POP before SMTP

POP before SMTPとは

POP before SMTP（ポップビフォーエスエムティーピー）は、SMTPに利用者認証を付加するための仕組みの一つです。SMTPはメールを送信するためのプロトコルですが、元々は認証機能を持っていませんでした。そのため、誰でも自由にメールサーバーを利用できてしまうという問題がありました。

POP before SMTPは、この問題を解決するために、メール送信前にPOP3（メール受信プロトコル）による認証を済ませておくことを要求します。これにより、認証を通過したユーザーのみがメールを送信できるようになります。

POP before SMTPが登場した背景

インターネット黎明期には、SMTPの認証機能がなかったため、メールサーバーが不正利用されるという問題がありました。SMTPはメールサーバー間でバケツリレーのようにメールを転送する仕組みであるため、本来は送信者の認証を必要としなかったのです。しかし、インターネットの利用者が増えるにつれて、この仕組みが悪用されるケースが増加しました。特にスパムメールの中継に悪用されることが多く、メールサーバーの管理者たちは何らかの対策を講じる必要に迫られました。

最も単純な対策は、自社が管理するIPアドレス以外からのメール送信を拒否することでした。しかし、この方法では、ユーザーが接続するISPを変えるたびにメールソフトの設定を変更する必要があり、利便性が低下しました。また、ブロードバンドの普及により、メールアドレス維持のためだけに古いISPを残し、別のISPでインターネット接続を利用する場合、メールを送信できないという問題も生じました。

そこで登場したのが、POP before SMTPです。

POP before SMTPの仕組み

POP before SMTPは、メール受信時に利用されるPOP3の認証を、メール送信前に利用する仕組みです。POP3は、ユーザー名とパスワードによる認証が必須であるため、認証を通過したユーザーは正規の利用者であるとみなすことができます。メール送信サーバーは、POP3認証を通過したIPアドレスからのメール送信のみを一時的に許可することで、不正な送信を防止します。

具体的には、メール送信サーバーは、自社ネットワーク内からの送信要求は無条件で受け付けます。一方で、外部ネットワークからの送信要求に対しては、一定時間内にPOP3認証を通過したIPアドレスからの送信のみを許可します。これにより、認証されていないユーザーからのメール送信は拒否されることになります。

この仕組みを実現するため、DRAC（Dynamic Relay Authorization Control）と呼ばれるRPCを利用した機構が利用されることが多かったようです。

POP before SMTPの利点と課題点

POP before SMTPの利点として、SMTPとPOP3という既存のプロトコルを利用しているため、ユーザーが環境を変更する必要がないという点が挙げられます。しかし、メールを送信する前に、必ずPOP3によるメール受信操作を行わなければならないという制約もありました。このことを知らないユーザーからは、「メールは受信できるのに送信できない」といった問い合わせがしばしばありました。また、ISPにとっては、本来独立して運用していたメール送信サーバーと受信サーバーの連携が必要となり、運用が煩雑になるという課題もありました。

さらに、POP before SMTPの前提となっている仮定が必ずしも成り立たないケースもありました。例えば、NAT環境下では、複数のユーザーが同じIPアドレスを共有するため、POP3認証を通過した正規ユーザーと同じIPアドレスから不正なメールが送信される可能性がありました。

このような課題から、POP before SMTPは、あくまでもSMTP-AUTHが普及するまでの「つなぎ」として考えられるようになりました。

現在の状況

現在では、NAT環境が一般的になり、IPアドレスによる認証が困難になったことや、ボットやウイルスによる不正なメール送信が増加したことから、POP before SMTPは利用されなくなってきています。

より根本的な解決策として、SMTP自体を拡張して認証を行うSMTP-AUTHが普及しました。SMTP-AUTHは、メール送信時にユーザー名とパスワードによる認証を行うため、より安全にメールを送信することができます。

現在では、多くのメールクライアントがSMTP-AUTHをサポートしており、ISPもPOP before SMTPの提供を終了する傾向にあります。

まとめ

POP before SMTPは、SMTPの認証機構が普及する前に、メール送信の不正利用を防ぐために用いられた仕組みです。POP3認証をメール送信前に済ませることで、不正な送信を防止する効果がありましたが、いくつかの課題も抱えていました。現在では、SMTP-AUTHが普及したことにより、その役割を終えています。