これが「CRAM（Challenge-Response Authentication Mechanism：チャレンジレスポンス認証）」です。

送信者はChallenge文字列と同じパスワードを用いて、「MD5（Message Digest V5）」という一方向関数の特徴を持つ計算処理を実行し、結果をサーバーに送る方式となります。一方向関数とは、「入力→出力の計算は容易だが、出力→入力の計算が非常に困難な関数」です。

この特性上、セキュリティ面ではPLAINやLOGINよりも安全ですが、現在ではあまり使用されていません。

XOAUTH/XOAUTH2

ユーザーが利用しているサービスに対して、別サービスへのアクセス許可を出すためのトークン発行プロトコルを「OAuth」といいます。

このシステムを利用してユーザー認証を実行するのが「XOAUTH/XOAUTH2」です。2026年現在、GmailやMicrosoft 365（Exchange Online）ではOAuth 2.0ベースの認証が標準となっており、XOAUTH2の普及は急速に拡大しています。MicrosoftがExchange OnlineでSMTP AUTHの基本認証を段階的に廃止する方針を示していることもあり、今後はXOAUTH2がSMTP-AUTHの認証方式として主流になると考えられています。

SMTP-AUTHと他のメールセキュリティ技術の組み合わせ

SMTP-AUTH単体では十分なセキュリティを確保できないため他のメールセキュリティ技術と組み合わせることで、より強固なセキュリティ環境を構築できます。

SPF、DKIM、DMARCの活用

SMTP-AUTHと併せて、SPF、DKIM、DMARCといった認証技術を活用すると、なりすましメールのリスクを大幅に軽減できます。

• SPF（Sender Policy Framework）
  送信サーバーのIPアドレスを検証する仕組み。SMTP-AUTHと組み合わせることで、未認証のサーバーからのメール送信を防ぐ。
• DKIM（DomainKeys Identified Mail）
  送信ドメインの電子署名を付与し、改ざんを防止。SMTP-AUTHで認証した後にDKIMを適用することで、送信者の正当性を強化。
• DMARC（Domain-based Message Authentication, Reporting & Conformance）
  SPFとDKIMの両方を適用したメールに対し、ポリシーを設定することで、不正メールの流通を防ぐ。

MTA-STSとDANEの導入

SMTP-AUTHだけでは通信の盗聴リスクが残るため、MTA-STSやDANEといった技術を併用することで、安全なメール送信環境を構築できます。

• MTA-STS（Mail Transfer Agent Strict Transport Security）
  メールサーバー間の通信をTLSで暗号化し、MITM（中間者攻撃）を防ぐ。
• DANE（DNS-Based Authentication of Named Entities）
  DNSSECと組み合わせて、TLS証明書の信頼性を強化し、なりすましを防止。

多要素認証（MFA）の導入

SMTP-AUTHの認証強度を高めるため、多要素認証（MFA）を導入すると、アカウントの乗っ取りリスクを低減できます。

• ワンタイムパスワード（OTP）による二段階認証
• ハードウェアトークンや生体認証の利用
• シングルサインオン（SSO）との統合

 SMTP-AUTHが持つ危険性

従来のSMTPに比べれば高い安全性を誇るSMTP-AUTHですが、「基本認証」と「盗聴」という点でリスクを有しています。それぞれについて確認しておきましょう。

基本認証のリスク

基本認証（レガシー認証）とは、アカウントとパスワードによって行う認証方式を指し、SMTP-AUTHは基本認証を採用しています。

近年、認証方式はアカウントとパスワードによる認証ではなく、より安全性の高いトークンの利用や多要素認証の採用が増えているため、SMTP-AUTHはセキュリティ面でのリスクを抱えていると言えるでしょう。

主たるリスクとして挙げられるのは、アカウントの乗っ取りです。基本認証はアカウントへの攻撃に対して弱く、以下のような攻撃を受けるとアカウントを乗っ取られる恐れがあります。

