【おいでん講座:POP before SMTPとは何ぞや?】

 なぜ今になってPOP before SMTPが脚光を浴びているのでしょう?理由は 現在のSMTPの仕様にはユーザ認証機能がなく、悪意あるユーザからの踏み台や不正中継に 利用される可能性があるからです。POP before SMTPは、SMTPを使う前にPOPのユーザ認証を 利用しています。(読んで字の如しですね。)

 ただ、SMTPもユーザ認証機能としてRFC2554で『SMTP Authentication(SMTP-AUTH)』が策定され、 sendmail 8.10以降でSMTP-AUTHがサポートされています。今後の主流はAMTP-AUTHになると 思いますので、POP before SMTPは、それまでの暫定措置として考えた方がよいかも知れません。

 以下にサーバ側のPOP before SMTPの検証の流れについて説明します。

1.クライアントからのPOPによるユーザ認証を行う。[POP]
2.認証OKならクライアント側IPアドレスをデータベースに格納[DRAC]
3.メールの中継は、クライアント側IPアドレスがデータベースに存在した時に限り行う。[SMTP]
4.一定時間が過ぎるとデータベースからクライアント側IPアドレスを削除[DRAC]

 ここで、2と4の処理は、DRAC(Dynamic Relay Authorization Control)が行ないます。 このソフトウェアは、クライアント側IPアドレスをデータベースへ登録し、 一定時間が過ぎれば自動的にデータベースより削除します。POP before SMTP環境を 構築する上で無くてならない定番ソフトです。