HOME»情報処理安全確保支援士掲示板»SMTP認証について
投稿する
[0704] SMTP認証について
学さん(No.1)
SMTP認証(SMTP-Auth)は、認証機構としてSASLが使われるようですが、そこで提供される認証方式としてCRAM-MD5やDIGEST-MD5があるそうですが、前者は辞書攻撃やブルートフォースアタックに弱く、後者はそれらには対応していると理解しています。
後者の方式であれば、現在においては認証情報が保護された方式と扱われるのでしょうか?
もしくは、SSLによるSMTPSを用いないと保護できているとは言えないのでしょうか?
後者の方式であれば、現在においては認証情報が保護された方式と扱われるのでしょうか?
もしくは、SSLによるSMTPSを用いないと保護できているとは言えないのでしょうか?
2021.08.29 15:29
ろーりーさん(No.2)
md5自体が既に安全でないと言われてる(CRYPTRECにも載ってない)ようですので、SMTPSでないとセキュアではないかと思います。
〉みなさま
もし誤りや補足があれば書き込みいただけると、
私も勉強になりますので宜しくお願いします。
〉みなさま
もし誤りや補足があれば書き込みいただけると、
私も勉強になりますので宜しくお願いします。
2021.09.07 17:48
受験生さん(No.3)
SMTP-AUTHは1999年にRFC2554にて策定されました。当時はハッシュ関数としてMD5かSHA-1あたりを使っていたかと思います。(これらを使えば当時はゼロ知識認証ができたのですが、まだセキュリティが確保されていなかった時代故、クリアテキスト認証の手段も用意されていました。)これらのハッシュ関数は、当時のコンピュータの処理性能ではまだ安全でした。現在では脆弱性がありますし、処理性能も向上しているため総当たり攻撃で突破できます。
SMTP-AUTHはユーザの「認証」のみを行います。現在は暗号化通信が当たり前ですので、ほとんどのメールサーバはSMTPSに対応しています。SMTPSは「暗号化」のみを行います。そこで認証にをSMTP-AUTH、暗号化をSMTPSの両方を用いるのが一般的です。
まずSMTPSをネゴシエーションし、暗号化通信を確立してから、その中でSMTP-AUTHによる送信者認証を行う形で、通信の安全性を担保しています。
OP25Bにより、SMTP-AUTHによる通信はサブミッションポートであるTCP 587が使われていましたが、現在はSMTPSが諸々をカプセル化しているので、SMTPSの標準ポートであるTCP 465が使われています。
SMTP-AUTHはユーザの「認証」のみを行います。現在は暗号化通信が当たり前ですので、ほとんどのメールサーバはSMTPSに対応しています。SMTPSは「暗号化」のみを行います。そこで認証にをSMTP-AUTH、暗号化をSMTPSの両方を用いるのが一般的です。
まずSMTPSをネゴシエーションし、暗号化通信を確立してから、その中でSMTP-AUTHによる送信者認証を行う形で、通信の安全性を担保しています。
OP25Bにより、SMTP-AUTHによる通信はサブミッションポートであるTCP 587が使われていましたが、現在はSMTPSが諸々をカプセル化しているので、SMTPSの標準ポートであるTCP 465が使われています。
2021.09.09 00:22