[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:03253] Re: APOP パスワードの保護について



S-Lines Network Service の 上田 です。

「TOYODA Jiro <toyoda@xxxxxxxxxxxxxxxxxxxx>」 さんの
「[postfix-jp:03252] Re: APOP パスワードの保護について」 への返信です。

> >postfix の TLS/SSL は先ほど調べてみたところ簡単にできそうなので、
> >対応したいと思うのですが疑問点があります。
> >
> >現在、 InstantSSL で www.exsample.net という発行先(CommonName?)でSSLの
> >証明書を取得しています。postfix の TLS/SSL にこの証明書を利用することは
> >可能なのでしょうか?マシン自体は同じなのですが、メールサーバにアクセス
> >するときは mail.exsample.net というホスト名でアクセスをしているのですが。
> 
>  技術的には postfix の TLS/SSL で使うぶんには、CommonName が違っていて
> もたぶん大丈夫だと思います。
>  それより、postfix の TLS/SSL だけで使うなら自己署名証明書でいいと思い
> ます。セキュリティー的に言えば、自己署名証明書だと Man in the middle 
> attack に対応できないですが、これはあまり深く考えなくてもいいと思います。
>  qpopper で使う TLS/SSL は、自己署名だと、 自己署名したサーバー証明書
> を事前にクライアント側にインストールしておかないとダメです。これが面倒
> な場合は、正式な パブリック CA で署名してもらうのがいいでしょう。

そうですね。クライアント側にインストールするという作業が入るとやはり
公式なパブリックCAで署名してもらうほうがいいと思いますのでその方法で
やってみようと思います。調べてみたら$35からあるようですし。


> >やはり、サーバ側に平文パスワードを残してでもAPOPにしたほうが安全
> >なのでしょうか?考えると、サーバのデータベースを覗かれる可能性よりは
> >ネットワーク上のパケットをキャプチャされる確立のほうが高そうですが。
> 
>  ネットに流れる pop3 の平文パスワードは、ログインパスワードそのもの
> なのが問題なのです。
>  「サーバのデータベースを覗かれる」というのはそのサーバーのルートの権
> 限が奪われるということでしょうから、APOP だけの問題ではありません。

こちらに関してはやはりそういう風になりますね。
APOPに関してもやはりできる限り利用を進める形で持って行きたいと思います。

ただ、ここでまた問題なのですが、APOP,TLS/SSLに対応しなおかつバックエンドで
MySQLを利用した認証ができるPOP3dというのが見つからないです。。

といっても、 Courier-IMAP,Solid POP3d,teapop,TPOP,qpopper しか知らないのですが・・・

もしこのほかのPOP3dをご存知であれば教えていただけないでしょうか?
よろしくお願いいたします。


---
 TATSUYA   E-Mail : tatsuya@xxxxxxxxxxxxxxx
           W e b  : http://TATSUYA.info/

Follow-Ups
[postfix-jp:03255] Re: APOPパ スワードの保護について, shirano
[postfix-jp:03256] Re: APOP パ スワードの保護について, KATOH Yasufumi
[postfix-jp:03261] Re: APOP パスワードの保護について, Masahiro Yamagishi
References
[postfix-jp:03248] Re: APOP パスワードの保護について, Tatsuya Ueda
[postfix-jp:03252] Re: APOP パスワードの保護について, TOYODA Jiro

[検索ページ] [Postfix-JP ML Home]