ふたつの川うるおう日記
2007-05-18 (Fri)
_ [大学] メールサーバのSSLの説明
- メールサーバでSSL通信(POPS,SMTPS,IMAPS)を行うと、利用者のユーザ名とパスワードは確実に暗号化通信されることが保障できるけど、違うメールサーバに所属するメールアドレスにメールを出した場合、MTA間で暗号化通信がされるとは限らないためメール本文の盗聴、漏洩、改竄が確実に起きないことを保障できない。というより多くのMTAはSMTPサーバ間は暗号化通信しない。MTA間を暗号化通信してくれる例としてはqmail-ldap同士なんかがある。逆に言えば、同一メールサーバ内のメールアドレス宛なら、そのメールサーバがクラックされてない限りメール本文の盗聴、漏洩、改竄されていないことを保障できる。
- ただし、上記に限らず接続先メールサーバを誤って設定していたり、もしくは、ウィルスなどでDNS情報が書き換えられてたりしてダミーメールサーバに接続されていたりすると、SSL通信したとしても利用者のユーザ名とパスワードが保護されるとは限らない。後者の場合、その時点でたぶん既に漏れてるだろうけど。。
- 非SSLポートであってもSTARTTLSを使えば暗号化通信できる。ただし、こっちだと間違ってメールクライアントで暗号化通信しない設定で通信しちゃうとメールクライアントによっては認証情報自体は送っちゃうのでよろしくない。あと、一部プロバイダでは、自分とこのメールサーバ以外の外部のメールサーバには非SSLの標準ポート(25,110,143)は接続できないようになってるらしい。
| Bookmark: 
[]
> 非SSLの標準ポート(25,110,143)は接続できない<br>いわゆる、Outbound Port 25 Blocking ってやつですね。<br>外部のサーバーがサブミッションポート (587/tcp) を使えるようにしている場合は、そのポートを使用して非 SSL 通信ができるようになってます。
サブミッションポートって意味あるのかな。スパマーが外部のメールサーバ使うのを防ぐためにポート25塞ぐのに、587を非SSL通信で通しちゃうなら結果として587が第2の標準SMTPとなれば意味ない気が・・・。スパマーの配信ソフトのポート設定変えるだけだし。あとそもそも多くのスパマーはそのメールサーバ自体を管理下に置いてたりして、いくらでもポート変更もSSL通信もOKな状態な気がする。それなら初めから全ポートへのどんな通信でも非暗号化されたSMTP通信は叩き落とす方がまだマシな気がした。それでも暗号化通信されたら意味無いけど。というか全パケットの中身をフィルタするとすんごい通信速度が落ちちゃいそうだから結局実用的じゃないけど・・・。
と、思ったらメリットが判った。プロバイダの動的IPで自分のマシンにメールサーバ立ててそっからスパム送ろうとしたらこれで送れないのか!!!超メリットありました・・・。無知ですいません。。