SMTP-AUTHとは?メリットや認証方式、知っておくべきリスクを解説

2024年1月20日

メールを送信する際のプロトコル(手順)であるSMTPにおいて、その弱点を補完するために誕生したのがSMTP-AUTHであり、メール送信の安全性を高めるための認証プロトコルとなります。

SMTP-AUTHはインターネット上でメールを送信する際、不正アクセスやスパム送信を防ぐなどの重要な役割を果たします。そのため、メールシステムのセキュリティを強化し、効率的で安全な通信環境を構築するためには、SMTP-AUTHの理解は不可欠です。

この記事では、SMTP-AUTHの基本的な概念、メリット、さまざまな認証方式、そして知っておくべきセキュリティ上のリスクについて解説します。

SMTPとSMTP-AUTHとは

メールの送受信に際して、SMTPサーバー・POPサーバー・IMAPサーバーと呼ばれる各種サーバーを介する必要があります。POPとIMAPは受信側のサーバーですが、SMTPは送受信双方のサーバーです。

まずはSMTPとはどのようなプロトコルなのか、SMTP-AUTHと併せて解説します。

SMTPとは

「Simple Mail Transfer Protocol(簡易メール転送プロトコル)」の略称がSMTPです。簡潔にいうと、送信したメールを送信側のSMTPサーバーから受信側のSMTPサーバーに届けるときに使用するプロトコルがSMTPです。

SMTPにはユーザーを認証する機能がないため、誰でも簡単にメールを送信することが可能です。そのため、スパムメールなどの悪意あるメールが送信されてしまう危険性があり、対策として、SMTPの拡張仕様でユーザーの認証ができるSMTP-AUTHが登場しました。

 SMTPについては以下の記事で詳しく解説していますので参考にしてください。

SMTPとは?メール送受信における役割とSMTPコマンド/応答コードを詳しく解説

SMTP-AUTHとは

「SMTP Authentication(SMTP認証)」の略称で、前述した通りSMTPの拡張仕様を指します。この機能は、不正アクセスやスパムメールの送信を防ぐために使用されます。

SMTP-AUTHが登場する前のSMTPはユーザー認証機能がなかったため、悪意あるユーザーによってスパムメールなどが不特定多数に送信できてしまう状況にありました。

SMTP-AUTHは、メールの送信者にアカウントやパスワードを申告させて、正規のユーザーであることを認証するプロトコルです。これにより、不正なメール送信の防止や別回線からの安全なメール送信が可能となっています。

SMTP-AUTHが生まれた背景とメリット

SMTP-AUTHの登場した背景には「悪意あるユーザーによる不正利用の防止」があります。

不正防止のために最初に登場したのが「POP before SMTP」というプロトコルです。POPとは「Post Office Protocol」の略称で、メール受信用のプロトコルを指します。

POP before SMTPには、受信側ユーザーのアカウントとパスワード確認による認証機能があり、これによって不正利用が防止されると考えられていました。

しかし、「メール送信前に受信動作が必須となる点」や「同一のIPアドレスを利用している環境下では不正防止の観点から不完全である点」など、課題が浮き彫りとなったのです。そこでSMTP自体に認証機能を持たせた方がよいのでは、と議論され、登場したのがSMTP-AUTHです。

SMTP-AUTHによって、メール送信者が正しいアカウントとパスワードを申告しない限り、送信側サーバーは不正の疑いがあるメールを防止できるようになりました。POP before SMTPでは不完全だった点をSMTP-AUTHが補完したのです。

Gmail送信者ガイドライン対応バナー

SMTP-AUTHのポート番号

SMTP-AUTHのポート番号は587番です。

ポート番号とは「0番から65535番まであるプログラムの識別番号」を指します。

ポート番号とは

コンピュータのIPアドレスがネットワーク上のデバイスの住所のようなものであるなら、ポート番号はそのデバイス内の特定のアプリケーションやサービスを指し示す「部屋番号」のようなものです。

