WEB問い合わせフォームのサーバメール暗号化

WEB問い合わせフォームのサーバメール暗号化について質問です。
httpsでWEBからの入力はSSLで暗号化されていますが
WEBサーバがphpやCGIなどでメールサーバを使い問い合わせ内容などを
メール送信処理する際はメール自体は暗号化されていません。


これですが、対処法はあるのでしょうか？


メールサーバにpop over sslをいれるなどあるかと思いますが
そもそもクライアントのメーラーにもpop over ssl対応設定を入れる必要がある気がします。
問い合わせ者を答える人が特定されていれば有効ですが
同じ内容を問い合わせした人にも送るパターンの場合対応
メールを受けるクライアントが不特定であまり有効でない気がします。

一般的にはどういった対応をしているのでしょうか？

No.2 ベストアンサー 回答者： ymda 回答日時： 2012/08/22 02:17

一般的には、今OKWaveで別途サービス開始している Abilieでもそうですが、

ダイジェストのメールをとりあえず送信して、実際は、https://にあるリンクに
誘導されるのが、パターン的なものになりますね。

＃OKWave自体も、回答がありました的も、ダイジェストになっていて、リンクに
　いく形かと思います。

ただ、以下は、一般的ではありませんが、こんな方法もあります。

・とりあえず、メールサーバー関係なく、sendmailからのを関係者のみ暗号化したい

　→メールクライアントにPGP暗号化＆復号できるものを利用して、サーバー上で
　PGP暗号化してからメールを送信する

・HTMLメールを送信するが、（あまりみないのですが）JavaScriptで暗号化を
　かけられるものを利用する。

・鍵付のPDFかZIPファイルにして、その解読キーは別のメールで送信する。
　↑最近、この類が多くなっています。

No.1 回答者： Wr5 回答日時： 2012/08/22 01:27

>メールサーバにpop over sslをいれるなどあるかと思いますが

>そもそもクライアントのメーラーにもpop over ssl対応設定を入れる必要がある気がします。

POP over SSLで保護できるのは「相手のメールボックス(POPサーバ)とクライアントの間」の通信だけですが……。
メールフォームを処理するサーバから最初のメールサーバへの接続部分ならSMTP over SSLで保護できますが、
そこから先のSMTPリレーではSSL使っていませんよ。
で、まっとうに運営していればフォームのあるサイトのWebサーバと最初に接続するSMTPサーバは同一ネットワークということになるかと。
# SSLで保護する意味がない。余分な負荷を与える効果はありますが。(つまり無駄)

クライアント<=A=>Webサーバ(フォーム)<=B=>SMTPサーバ(内部)<=C=>SMTPサーバ(中継1)<=D=>SMTPサーバ(中継x)<=E=>SMTPサーバ(相手先)<=F=>POPサーバ<=G=>クライアント
で、ドコを守りたいのでしょう？

AはHTTPSで、Bは(同一ネットワークでしょうから意味ありませんが)SMTP over SSLなどで、GはPOP over SSLなどで…。
# Fも同一ネットワーク(または同一ホスト)でしょう。
C～Eは通常のSMTPなので平文で流れてますけどね…。

C～Eも守りたいならば、Bの時点で暗号化して送信することになるかと。
# S/MIMEでしょうかねぇ？
最後に受け取るクライアント側で対応していないと読めないワケですが。
# フォームからSMTPで送信するときに暗号化するものがあるか…が問題ですね。