IT用語集 2024/11/05

SMTP-AUTHとは？ 10分でわかりやすく解説

コラム

SMTP-AUTHは、メールを送るときに「その人が本当に送ってよい利用者か」を確かめるための認証です。スパム送信やオープンリレーの悪用を防ぐため、だれでも送れる状態を避ける必要があります。SMTP-AUTHを入れると、許可した利用者だけがメールを送れるようになります。

ただし、SMTP-AUTHは送る人やアカウントを確かめるものであり、受信側でなりすましを見分ける SPF、DKIM、DMARC とは受け持ちが違います。この記事では、SMTP-AUTHのやり取り、よく使う認証の型、サーバーとクライアントで見る点、入れるときの注意を見ます。

SMTP-AUTHとは何か

SMTP-AUTHとは、SMTP（Simple Mail Transfer Protocol）に追加された認証の機能です。SMTPはもともと、メールを転送することを主な目的に作られました。そのため、初期の設計では送信者を厳しく確かめる作りではありませんでした。SMTP-AUTHは、その弱い所を補うために使われます。

SMTP-AUTHの定義

SMTP-AUTHは、メールを送るときにクライアントがSMTPサーバーへ認証に使う情報を出し、サーバーが利用者を確かめた後で送信を許可するものです。多くの場合、Outlook や Thunderbird などのメールソフト、または送信アプリが、ユーザー名とパスワードなどで認証します。

ここで大事なのは、SMTP-AUTHが主に「利用者がメールを送る入口」で使われる点です。多くの環境では、利用者の送信は 587 番ポートで受け、サーバー間の転送で使う 25 番ポートとは分けて考えます。環境によっては 465 番ポートを使うこともあります。

SMTP-AUTHが要る理由

SMTP-AUTHが重く見られるのは、メールを送る経路を認証済みの利用者にしぼれるからです。主な意味は次の通りです。

勝手な送信を防ぎやすい：認証なしで送れると、第三者に悪用されてスパム送信に使われるおそれがあります。
だれが送ったかを追いやすい：社外から送る場合でも、認証を必須にすると、どのアカウントで送ったかを見やすくなります。
見直しや監査で使いやすい：送信ログをアカウントと結び付けやすくなり、問題が起きた後の確認もしやすくなります。

なお、SMTP-AUTHは受信者が「そのドメインを信じてよいか」を決めるものではありません。受信側でのなりすまし対策は SPF、DKIM、DMARC が受け持ちます。ここを混同すると、対策に穴が開きます。

SMTP-AUTHのやり取り

SMTP-AUTHのやり取りは、おおむね次の通りです。

メールクライアントがSMTPサーバーへ接続します。多くは 587 番ポートです。
サーバーが使える拡張を知らせ、その中に AUTH が含まれます。
クライアントが認証の型を選び、認証に使う情報、またはそれに相当する応答を返します。
サーバーはその内容を確かめ、成功した場合だけ MAIL FROM、RCPT TO、DATA を受け付けます。

ここで気を付けたいのは、認証に使う情報をどう守るかです。認証の型そのものは暗号化を行わないものもあるため、STARTTLS や暗黙TLSと組み合わせることが実質的に必要です。

SMTP-AUTHの認証の型

SMTP-AUTHでは複数の型が使われます。実際に見ることが多い例は次の通りです。

認証の型	概要
PLAIN	ユーザー名とパスワードに相当する情報を送ります。型そのものは暗号化しないため、通常はTLSと一緒に使います。
LOGIN	PLAINと同様に、利用者を確かめるための情報を送ります。これもTLSと一緒に使う前提です。
CRAM-MD5	チャレンジレスポンスを使うため、パスワードをそのまま送りません。ただし MD5 は古く、今の方針では積極的に選ばれないことがあります。

ここは単純に「CRAM-MD5なら安全」「PLAINやLOGINは危険」と切ってしまわない方がよい所です。実際には、TLSを強制できているか、パスワードやトークンをどう守るか、漏えい時にどう止めるかといった条件で安全性が変わります。

SMTP-AUTHの設定のしかた

SMTP-AUTHを使うには、サーバー側とクライアント側の両方で設定が要ります。ここでは、製品ごとの細かな手順ではなく、共通して見る点を挙げます。

メールサーバー側で決めること

サーバー側では、どの入口で認証を必須にするか、どこで利用者を確かめるか、TLSをどう扱うかを決めます。

Submissionポートを決める：利用者の送信は 587 番、または環境に応じて 465 番に集めます。
認証元を決める：ローカルアカウント、LDAP や AD など、どこで利用者を確かめるかを決めます。
TLSを必須にする：認証に使う情報を守るため、暗号化しない接続を許さない設計にします。
送信の範囲を決める：認証後にどこまで送信を許すか、送信元ドメイン、通数、添付の大きさなどを決めます。
ログと監視を用意する：失敗した回数や急に大量に送ることを見つけられるようにします。

SMTP-AUTHは、入れた瞬間に終わる対策ではありません。アカウントが盗まれた後に大量に送ることをどう早く止めるかまで考えて、送る通数の上限や警告も一緒に決める方が現実的です。

メールクライアント側で合わせること

クライアント側では、主に次の項目を合わせます。

送信サーバーのホスト名とポート番号
TLS の有無や方式
「送信サーバーは認証が必要」といった設定
ユーザー名とパスワード、または組織で決めた別の資格

組織によっては、通常のパスワードではなく、アプリ用のパスワードやトークンを使うこともあります。ユーザー向けには、なぜ送信にも認証が要るのか、パスワードを使い回してはいけない理由、失敗したときの連絡先をまとめて知らせると、問い合わせを減らしやすくなります。

SMTP-AUTH設定時の注意点

TLSを外さない：特に PLAIN と LOGIN を使う場合、暗号化しない接続を許さないことが大事です。
認証の型をそろえる：サーバー側で使える型と、クライアント側が選ぶ型が合わないと認証に失敗します。
ポートの使い分けを崩さない：25 番はサーバー間転送が中心で、利用者の送信は 587 番や 465 番で受けるのが基本です。
アカウント流出に備える：SMTP-AUTHがあっても、盗まれた正規のアカウントからスパム送信されることがあります。

SMTP-AUTHで起きやすい不具合

SMTP-AUTHまわりのエラーは、原因を順に切り分けると戻しやすくなります。よくある例は次の通りです。

現象や表示例	主な原因と見る点
認証に失敗しました	ユーザー名やパスワードの誤り、アカウント停止、認証元の不調などが候補です。まず資格とアカウントの状態を見ます。
サーバーがAUTHをサポートしていません	接続先が Submission ではなく 25 番になっている、またはサーバー側で AUTH が無効の可能性があります。
暗号化されていない接続は許可されていません	サーバー側で TLS を必須にしています。クライアント側の TLS 設定を合わせます。

同じ設定でも、一部の利用者だけ失敗することがあります。その場合は、パスワード変更の直後か、MFAの追加があったか、アクセス制限の方針が変わっていないかも見ます。