ポート番号には次のような種類があります。

  • SMTPやPOPのようなプロトコルごとに割り振られている「ウェルノウンポート番号(0番から1023番)」
  • IANA(インターネット資源の国際的な管理グループ。現在は非営利法人ICANNにおける機能の名称)が登録を受け、公開している「登録ポート番号(1024番から49151番)」
  • 一時的な通信やクライアント側の通信に使用されることが多い「ダイナミック/プライベートポート番号(49152番から65535番)」

ウェルノウンポート番号

ウェルノウンポート番号は、インターネット上の標準的なプロトコルとサービスをサポートするために広く認識されており、ネットワークの通信を円滑にするために重要な役割を果たしています。

以下にいくつかの主要なウェルノウンポート番号と、それらが関連するサービスの例を挙げます。

  • HTTP(ウェブサービス): ポート80
  • HTTPS(セキュアなウェブサービス): ポート443
  • FTP(ファイル転送): ポート21
  • SMTP(メール送信): ポート25
  • POP3(メール受信): ポート110
  • IMAP(メール受信): ポート143
  • DNS(ドメイン名解決): ポート53

「OP25B」によるセキュリティ対策

上述したように、SMTP-AUTHのポート番号は587番です。

もともと、SMTPには25番のポートが使用されていましたが、ユーザー認証機能のないSMTPにおけるセキュリティ面の不安定さから、「OP25B」という規制が誕生しました。OP25Bとは、「Outbound port 25 Blocking(25番ポートを利用するメール送信規制)」の略称です。OP25Bによって、ISP事業者指定のメールサーバー以外では25番ポート利用のメール送信は原則として不可となっています。

これにより、悪質なメール送信の防止にはつながったものの、その他ユーザーにも弊害が発生するため、587番ポートを使ったSMTP-AUTHが誕生したという経緯があるのです。587番ポートは、「TLS(Transport Layer Security)」と呼ばれる暗号化プロトコルによってサポートされているため、安全にメールを送信できます。

なお、SMTPには2種類の伝達手段があり、SMTP-AUTHの587番ポートでは「サブミッション・ポート」が、従来のSMTPにおける25番ポートでは「SMTPリレー」が使用されています。サブミッション・ポートは送信側のメールサーバーにメールを送信するプロセスで、リレーはサーバー間でメールを転送するシステムです。

SMTP-AUTHの認証方式

ポート番号に続いて、SMTP-AUTHの認証方式についても見ていきましょう。認証方式とは、アカウントとパスワードによってユーザーを識別するシステムを指します。

PLAIN

一般的に知られる認証方式です。アカウントとパスワードを暗号化せずに「UserID¥0UserID¥0Password」というフォーマットで無変換、あるいはBASE64化(あらゆるデータを英数字+一部の記号で表すエンコード方式)したデータで認証します。

パスワードが暗号化されていないため、セキュリティの面で危険性が伴います。そのため、TLSのような暗号化プロトコルと併用することが重要です。

LOGIN

PLAIN方式と同様に、アカウントとパスワードをBASE64化して認証する方式です。異なる点としては、アカウントとパスワードを個別に送信する点が挙げられます。

こちらもPLAINと同じく、セキュリティの面で不安が残るため、暗号化プロトコルとの併用が推奨されています。

CRAM-MD5

CRAM-MD5では、まず、サーバーと送信者側の双方が共通して認識しているパスワードを用意します。続いて、サーバー側から送信者に対して「Challenge文字列」と呼ばれる任意の文字列が送信されます。これが「CRAM(Challenge-Response Authentication Mechanism:チャレンジレスポンス認証)」です。

送信者はChallenge文字列と同じパスワードを用いて、「MD5(Message Digest V5)」という一方向関数の特徴を持つ計算処理を実行し、結果をサーバーに送る方式となります。一方向関数とは、「入力→出力の計算は容易だが、出力→入力の計算が非常に困難な関数」です。

この特性上、セキュリティ面ではPLAINやLOGINよりも安全ですが、現在ではあまり使用されていません。

XOAUTH/XOAUTH2

ユーザーが利用しているサービスに対して、別サービスへのアクセス許可を出すためのトークン発行プロトコルを「OAuth」といいます。

このシステムを利用してユーザー認証を実行するのが「XOAUTH/XOAUTH2」です。2023年末の段階では広く普及している状態ではないようですが、これから主流の認証方式になるともいわれています。

