[postfix-jp:03248] Re: APOP パスワードの保護について

[Tatsuya Ueda <tatsuya@xxxxxxxxxxxxxxx>]

返信ありがとうございます。S-Lines Network Service の 上田 です。

「TOYODA Jiro <toyoda@xxxxxxxxxxxxxxxxxxxx>」 さんの
「[postfix-jp:03246] Re: APOP パスワードの保護について」 への返信です。

> >意見を聞かせていただけたらと思います。
> 
> 　APOP では、ネットワークに流れるパスワードの暗号化だけで、メー
> ルの内容までは暗号化されません。やはり、TLS/SSL がこれからの主流
> でしょう。メールサーバーに TLS/SSL を設定しておけば、TLS/SSL が
> 設定されているメールサーバー同士の SMTP も暗号化されますので、より
> 安全です。postfix では、簡単にTLS/SSL が設定できますので、postfix 
> ユーザーの方は、是非とも TLS/SSL を設定していただきたいものです。
> もちろん qpopper も簡単に TLS/SSL を設定できます。

postfix の TLS/SSL は先ほど調べてみたところ簡単にできそうなので、
対応したいと思うのですが疑問点があります。

現在、 InstantSSL で www.exsample.net という発行先(CommonName?)でSSLの
証明書を取得しています。postfix の TLS/SSL にこの証明書を利用することは
可能なのでしょうか？マシン自体は同じなのですが、メールサーバにアクセス
するときは mail.exsample.net というホスト名でアクセスをしているのですが。

qpopper に関してはすでに乗り換えを考えておりPOP3に関してはまだなんともいえませんが・・

> ＃Mac OS X 版の Eudora 日本語版も早く対応してほしいです。
> 
> 　qpopper などは、TLS/SSL と APOP の両方の設定が可能ですので、
> TLS/SSL に対応していないメーラーのユーザーのみ APOP を使ってもら
> うのがいいと思います。新規のメールユーザーには、最初から TLS/SSL 
> 対応のメーラーを勧めるのがいいと思います。

やはり、サーバ側に平文パスワードを残してでもAPOPにしたほうが安全
なのでしょうか？考えると、サーバのデータベースを覗かれる可能性よりは
ネットワーク上のパケットをキャプチャされる確立のほうが高そうですが。。


先ほどはTLS/SSLに消極的でしたがTLS/SSLが使えないユーザは現状のまま
使えるということをいろいろ調べているうちに知りましたので、とりあえず
TLS/SSLには対応したいと思います。APOPに関してもデータベースの権限を
適切なものにすれば平文パスワードを流すよりはいいようなので、こちらも
検討してみます。

---
 TATSUYA   E-Mail : tatsuya@xxxxxxxxxxxxxxx
           W e b  : http://TATSUYA.info/