質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.48%

  • PHP

    20782questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • SSL

    515questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • SMTP

    98questions

    SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

  • POP

    17questions

    POP(Post Office Protocol)とは、電子メールで使用される受信プロトコル(通信規約)です。SMTPで転送されたメールを一時的に保管し、そのメールをサーバから取り出す際に使用します。

  • IMAP

    13questions

    IMAP (Internet Message Access Protocol) とは、メールサーバー上の電子メールデータを操作するためのプロトコルです。

メールでパスワードの重要情報を送っても問題ないですか?

解決済

回答 3

投稿

  • 評価
  • クリップ 3
  • VIEW 2,908

gununu

score 267

例えば、レンサバ契約時や、セキュリティソフトのユーザー登録時など、パスワード記載されたメールが普通に送られてきます。

よく調べてみると、メールサーバ(SMTP,POP,IMAP)への接続に SSL/TLS を用いることが可能なようです。

私の認識ではメールは下記の手順でやり取りしています。

[送信元] → [送信元が利用しているメールサーバー] → [送信先が利用しているメールサーバー] → [送信先]

■質問1
送信元、送信先の双方ともSSL/TLS通信を用いる設定にしていれば、上記のやり取り全てが暗号化されているので、重要な情報をやり取りしても問題ないという考えでよろしいでしょうか?

■質問2
送信元または送信先の片方だけがSSL/TLS通信を用いても、一部は暗号化されないので危険という考えでよろしいでしょうか?

■質問3
例えば、PHPのmb_send_mailなどを用いて作られたメールフォールがあり、そのページはHTTPS接続に対応していると仮定します。
そこで記入した内容は指定したメールアドレスに届くような作りになっている場合、受信する方がメールサーバーへの接続にSSL/TLSを用いなければ、暗号化されていないので危険という考えでよろしいでしょうか?

ご存じの方いれば、教えてくださいm(__)m

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

+8

今でこそ送信元のメールサーバから宛先のメールサーバへメールが直接送られるのが一般的となってきましたが、昔は「中継」といって、「送信元のメールサーバ→別なメールサーバ→別なメールサーバ→宛先のメールサーバ」というように送られていました。いまでもSMTP、シンプルメール「転送」プロトコル、といいます。

ということで、SMTPでは「当事者のサーバ以外を中継しうる」という性質上、途中の1ホップにSSLをかけたところで、エンドツーエンドのセキュリティは原理的に実現できません。つまり、電子メールに安全を求めるのであれば、本文自体を暗号化するほかないです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/22 16:47

    えー!SMTPって中継することもあるんですか!?
    はじめて知りました、これは驚きですね><
    中継して送るというメールの仕組みも興味深いですね^^
    ただ、安全なメール送るには、本文暗号化一択なんですね。
    参考になりました。ありがとうございましたm(__)m

    キャンセル

  • 2016/04/27 21:35

    今でも中継はしてますよ。メールヘッダを見られるメールソフトで、ヘッダを見ると、
    Received: というのが何行かありますが、その数だけ中継されています。
    A@x から B@y にメールを送るとき、途中でxでもyでもないz社のメールサーバーを経由することもあったというのが昔で、いまは普通はx社メールサーバーからy社メールサーバーに直接送られます。ただ、x社内、y社内では、複数のメールサーバーを経由したりします。

    キャンセル

checkベストアンサー

+5

本当は、メール本文自体が暗号化されていない限りパスワードなどをメールで送るべきではありません。
いくら経路が暗号化されていても、メールサーバー自体にセキュリティーホールがある場合もありますし、管理者であれば中身を見れてしまいます。

ただ、"レンサバ契約時や、セキュリティソフトのユーザー登録時"の場合は利便性を考えるとやむを得ないと思います。
また、大体書いてあると思いますが、ログインしたらすぐパスワードを変更しなさいとあります。
初期状態では見られて困るようなデータが入っていないなら、あまり問題はないと思いますし、万一、途中で盗み見されてパスワードを変更されてしまったとしても、最初からログインできないわけですからサポートに問い合わせれば事足ります。
まぁ、何かしら仕掛けられる可能性はあるので、レンサバの場合は全部初期化して自分でOSなどを入れなおしたほうが良いと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/22 16:26 編集