 SMTP-AUTHが持つ危険性

従来のSMTPに比べれば高い安全性を誇るSMTP-AUTHですが、「基本認証」と「盗聴」という点でリスクを有しています。それぞれについて確認しておきましょう。

基本認証のリスク

基本認証(レガシー認証)とは、アカウントとパスワードによって行う認証方式を指し、SMTP-AUTHは基本認証を採用しています。

近年、認証方式はアカウントとパスワードによる認証ではなく、より安全性の高いトークンの利用や多要素認証の採用が増えているため、SMTP-AUTHはセキュリティ面でのリスクを抱えていると言えるでしょう。

主たるリスクとして挙げられるのは、アカウントの乗っ取りです。基本認証はアカウントへの攻撃に対して弱く、以下のような攻撃を受けるとアカウントを乗っ取られる恐れがあります。

パスワードスプレー攻撃

不特定多数のアカウントに対して同一のパスワードでログインを試みる手法。1つのアカウントに対する攻撃間隔が空くため、アカウントロックを回避しながら攻撃を実行できる

クレデンシャルスタッフィング

既に認識されているアカウント・パスワードを利用し、同一のターゲットが利用しているその他のサービスやシステムなどに不正アクセスする手法。ターゲットが同一のアカウント・パスワードを使いまわしていることを想定して攻撃する

ブルートフォース攻撃

「総当たり攻撃」とも呼ばれる。パスワードを不正に取得するために、プログラムを利用して、想定されるあらゆるパスワードのパターンを入力する手法。

ディクショナリアタック

「辞書攻撃」とも呼ばれる。辞書に載っている文言や人名など、意味のある単語を入力してパスワードを割り出そうとする手法。意味のない文字列よりも、何らかの意味がある文字列をパスワードとして使おうとする心理を逆手に取った攻撃で、ブルートフォース攻撃よりも効率的といわれている

このように、複数の攻撃を受ける恐れと脆弱性から、Microsoftが提供しているメール送受信サービス「Exchange Online」では、2023年1月より基本認証を廃止しています。

盗聴のリスク

SMTP-AUTHの主流な認証方式であるPLAINにおいて、アカウントとパスワードは暗号化されずにそのまま送信されます。

BASE64によりエンコード(特定の記号体系に変換すること)されるものの、デコード(符号化されたデータを逆方向に変換し復元すること)は可能なため、盗聴されてしまうとアカウントとパスワードの双方ともに漏えいする恐れがあるのです。

SMTP-AUTHを安全に利用するには?

最後に、SMTP-AUTHを安全に利用するために把握しておきたい2つのポイントを紹介します。アカウントとパスワードが流出することを防ぐためにも確実に覚えておきましょう。

パスワードポリシーの強化

「基本認証のリスク」の項でも述べた通り、とりわけブルートフォース攻撃やディクショナリアタックのような「総当たり的攻撃」に遭うと、予想しやすいパスワードは簡単に特定され、アカウントが乗っ取られてしまいます。このような事態を防ぐためにも、「パスワードポリシーの強化」すなわち複雑で予想しづらいパスワードの設定をするようにしましょう。

例えば、内閣サイバーセキュリティセンター(NISC)が啓発している情報によれば、推奨されるログイン用パスワードは「英文字(26種類)+小文字(26種類)+数字(10種類)+記号(26種類)」の計88種類をランダムに組み合わせた10桁以上のものとなっています。

参考:パスワードは何桁なら大丈夫?|内閣サイバーセキュリティセンター

加えて、複数のサービスやシステムを利用する際に、同一のパスワードを設定しているとクレデンシャルスタッフィングの対象となります。そのため、アカウント乗っ取り被害に遭う恐れが高まります。

パスワード流出被害に遭わないためにも、「複雑で予想しづらいパスワードを設定すること」および「同一のパスワードを使いまわさないこと」が重要です。

万が一、被害に遭ってしまった場合は、迅速にパスワードの変更手続きを行いましょう。

通信経路の暗号化

情報漏えいを防ぐうえで、通信の暗号化は非常に重要です。

しかし、SMTP-AUTHそれ自体には暗号化機能がないため、アカウントとパスワードが流出する恐れはあります。ゆえに、SMTP-AUTHとその他の方法を組み合わせて「通信経路の暗号化」を図ることが重要になるのです。

