SMTP-AUTHとは？認証の仕組みやセキュリティについてわかりやすく解説

2020-03-26（更新：2025-03-17）

迷惑メールメール配信基礎 IT知識

今回は「SMTP-AUTH」についてご紹介します。

目次[非表示]

1.SMTP-AUTHとは

1.1.SMTP-AUTHが生まれた背景
1.2.SMTP-AUTHのポート番号

2.SMTP-AUTHの認証方式

2.1.PLAIN
2.2.LOGIN
2.3.CRAM-MD5
2.4.XOAUTH/XOAUTH2

3.SMTP-AUTHのセキュリティリスク

3.1.基本認証（レガシー認証）のリスク
3.2.盗聴リスク

4.SMTP-AUTHで安全なメール配信を

SMTP-AUTHとは

SMTP-AUTHとは「Simple Mail Transfer Protocol Authentication」の略で、SMTP認証と呼ばれることもあります。「送信依頼をしてきたメールサーバが正規のクライアントかどうかを確認する」方法です。これにより、不正なユーザがメールを送信するのを防ぎ、スパムやなりすましのリスクを軽減できます。

メールの送信依頼時に、クライアントから認証 IDやパスワードを申告させることで、送信側サーバは正規のクライアントであることを確認してから、メールを受け付けることが可能になります。これにより、同じグローバルIPアドレスを利用していたとしても、不正利用した送信を防ぐことができます。

SMTP-AUTHが生まれた背景

インターネット初期のSMTPは、認証なしでメールを送信できる仕組みでした。そのため、不正利用やスパムメールの送信が容易にできてしまうことから、大きな問題となっていました。これを防ぐために、送信者の認証を求めることで、安全なメール送信を実現するSMTP-AUTHが導入されました。

SMTP-AUTHのポート番号

ネットワーク上で特定の通信を識別するために「ポート番号」というものがあります。SMTP-AUTHによるメール送信に推奨されるポートは「587番」で、クライアントから送信側のメールサーバに接続する際に使用するデフォルトのポート番号になっています。

SMTP-AUTHの認証方式

SMTP-AUTHにはいくつかの認証方式があります。メールを配信する側とメール配信サーバ間で処理できる共通の認証方式を選択する必要があります。

PLAIN

一般的に使用される認証方式で、ユーザ名とパスワードをBase64化（データを他の形式へ変換する方法）して1つの文字列として送信します。

LOGIN

PLAIN方式と同様、ユーザ名とパスワードをBase64（データを他の形式へ変換する方法）でエンコードして1つの文字列として送信する方式のことを言います。ユーザ名とパスワードをそれぞれ個別に送信する点がPLAIN方式と異なります。標準仕様では廃止されていますが、後方互換性維持のために使用できるシステムがあります。

CRAM-MD5

パスワードをハッシュ化し、暗号化して認証をおこなう方式です。PLAINやLOGINに比べて安全性が高いと言われていますが、パスワードを保存する際に元のパスワードが必要になるため、注意が必要です。

XOAUTH/XOAUTH2

「OAuth」と呼ばれる、ユーザのIDやパスワードを直接入力せずに第三者のサービスにアクセスを許可する仕組みを利用した認証方式です。GoogleやMicrosoftなどのサービスで採用されており、ユーザのパスワードを直接扱わないため、安全性が高いと言われています。対応していないシステムも多く存在します。

SMTP-AUTHのセキュリティリスク

SMTP-AUTHを使用する際には、以下のようなセキュリティリスクが考えられます。

基本認証（レガシー認証）のリスク

従来のSMTP-AUTHでは、ユーザ名とパスワードを使用する基本認証が広く採用されていましたが、以下のようなリスクもあります。

パスワードの流出リスク
ユーザが同じパスワードを複数のサービスで使い回している場合、他のサービスから流出したパスワードがSMTPの不正アクセスに利用される可能性があります。
フィッシング攻撃の標的
攻撃者が正規のメールサーバを偽装し、ユーザの認証情報を盗み取る可能性があります。
アカウント乗っ取り
パスワードが盗まれた場合、攻撃者は正規のユーザとしてログインでき、スパムメール送信や情報の不正取得をおこなう可能性があります。

対策：

パスワードの使い回しを避け、複数の文字種を使用した長い文字列を用いる
多要素認証（MFA）を導入し、パスワードのみの認証から強化する
ユーザー認証情報を盗み取られないよう、メール配信に使用するメールサーバは安全が確認されたメールサーバをあらかじめ定め、それ以外を使用しない
パスワードレス認証（OAuthなど）への移行を検討する

盗聴リスク

SMTP-AUTHの通信が暗号化されていない場合、ネットワーク上で認証情報が盗聴される可能性もあります。特に、公衆Wi-Fiなどの安全でないネットワークでは、攻撃者がパケットを傍受し、ユーザ名やパスワードを盗聴される危険性があります。

対策：

必ずTLS/SSLを使用して、認証情報を暗号化する
暗号化されていない通信を許可しないサーバ設定をおこなう
VPNを使用して、安全な通信経路を確保する

SMTP-AUTHで安全なメール配信を

SMTP-AUTHについてお分かりいただけましたでしょうか。
日々変化しているセキュリティ対策をしっかりおさえ、万全の状態で安全にメール配信をおこなうようにしましょう。

ここでご紹介した機能についてはもちろん、メール配信についてのご相談はいつでも受け付けております。ぜひお気軽にお問い合わせください。

著者
アララメッセージマーケティングチーム

メール配信運用、メールマーケティングに関する情報をお届けするコラムです。“知ってるとちょっとイイコトがある”情報を発信します。

導入事例はこちら

お客様の声|アソビュー株式会社|メール配信サービスアララメッセージ【メルマガ経由の購入件数が昨年対比1000%を達成】アソビュー株式会社では、メルマガを作成する際の「HTML化」が大きな課題でした。「アララメッセージ」を導入後、簡単にHTMLを作成することができるようになり、作業工数が減少。今まで以上に効果測定に基づいたメルマガのコンテンツ企画を行えるようになりました。アララメッセージ

お客様の声|株式会社ホットスタッフ品川|メール配信サービスアララメッセージ【配信内容や配信先にあわせてSMSやLINEと併用！】株式会社ホットスタッフでは配信先や配信内容によってSMS、LINE、そして「アララメッセージ」の3種類を使い分けており、週1回「アララメッセージ」を使ってメルマガ配信をしています。アララメッセージ

DKIMとは？迷惑メール対策に DKIMとは電子署名を用いた送信ドメイン認証です。「ディーキム」と呼ばれます。受信側のメールサーバで、メールのヘッダーに付与された電子署名を、送信ドメインのDNSが公開する公開鍵(一般に公開されている暗号化に必要なもの)を使い照合することで、メールの送信者とメール本文の正当性を評価します。アララメッセージ

SPFとは？迷惑メール対策に今回は、迷惑メール対策に有効な「SPF」についてお伝えします。SPF(Sender Policy Framework)とは、電子メールの送受信において送信元のドメインが詐称されていないかを検証する送信ドメイン認証方式です。アララメッセージ

迷惑メールと判定される基準とは？回避する対策15コ配信したメルマガが迷惑メールになってしまったことはありませんか？本コラムでは、迷惑メールと判定される原因と、迷惑メールとみなされないための15の対策をご紹介します。アララメッセージ

SMTP-AUTHとは？認証の仕組みやセキュリティについてわかりやすく解説