パスワードスプレー攻撃

不特定多数のアカウントに対して同一のパスワードでログインを試みる手法。1つのアカウントに対する攻撃間隔が空くため、アカウントロックを回避しながら攻撃を実行できる

クレデンシャルスタッフィング

既に認識されているアカウント・パスワードを利用し、同一のターゲットが利用しているその他のサービスやシステムなどに不正アクセスする手法。ターゲットが同一のアカウント・パスワードを使いまわしていることを想定して攻撃する

ブルートフォース攻撃

「総当たり攻撃」とも呼ばれる。パスワードを不正に取得するために、プログラムを利用して、想定されるあらゆるパスワードのパターンを入力する手法。

ディクショナリアタック

「辞書攻撃」とも呼ばれる。辞書に載っている文言や人名など、意味のある単語を入力してパスワードを割り出そうとする手法。意味のない文字列よりも、何らかの意味がある文字列をパスワードとして使おうとする心理を逆手に取った攻撃で、ブルートフォース攻撃よりも効率的といわれている

このように複数の攻撃を受ける恐れと脆弱性から、Microsoftが提供しているメール送受信サービス「Exchange Online」では、基本認証の段階的な廃止を進めています。2022年末にSMTP AUTH以外のプロトコルでの基本認証を廃止済みで、SMTP AUTHの基本認証についても2026年12月末に既存テナントで既定無効化される予定です。最終的な削除日は2027年後半に発表されるとアナウンスされています。

参考：Exchange Online における SMTP AUTH 基本認証廃止スケジュールの更新のご案内（Microsoft公式）

盗聴のリスク

SMTP-AUTHの主流な認証方式であるPLAINにおいて、アカウントとパスワードは暗号化されずにそのまま送信されます。

BASE64によりエンコード（特定の記号体系に変換すること）されるものの、デコード（符号化されたデータを逆方向に変換し復元すること）は可能なため、盗聴されてしまうとアカウントとパスワードの双方ともに漏えいする恐れがあるのです。

SMTP-AUTHを安全に利用するには？

最後に、SMTP-AUTHを安全に利用するために把握しておきたい2つのポイントを紹介します。アカウントとパスワードが流出することを防ぐためにも確実に覚えておきましょう。

パスワードポリシーの強化

「基本認証のリスク」の項でも述べた通り、とりわけブルートフォース攻撃やディクショナリアタックのような「総当たり的攻撃」に遭うと、予想しやすいパスワードは簡単に特定され、アカウントが乗っ取られてしまいます。このような事態を防ぐためにも、「パスワードポリシーの強化」すなわち複雑で予想しづらいパスワードの設定をするようにしましょう。

例えば、内閣サイバーセキュリティセンター（NISC）が啓発している情報によれば、推奨されるログイン用パスワードは「英文字（26種類）＋小文字（26種類）＋数字（10種類）＋記号（26種類）」の計88種類をランダムに組み合わせた10桁以上のものとなっています。

参考：パスワードは何桁なら大丈夫？｜内閣サイバーセキュリティセンター

また、米国国立標準技術研究所（NIST）が公開しているデジタル認証ガイドライン「NIST SP 800-63B-4」では、パスワードの最小長を8文字以上としつつ、15文字以上を推奨しています。加えて、パスワードの定期変更はセキュリティ侵害の証拠がない限り不要としており、定期変更の強制がかえってパスワードの単純化を招くリスクを指摘しています。

参考：NIST SP 800-63B-4 – Digital Identity Guidelines（NIST）

加えて、複数のサービスやシステムを利用する際に、同一のパスワードを設定しているとクレデンシャルスタッフィングの対象となります。そのため、アカウント乗っ取り被害に遭う恐れが高まります。

パスワード流出被害に遭わないためにも、「複雑で予想しづらいパスワードを設定すること」および「同一のパスワードを使いまわさないこと」が重要です。万が一、被害に遭ってしまった場合は、迅速にパスワードの変更手続きを行いましょう。

