質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
IMAP

IMAP (Internet Message Access Protocol) とは、メールサーバー上の電子メールデータを操作するためのプロトコルです。

POP

POP(Post Office Protocol)とは、電子メールで使用される受信プロトコル(通信規約)です。SMTPで転送されたメールを一時的に保管し、そのメールをサーバから取り出す際に使用します。

SMTP

SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

3回答

5651閲覧

メールでパスワードの重要情報を送っても問題ないですか?

退会済みユーザー

退会済みユーザー

総合スコア0

IMAP

IMAP (Internet Message Access Protocol) とは、メールサーバー上の電子メールデータを操作するためのプロトコルです。

POP

POP(Post Office Protocol)とは、電子メールで使用される受信プロトコル(通信規約)です。SMTPで転送されたメールを一時的に保管し、そのメールをサーバから取り出す際に使用します。

SMTP

SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

5グッド

3クリップ

投稿2016/04/22 07:00

例えば、レンサバ契約時や、セキュリティソフトのユーザー登録時など、パスワード記載されたメールが普通に送られてきます。

よく調べてみると、メールサーバ(SMTP,POP,IMAP)への接続に SSL/TLS を用いることが可能なようです。

私の認識ではメールは下記の手順でやり取りしています。

[送信元] → [送信元が利用しているメールサーバー] → [送信先が利用しているメールサーバー] → [送信先]

■質問1
送信元、送信先の双方ともSSL/TLS通信を用いる設定にしていれば、上記のやり取り全てが暗号化されているので、重要な情報をやり取りしても問題ないという考えでよろしいでしょうか?

■質問2
送信元または送信先の片方だけがSSL/TLS通信を用いても、一部は暗号化されないので危険という考えでよろしいでしょうか?

■質問3
例えば、PHPのmb_send_mailなどを用いて作られたメールフォールがあり、そのページはHTTPS接続に対応していると仮定します。
そこで記入した内容は指定したメールアドレスに届くような作りになっている場合、受信する方がメールサーバーへの接続にSSL/TLSを用いなければ、暗号化されていないので危険という考えでよろしいでしょうか?

ご存じの方いれば、教えてくださいm(__)m

dsk, dpp_nagare, yosatonet, yodel, ikuwow👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

今でこそ送信元のメールサーバから宛先のメールサーバへメールが直接送られるのが一般的となってきましたが、昔は「中継」といって、「送信元のメールサーバ→別なメールサーバ→別なメールサーバ→宛先のメールサーバ」というように送られていました。いまでもSMTP、シンプルメール「転送」プロトコル、といいます。

ということで、SMTPでは「当事者のサーバ以外を中継しうる」という性質上、途中の1ホップにSSLをかけたところで、エンドツーエンドのセキュリティは原理的に実現できません。つまり、電子メールに安全を求めるのであれば、本文自体を暗号化するほかないです。

投稿2016/04/22 07:16

maisumakun

総合スコア146018

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/04/22 07:47

えー!SMTPって中継することもあるんですか!? はじめて知りました、これは驚きですね>< 中継して送るというメールの仕組みも興味深いですね^^ ただ、安全なメール送るには、本文暗号化一択なんですね。 参考になりました。ありがとうございましたm(__)m
otn

2016/04/27 12:35

今でも中継はしてますよ。メールヘッダを見られるメールソフトで、ヘッダを見ると、 Received: というのが何行かありますが、その数だけ中継されています。 A@x から B@y にメールを送るとき、途中でxでもyでもないz社のメールサーバーを経由することもあったというのが昔で、いまは普通はx社メールサーバーからy社メールサーバーに直接送られます。ただ、x社内、y社内では、複数のメールサーバーを経由したりします。
guest

0

ベストアンサー

本当は、メール本文自体が暗号化されていない限りパスワードなどをメールで送るべきではありません。
いくら経路が暗号化されていても、メールサーバー自体にセキュリティーホールがある場合もありますし、管理者であれば中身を見れてしまいます。