    なるほど、メール本文自体も暗号化した方が、より安全なんですね。

    仰る通り、レンサバなどのパスワードなどはこちらで変更すれば大した問題ではないと思います。

    なぜこのような質問をしたかと申しますと、日テレのOSコマンドインジェクションを知り、色々調べておりました。

    下記のまとめを見ると、おそらくですが、perlでメールフォームを作り、指定したメアドに届くような仕組みになっていたのかと考えております。

    http://d.hatena.ne.jp/Kango/20160421/1461246328

    そもそも、個人情報を記載したメールをやり取りするときにどのような手法を用いるのが一番安全なのかと思い、色々と質問しました。

    大手のサイトだと自分が知らない方法で安全にメールをやり取りできるのかと思った次第です。

    ---------------------------

    2016年5月2日追記

    日テレから不正アクセスの原因については、公表されておりません。
    公表されていないため、原因はわかりませんが、J-WAVEやエイベックスのWebサイトでは「ケータイキット for Movable Type」の脆弱性が原因で個人情報が流出したとの発表がありました。
    コメントでperlでメールフォームを作ったり・・・書きましたが、おそらく上述したプラグインが原因かなと思います。
    「ケータイキット for Movable Type」を利用している方は、アップデートしてください。
    プラグインの脆弱性に関しては、下記が参考になるかと思います。
    http://bakera.jp/ebi/topic/4911

    キャンセル

  • 2016/04/22 16:32

    >大手のサイトだと自分が知らない方法で安全にメールをやり取りできるのかと思った次第です。
    普通は、登録時にパスワードを入れてもらい(WebはSSLで守られているので安全)、以降はパスワードのやり取りはしないし、データベースにも保存しない(ハッシュ化して保存)します。
    個人情報などもメールでは送らず、ログインしてこのURLから見てね!というような仕様にするかと思います。

    キャンセル

  • 2016/04/22 16:59

    なるほど、そもそも安全ではないメールは使わないんですね。
    確かにWeb上(HTTPS)で確認するのが一番安全な方法ですね。
    参考になりました。
    ありがとうございましたm(__)m

    キャンセル

+2

やってるとこ多いですが、ほんとは良くないです。

「社員 メール 監視」でググってみるといろいろなソリューションが出てきて面白いかもしれません。メールサーバがメールの転送以外の目的をもっていれば、そのクライアントのメールなど筒抜けです。これが可能なのは電子メールがエンド・ツー・エンドで暗号化されないからです。普通、私たちは送信元のメールサーバ(例えばgmail)をちょっとは信用しますが、送信先のメールサーバが信用できるかどうかはあまり考えませんね。それが企業内のメールサーバであった場合、社員のメールを監視していれば監視の担当者(つまり送信先以外の第3者)には見えますし、それは長く保存されることでしょう。この監視機能を持ったメールサーバに不正侵入された場合など考えたくもありませんね。

エンド・ツー・エンドでメール本文を暗号化する現実的な方法は今のところPGPしかないと思います。最近Facebookが対応したようなので、その弾みで普及してくれるといいのですけども。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/22 16:56

    確かに仰る通り、管理者には筒抜けですし、そこから漏れる可能性もありますね。
    私の中ではメールは自分から相手へという感覚でおりましたが、全然違いますね。
    PGPというのがあるんですね。調べてみたいと思います。
    参考になりました^^
    ありがとうございましたm(__)m

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.48%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • PHP

    20782questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • SSL

    515questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • SMTP

    98questions

    SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

  • POP

    17questions

    POP(Post Office Protocol)とは、電子メールで使用される受信プロトコル(通信規約)です。SMTPで転送されたメールを一時的に保管し、そのメールをサーバから取り出す際に使用します。

  • IMAP

    13questions

    IMAP (Internet Message Access Protocol) とは、メールサーバー上の電子メールデータを操作するためのプロトコルです。