なお、NISCおよび米国国立標準技術研究所（NIST）のガイドラインでは、パスワードの定期変更は不要とされています。定期変更を強制するとパスワードの単純化や使い回しを招くリスクがあるため、漏えいが疑われる場合にのみ速やかに変更する方針が推奨されています。

通信経路の暗号化

情報漏えいを防ぐうえで、通信の暗号化は非常に重要です。

しかし、SMTP-AUTHそれ自体には暗号化機能がないため、アカウントとパスワードが流出する恐れはあります。ゆえに、SMTP-AUTHとその他の方法を組み合わせて「通信経路の暗号化」を図ることが重要になるのです。

例を挙げると、暗号化されていない通信をSSLまたはTLSによって暗号化された通信に変換する「STARTTLS」という技術があります。STARTTLSとSMTP-AUTHを組み合わせれば、SMTP-AUTHの弱点である暗号化できないという点を補完することが可能です。

その他できる対策

「パスワードポリシーの強化」「通信経路の暗号化」の他にもやるべき対策は複数ありますので、まとめて紹介します。

• 多要素認証（MFA）の採用
• 定期的なセキュリティ監査とログのモニタリング
• アカウントの権限管理
• ソフトウェアの更新
• アンチウイルスとアンチスパムソリューションの使用
• フィッシング対策とユーザー教育:
• セキュリティポリシーの策定と遵守　など。

SMTP-AUTHは有効なセキュリティツールですが、その安全性を最大限に引き出すためには、これらの対策を実施することが重要です。

SMTP-AUTHの導入手順

SMTP-AUTHを適切に導入するには、メールサーバーとクライアントの両方で設定が必要です。以下の手順を参考に進めてください。

必要な準備

まず、利用するメールサーバーがSMTP-AUTHをサポートしていることを確認してください。ほとんどのプロバイダーや企業用メールサーバーでは標準機能としてサポートされています。また、TLS暗号化が有効になっていることも重要です。

メールクライアントの設定

メールクライアントでは、送信メールサーバー（SMTP）の設定画面で「送信時に認証を使用する」オプションを有効にします。次に認証方式を選択し、ユーザー名とパスワードを入力します。ポート番号は通常587を使用しますが、サーバーによって異なる場合があります。

トラブルシューティング

設定後にメールが送信できない場合、以下のポイントを確認してください。

• ポート番号と暗号化方式が適切か
• ユーザー名とパスワードに誤りがないか
• ネットワーク接続が安定しているか

問題が解決しない場合は、メールサーバーの提供元やプロバイダーのサポートに問い合わせることをおすすめします。

Exchange Onlineの基本認証（SMTP AUTH）廃止と今後の動向

SMTP-AUTHの基本認証が抱えるセキュリティリスクを受けて、Microsoftは Exchange OnlineにおけるSMTP AUTH基本認証の段階的廃止を進めています。この動きはメール配信に関わるすべてのエンジニア・情シス担当者にとって無視できないものです。

廃止スケジュールの最新情報（2026年1月更新）

MicrosoftはExchange Onlineにおける基本認証の廃止を段階的に進めてきましたが、2026年1月27日に公開された公式ブログで、SMTP AUTHの基本認証廃止スケジュールが大幅に見直されました。以前は「2026年春に完全廃止」とされていましたが、現在は以下のような段階的フェーズに移行しています。

• 2026年12月まで：SMTP AUTH基本認証の動作に変更なし（現状維持）
• 2026年12月末：既存テナントで基本認証が既定で無効化される。管理者は必要に応じて再有効化が可能
• 2026年12月以降の新規テナント：基本認証は既定で使用不可。OAuthのみがサポート対象
• 2027年後半：基本認証の最終的な削除日が発表される予定

スケジュールが緩和されたとはいえ、セキュリティの観点からユーザー名とパスワードのみに依存する基本認証の利用は非推奨です。早めにOAuth 2.0への移行計画を立てることが望ましいでしょう。

参考：Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline（Microsoft公式）

この廃止が特に影響するのは、複合機やプリンターのスキャン文書メール送信、業務アプリからの自動通知メール、旧バージョンのメールクライアントなど、基本認証を前提として設計されたシステムです。これらの環境でExchange Onlineを利用している場合は、OAuth 2.0対応のファームウェアアップデートや代替手段の検討が必要になります。

