[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:03252] Re: APOP パスワードの保護について



豊田です。

At 2:27 AM +0900 03.8.29, Tatsuya Ueda wrote:
>postfix の TLS/SSL は先ほど調べてみたところ簡単にできそうなので、
>対応したいと思うのですが疑問点があります。
>
>現在、 InstantSSL で www.exsample.net という発行先(CommonName?)でSSLの
>証明書を取得しています。postfix の TLS/SSL にこの証明書を利用することは
>可能なのでしょうか?マシン自体は同じなのですが、メールサーバにアクセス
>するときは mail.exsample.net というホスト名でアクセスをしているのですが。

 技術的には postfix の TLS/SSL で使うぶんには、CommonName が違っていて
もたぶん大丈夫だと思います。
 それより、postfix の TLS/SSL だけで使うなら自己署名証明書でいいと思い
ます。セキュリティー的に言えば、自己署名証明書だと Man in the middle 
attack に対応できないですが、これはあまり深く考えなくてもいいと思います。
 qpopper で使う TLS/SSL は、自己署名だと、 自己署名したサーバー証明書
を事前にクライアント側にインストールしておかないとダメです。これが面倒
な場合は、正式な パブリック CA で署名してもらうのがいいでしょう。


>やはり、サーバ側に平文パスワードを残してでもAPOPにしたほうが安全
>なのでしょうか?考えると、サーバのデータベースを覗かれる可能性よりは
>ネットワーク上のパケットをキャプチャされる確立のほうが高そうですが。

 ネットに流れる pop3 の平文パスワードは、ログインパスワードそのもの
なのが問題なのです。
 「サーバのデータベースを覗かれる」というのはそのサーバーのルートの権
限が奪われるということでしょうから、APOP だけの問題ではありません。

Follow-Ups
[postfix-jp:03253] Re: APOP パスワードの保護について, Tatsuya Ueda
[postfix-jp:03254] Re: APOP パスワードの保護について, KONNO Yousuke
References
[postfix-jp:03241] APOPパス ワードの保護について, Tatsuya Ueda
[postfix-jp:03246] Re: APOP パスワードの保護について, TOYODA Jiro
[postfix-jp:03248] Re: APOP パスワードの保護について, Tatsuya Ueda

[検索ページ] [Postfix-JP ML Home]