SMTP AUTHは脆弱性がありsmtpsが望ましいと聞いたのですが

どこのサイトで見たかわかりましたが、
表題のとおり、
SMTP AUTHは脆弱性がありsmtpsが望ましいと聞いたのですが、
現実問題どのくらい、というかどういった脆弱性があるのでしょうか？

以上、よろしくお願いいたします。

No.1 ベストアンサー 回答者： _himajin_ 回答日時： 2008/05/01 00:33

あまり詳しいわけじゃありませんので参考程度に…

結論から言えば、パスワードが漏洩する恐れがある、ということだと思います。
SMTP AUTH では PLAIN, LOGIN, CRAM-MD5, DIGEST-MD5 の認証方式が選択できるようですが、前2者は平文パスワードなので問題外です。
後2者はMD5ハッシュによるものですが、MD5のアルゴリズム自体に脆弱性が見つかっていて、同一ハッシュは割と簡単に作れるようです。（これが根本的な脆弱性）

上記MD5の脆弱性の具体例として、CRAM-MD5 と同様にMD5を使っており、かつ同様にチャレンジ＆レスポンス方式の APOP においてですが、もとのパスワードを割り出せる、という研究結果があるようです。
DIGEST-MD5 についてはどんな方式か良くわからないのですが、MD5を使っている以上衝突は起こせるはずなのでやはりそう強くはないのだと思います。

この回答へのお礼

ご回答ありがとうございます。なるほど、確かにMD5はぜい弱性が見つかっているときいたことがあるので、
そのせいなのですね。

その他の情報も参考になりました。どうもありがとうございました。

お礼日時：2008/05/01 02:31

No.2 回答者： junkUser 回答日時： 2008/05/01 01:20

何を重視しているか次第です。

プロバイダが提供しているPOP3はパスワードが平文ですし、WebサーバにFTPでアップロードするときも同様です。
SMTPだけ強化する（or したい）目的は何でしょうか？

SMTPSはメールを送信元からSMTPサーバまでを暗号化します。
（が、リレー先へは平文で転送されます。）
SMTP Auth は、SMTPサーバがインターネット上にあり外部からメールのリレーを要求したい場合に、許可されたユーザーのみ転送できるようにするのが目的です。
つまり、SMTPSとSMTP Authは用途が異なります。
なお SMTPS + SMTP Authの組み合わせも可能だったはずです。

この回答へのお礼

ご回答ありがとうございます。
＞SMTPだけ強化する（or したい）目的は何でしょうか？
素朴な疑問からの質問だったのですが、
そういえば、自分、FTPのかわりにSCPにしているのに、POPはパスワード平分で受信していました。

＞SMTPSはメールを送信元からSMTPサーバまでを暗号化します。
＞（が、リレー先へは平文で転送されます。）
確かに・・・そうすると実質意味ないですね。

SMTPSとSMTP Authもごっちゃに考えていましたが、分かりました。
どうもありがとうございました。

お礼日時：2008/05/01 02:35