OAuth 2.0（モダン認証）への移行

Microsoftが推進するOAuth 2.0（モダン認証）は、ユーザー名やパスワードを直接送受信せず、アクセストークンを使って認証を行う仕組みです。基本認証と比較して以下のような利点があります。

• パスワードがネットワーク上を流れないため、盗聴による漏えいリスクが低い
• 多要素認証（MFA）との組み合わせが容易で、アカウント乗っ取りの防止に有効
• トークンには有効期限があるため、仮に漏えいしても被害を限定できる

ただし、OAuth 2.0への移行にはアプリケーション側の改修やトークン管理の実装が必要であり、すべてのデバイス・システムが対応しているわけではありません。OAuth 2.0に対応できない環境では、SMTPリレーサービスを中継して送信する方法が代替策として有効です。

SMTPリレーサービスを利用すれば、サービス側がSMTP認証や送信ドメイン認証の設定を管理するため、Exchange Onlineの基本認証廃止の影響を受けずにメール送信を継続できます。Exchange Onlineの基本認証廃止の詳細と具体的な対応策については、以下の記事でさらに詳しくまとめています。

SMTP認証ができるメールリレーサービスの活用

メールには様々な認証技術が使われています。その背景には迷惑メールやなりすましメールの増加などがあります。

そういったことからも、各メールプロバイダや国内携帯キャリアはセキュリティを強化しており、メールを確実に届けるためには専門的な技術が必要となります。

「メールが届かない」ことはビジネスにおいて致命的と言えます。そのようなリスクを回避するためにはSMTPリレーサービスを利用するのが望ましいです。

SMTPリレーとは

SMTPリレーとは、メールを送る時にサーバから別のサーバへ転送することです。SMTPリレーを行うと自社のメールサーバーの管理が不要など、以下のような様々なメリットがあります。

• 大量のメッセージを送信できる
• メール送信のスピードを向上できる
• スパムフィルタを回避できる
• セキュリティを強化できる
• 送信ログが残る
• 社内ビジネスサーバ不要でメッセージ送信できる

SMTPリレーを行うためには次に紹介するブラストエンジンのようなSMTP認証の機能があるメールリレーサービスを利用しましょう。

SMTP・API連携メール配信システム「ブラストエンジン(blastengine)」

ブラストエンジンには、SMTP認証機能があるため安全にメールを届けることができます。

SMTPリレーサーバーを使用して、簡単に大量のメールを高速配信することが可能です。さらに、メールサーバーを必要とせず、API経由でメールを送信する仕組みも提供しています。

ブラストエンジンは、サーバーの運用やメンテナンスを行っているため、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます。

以下のような課題がある場合は、ブラストエンジンの利用を検討してみることをおすすめします。

• 自社のIPアドレスやドメインがブラックリストに登録されていて、メールが届かない場合
• 国内キャリアにメールが届かず、対応方法がわからない場合
• 自社でメールサーバーを管理・運用したくない場合

また、ブラストエンジンは各メールプロバイダーや携帯キャリアのドメインに最適化されており、大規模なネットワークを経由してメール配信を行うことで、日本国内での到達率を圧倒的に高めています。

利用料金は月額3,000円からとコストパフォーマンスにも優れており、メールだけでなく、日本語での電話サポートにも対応しています。

メールアドレスの入力のみで無料トライアルが可能ですので、まずは気軽にお試しください。

まとめ

スパムメールのような悪意あるメール送信を防止するうえで、SMTP-AUTHはSMTPの弱点を補える拡張仕様です。しかし、PLAINのように主流の認証方式では情報の暗号化ができず、アカウントとパスワードの漏えいという恐れが付きまといます。

安心して利用するためにも、「適切なパスワード設定」と「情報経路の暗号化」は必須です。これらの点をふまえて、安全にメール送信を行うようにしましょう。