Post Office Protocol

Post Office Protocol（ポストオフィスプロトコル、POP（ポップ^[1]^[2]^[3]^[4]））は、電子でんしメールで使つかわれる通信つうしんプロトコル（通信つうしん規約きやく）のひとつ。ユーザがメールサーバから自分じぶんのメールを取とり出だす時ときに使用しようする、メール受信じゅしん用ようプロトコル。現在げんざいは、改良かいりょうされたPOP3 (POP Version 3) （ポップスリー^[1]^[2]^[3]^[4]）が使用しようされている。

概要がいよう

電子でんしメールは、いつ・誰だれから送おくられてくるか分わからない。しかし、ユーザが自分じぶんのコンピュータを常つねにインターネットに接続せつぞくしてメールを受信じゅしんできるように待機たいきさせておく必要ひつようはない。これは、インターネットサービスプロバイダ (ISP) や企業きぎょうネットワーク内ないにメールを配達はいたつ・受信じゅしんするためのメールサーバが設置せっちされており、メールサーバが常つねにメールを受信じゅしんできるように待機たいきしているからである。メールサーバにメールが届とどいた後のちに、ユーザがメールサーバからメールを取とり出だして、自分じぶんのコンピュータに取とり込こめばよい。この時ときに使つかわれるプロトコルがPOPである。この作業さぎょうは、郵便ゆうびん局きょく（メールサーバ）に届とどけられた手紙てがみをユーザーが郵便ゆうびん局きょくへ取とりに行いく作業さぎょうに似にている。メールサーバにメールが届とどいているかどうかもPOPで確たしかめることができる。

POPのユーザ認証にんしょう機能きのうをメール送信そうしん時じの送信そうしん者しゃ認証にんしょうに使用しようすることがあり、これをPOP before SMTPと言いう。

通常つうじょう使用しようするTCPポート番号ばんごうは、POP2では109番ばん、POP3では110番ばんを使用しようする。

ユーザの認証にんしょう方法ほうほう

認証にんしょう方法ほうほうとして、平文へいぶんのUSER/PASS 認証にんしょうが広ひろく用もちいられているが、サーバ/クライアント双方そうほうが対応たいおうしていれば、オプションコマンドである APOP（RFC 1460から追加ついか）や拡張かくちょう機能きのうである SASLメカニズムを利用りようしたAUTHコマンドなどを用もちいて認証にんしょうを暗号あんごう化かし、パスワード漏洩ろうえいを防止ぼうしすることができる。

ただし、それらを用もちいても認証にんしょうの部分ぶぶんのみを暗号あんごう化かしたものであって、その他たのメールのヘッダや本文ほんぶんなどの内容ないようは平文へいぶんのままである。このため、TLSを用もちいてすべてを暗号あんごう化かすることが推奨すいしょうされている。

IPAの勧告かんこく

APOPで暗号あんごう化かされた中身なかみの解析かいせきについては電気通信大学でんきつうしんだいがく(情報じょうほう理工学部りこうがくぶ・大学院だいがくいん情報じょうほう理工りこう学がく研究けんきゅう科か)の太田おおた和夫かずお教授きょうじゅの研究けんきゅうグループが解析かいせきを成功せいこうさせた^[5]^[6]^[7]。この脆弱ぜいじゃく性せいはMD5 ハッシュ方式ほうしきをAPOPにおいて不適切ふてきせつに用もちいていることによるプロトコル（通信つうしん手順てじゅん）上じょうの問題もんだいであり、現時点げんじてんで根本こんぽん的てきな対策たいさく方法ほうほうは存在そんざいしない。そのため、内容ないようを漏洩ろうえいさせないためにはSTARTTLSやPOP over SSL（ポート番号ばんごうは995番ばん）などを利用りようしてSSLで通信つうしんし、ネットワーク経路けいろを暗号あんごう化かする必要ひつようがある。

なお、MD5そのものについても、アメリカ合衆国あめりかがっしゅうこく政府せいふ（NIST（アメリカ国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ））及および日本にっぽんのCRYPTREC（暗号あんごう技術ぎじゅつ評価ひょうかプロジェクト）では推奨すいしょうから外はずされており、その点てんでもAPOPの利用りようは勧すすめられない。

暗号あんごう化か

Transport Layer Security (TLS)で暗号あんごう化かして通信つうしんする方式ほうしきとして、POP3S (Implicit TLS)とSTARTTLSが規定きていされている。POP3Sではポート995番ばんを用もちいる。

RFC

RFC 5034 - The Post Office Protocol (POP3) Simple Authentication and Security Layer (SASL) Authentication Mechanism
RFC 3206 - SYS and AUTH POP Response Codes
RFC 2595 - Using TLS with IMAP, POP3 and ACAP
RFC 2449 - POP3 Extension Mechanism
RFC 2384 - POP URL Scheme
RFC 2195 - IMAP/POP AUTHorize Extension for Simple Challenge/Response
RFC 1957 - Some Observations on Implementations of POP3
RFC 1939 - Post Office Protocol - Version 3
RFC 1734 - POP3 AUTHentication command （RFC 5034で改訂かいてい）
RFC 1725 - Post Office Protocol - Version 3 （RFC 1939で改訂かいてい）
RFC 1460 - Post Office Protocol - Version 3 （RFC 1725で改訂かいてい）
RFC 1225 - Post Office Protocol - Version 3 （RFC 1460で改訂かいてい）
RFC 1081 - Post Office Protocol - Version 3 （RFC 1225で改訂かいてい）
RFC 937 - POST OFFICE PROTOCOL - VERSION 2
RFC 918 - POST OFFICE PROTOCOL （RFC 937で改訂かいてい）

脚注きゃくちゅう

[脚注きゃくちゅうの使つかい方かた]

^ ^a ^b “POP3(ぽっぷすりー)とは？意味いみや使つかい方かた - コトバンク”. コトバンク. 2023年ねん8月がつ20日はつか閲覧えつらん。
^ ^a ^b “パソコン用語ようご集しゅう POP3”. 富士通ふじつう. 2023年ねん8月がつ20日はつか閲覧えつらん。
^ ^a ^b “メールアプリの登録とうろくで悩なやむ「POP」と「IMAP」、両者りょうしゃの違ちがいを改あらためて比較ひかく”. 日経にっけいXTECH. 2023年ねん8月がつ20日はつか閲覧えつらん。
^ ^a ^b “ポップスリー”. イミダス. 2023年ねん8月がつ20日はつか閲覧えつらん。
^ IPA:APOP方式ほうしきにおけるセキュリティ上じょうの弱点じゃくてん（脆弱ぜいじゃく性せい）の注意ちゅうい喚起かんきについて
^ 情報処理じょうほうしょり推進すいしん機構きこう：セキュリティセンター：脆弱ぜいじゃく性せい関連かんれん情報じょうほう取扱とりあつかい：脆弱ぜいじゃく性せい関連かんれん情報じょうほうの調査ちょうさ結果けっか JVN#19445002 APOP におけるパスワード漏ろうえいの脆弱ぜいじゃく性せい
^ “JVN#19445002:APOP におけるパスワード漏ろうえいの脆弱ぜいじゃく性せい”. Japan Vulnerability Notes (2007年ねん4月がつ19日にち). 2018年ねん6月がつ15日にち閲覧えつらん。