ただ、"レンサバ契約時や、セキュリティソフトのユーザー登録時"の場合は利便性を考えるとやむを得ないと思います。
また、大体書いてあると思いますが、ログインしたらすぐパスワードを変更しなさいとあります。
初期状態では見られて困るようなデータが入っていないなら、あまり問題はないと思いますし、万一、途中で盗み見されてパスワードを変更されてしまったとしても、最初からログインできないわけですからサポートに問い合わせれば事足ります。
まぁ、何かしら仕掛けられる可能性はあるので、レンサバの場合は全部初期化して自分でOSなどを入れなおしたほうが良いと思います。

投稿2016/04/22 07:09

CodeLab

総合スコア1939

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/05/02 03:02 編集

なるほど、メール本文自体も暗号化した方が、より安全なんですね。 仰る通り、レンサバなどのパスワードなどはこちらで変更すれば大した問題ではないと思います。 なぜこのような質問をしたかと申しますと、日テレのOSコマンドインジェクションを知り、色々調べておりました。 下記のまとめを見ると、おそらくですが、perlでメールフォームを作り、指定したメアドに届くような仕組みになっていたのかと考えております。 http://d.hatena.ne.jp/Kango/20160421/1461246328 そもそも、個人情報を記載したメールをやり取りするときにどのような手法を用いるのが一番安全なのかと思い、色々と質問しました。 大手のサイトだと自分が知らない方法で安全にメールをやり取りできるのかと思った次第です。 --------------------------- 2016年5月2日追記 日テレから不正アクセスの原因については、公表されておりません。 公表されていないため、原因はわかりませんが、J-WAVEやエイベックスのWebサイトでは「ケータイキット for Movable Type」の脆弱性が原因で個人情報が流出したとの発表がありました。 コメントでperlでメールフォームを作ったり・・・書きましたが、おそらく上述したプラグインが原因かなと思います。 「ケータイキット for Movable Type」を利用している方は、アップデートしてください。 プラグインの脆弱性に関しては、下記が参考になるかと思います。 http://bakera.jp/ebi/topic/4911
CodeLab

2016/04/22 07:32

>大手のサイトだと自分が知らない方法で安全にメールをやり取りできるのかと思った次第です。 普通は、登録時にパスワードを入れてもらい(WebはSSLで守られているので安全)、以降はパスワードのやり取りはしないし、データベースにも保存しない(ハッシュ化して保存)します。 個人情報などもメールでは送らず、ログインしてこのURLから見てね!というような仕様にするかと思います。
退会済みユーザー

退会済みユーザー

2016/04/22 07:59

なるほど、そもそも安全ではないメールは使わないんですね。 確かにWeb上(HTTPS)で確認するのが一番安全な方法ですね。 参考になりました。 ありがとうございましたm(__)m
guest

0

やってるとこ多いですが、ほんとは良くないです。

「社員 メール 監視」でググってみるといろいろなソリューションが出てきて面白いかもしれません。メールサーバがメールの転送以外の目的をもっていれば、そのクライアントのメールなど筒抜けです。これが可能なのは電子メールがエンド・ツー・エンドで暗号化されないからです。普通、私たちは送信元のメールサーバ(例えばgmail)をちょっとは信用しますが、送信先のメールサーバが信用できるかどうかはあまり考えませんね。それが企業内のメールサーバであった場合、社員のメールを監視していれば監視の担当者(つまり送信先以外の第3者)には見えますし、それは長く保存されることでしょう。この監視機能を持ったメールサーバに不正侵入された場合など考えたくもありませんね。

エンド・ツー・エンドでメール本文を暗号化する現実的な方法は今のところPGPしかないと思います。最近Facebookが対応したようなので、その弾みで普及してくれるといいのですけども。

投稿2016/04/22 07:38

sharow

総合スコア1151

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/04/22 07:56

確かに仰る通り、管理者には筒抜けですし、そこから漏れる可能性もありますね。 私の中ではメールは自分から相手へという感覚でおりましたが、全然違いますね。 PGPというのがあるんですね。調べてみたいと思います。 参考になりました^^ ありがとうございましたm(__)m
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問