例を挙げると、暗号化されていない通信をSSLまたはTLSによって暗号化された通信に変換する「STARTTLS」という技術があります。STARTTLSとSMTP-AUTHを組み合わせれば、SMTP-AUTHの弱点である暗号化できないという点を補完することが可能です。

その他できる対策

「パスワードポリシーの強化」「通信経路の暗号化」の他にもやるべき対策は複数ありますので、まとめて紹介します。

  • 多要素認証(MFA)の採用
  • 定期的なセキュリティ監査とログのモニタリング
  • アカウントの権限管理
  • ソフトウェアの更新
  • アンチウイルスとアンチスパムソリューションの使用
  • フィッシング対策とユーザー教育:
  • セキュリティポリシーの策定と遵守 など。

SMTP-AUTHは有効なセキュリティツールですが、その安全性を最大限に引き出すためには、これらの対策を実施することが重要です。

SMTP認証ができるメールリレーサービスの活用

メールには様々な認証技術が使われています。その背景には迷惑メールやなりすましメールの増加などがあります。

そういったことからも、各メールプロバイダや国内携帯キャリアはセキュリティを強化しており、メールを確実に届けるためには専門的な技術が必要となります。

「メールが届かない」ことはビジネスにおいて致命的と言えます。そのようなリスクを回避するためにはSMTPリレーサービスを利用するのが望ましいです。

SMTPリレーとは

SMTPリレーとは、メールを送る時にサーバから別のサーバへ転送することです。SMTPリレーを行うと自社のメールサーバーの管理が不要など、以下のような様々なメリットがあります。

  • 大量のメッセージを送信できる
  • メール送信のスピードを向上できる
  • スパムフィルタを回避できる
  • セキュリティを強化できる
  • 送信ログが残る
  • 社内ビジネスサーバ不要でメッセージ送信できる

SMTPリレーを行うためには次に紹介するブラストエンジンのようなSMTP認証の機能があるメールリレーサービスを利用しましょう。

SMTP・API連携メール配信システム「ブラストエンジン(blastengine)」

blastengineのアイキャッチ画像

ブラストエンジンには、SMTP認証機能があるため安全にメールを届けることができます。

SMTPリレーサーバーを使用して、簡単に大量のメールを高速配信することが可能です。さらに、メールサーバーを必要とせず、API経由でメールを送信する仕組みも提供しています。

ブラストエンジンは、サーバーの運用やメンテナンスを行っているため、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます

以下のような課題がある場合は、ブラストエンジンの利用を検討してみることをおすすめします。

  • 自社のIPアドレスやドメインがブラックリストに登録されていて、メールが届かない場合
  • 国内キャリアにメールが届かず、対応方法がわからない場合
  • 自社でメールサーバーを管理・運用したくない場合

また、ブラストエンジンは各メールプロバイダーや携帯キャリアのドメインに最適化されており、大規模なネットワークを経由してメール配信を行うことで、日本国内での到達率を圧倒的に高めています。

利用料金は月額3,000円からとコストパフォーマンスにも優れており、メールだけでなく、日本語での電話サポートにも対応しています。

メールアドレスの入力のみで無料トライアルが可能ですので、まずは気軽にお試しください。

まとめ

スパムメールのような悪意あるメール送信を防止するうえで、SMTP-AUTHはSMTPの弱点を補える拡張仕様です。しかし、PLAINのように主流の認証方式では情報の暗号化ができず、アカウントとパスワードの漏えいという恐れが付きまといます。

安心して利用するためにも、「適切なパスワード設定」と「情報経路の暗号化」は必須です。これらの点をふまえて、安全にメール送信を行うようにしましょう。

Gmail送信者ガイドライン対応バナー

まずは無料でAPI連携、SMTPリレーを試してみませんか?

クレジットカード登録などの支払い情報登録は必要ありません

無料トライアルアカウントを作る

ブラストエンジンについてさらに詳しく知りたい方はこちら

お問い合わせ 資料ダウンロード