SMPTは認証機能や暗号化機能がありません。本文やメールアドレスを平文で相手のメールサーバに送信するため盗聴に弱いです。SMTPを使用した暗号化や認証の仕組みをご紹介します。
メール認証
POP before SMTP
SMTPでは認証は行いませんがPOP3ではユーザ名とパスワードによる認証を行います。これを利用してPOP3で認証を行ったあとしばらくの間SMTPでの送信を許可するという方式です。SMTP自体で認証を行うわけではありません。後述するSMTP-AUTHが普及するまでは広く使われていました。
SMTP-AUTH
SMTPに認証機能を付けたSMTPの拡張仕様です。クライアントからメールサーバに通信を行うときにユーザとパスワードによる認証を行い、メールの送信許可をします。
メール暗号化
SMTPS
SMTPS(SMTP over SSL/TLS)とは、送信者(クライアント)がメールサーバにメールを送信するときに通信内容を暗号化する技術です。通常のSMTPでは暗号化されないので盗聴に強くなります。最初の通信から暗号化するためポート番号は通常のSMTPの25番ではなく465番を使用します。
ただし問題点もあり、上記の画像の通り送信者から送信者のメールサーバまでは暗号化されるのですが、メールサーバ間の通信は暗号化されません。
STARTTLS
STARTTLSは暗号化の仕組みなのですがプロトコルではなくコマンドです。通常のSMTPの通信を始めて、通信の途中でSTARTTLSコマンドを送信して暗号化通信に切り替える方式です。
STARTTLSはメールサーバ間での暗号化にも対応しております。
デメリットとしては
・メールサーバ間がSTARTTLSに対応していないと暗号化できない
・通信の途中から暗号化されるため最初の通信は盗聴される可能性がある、また通信が暗号化できているかわからない
などがあります。ポート番号は通常のSMTPの25番または587番(サブミッションポート)を使用します。