【真面目版】メールを安全に届ける仕組み「SMTP-AUTH」をわかりやすく解説

はじめに――なぜ「なりすましメール」が問題なのか

実は、メールの仕組みはもともと性善説で作られていました。インターネットが研究者同士の小さなネットワークだった時代、「送り主を偽る人なんていないだろう」という前提で設計されたのです。そのため、初期のメール送信の仕組み（SMTP）には、本人確認の機能がありませんでした。

この問題を解決するために生まれたのが、今回のテーマである「SMTP-AUTH（エスエムティーピー・オース）」です。

そもそもSMTPって何？

SMTPとは「Simple Mail Transfer Protocol」の略で、日本語にすると「シンプルなメール転送の決まりごと」です。私たちがメールの「送信」ボタンを押したとき、裏側ではこのSMTPという通信ルールに従って、メールがサーバーからサーバーへとリレーされ、相手の受信箱に届きます。

イメージとしては、郵便局の仕組みに似ています。手紙をポストに入れると、地域の郵便局から相手の地域の郵便局へ転送され、最終的に届けられますよね。SMTPはその「転送ルール」にあたるものです。

ただし、昔の郵便局（SMTP）には大きな問題がありました。ポストに手紙を入れるとき、誰でも好きな差出人の名前を書けてしまったのです。身分証の確認もなく、誰でも自由にメールを送れる状態。これが迷惑メールやなりすましメールの温床になりました。

SMTP-AUTHとは？

具体的には、メールを送信する際に、ユーザーIDとパスワードの入力を求めます。正しい情報を入力できた人だけがメールを送れるようになります。

先ほどの郵便局の例えに戻ると、「ポストに手紙を入れる前に、窓口で身分証明書を見せてください」というルールが加わったイメージです。これにより、誰がメールを送ったのかがはっきりし、身元不明の怪しいメールを送ることが格段に難しくなりました。

SMTP-AUTHの仕組みをもう少し詳しく

まず、あなたのメールソフト（GmailアプリやOutlookなど）がメールサーバーに接続します。次に、メールサーバーが「認証してください」と要求します。するとメールソフトが、あなたが設定しておいたユーザーIDとパスワードを送ります。サーバー側でIDとパスワードが正しいことを確認できたら、はじめてメールの送信が許可されます。

このやり取りはすべて自動的に行われるので、普段メールを使っているとき、私たちが意識することはほとんどありません。メールアカウントを最初に設定するときにIDとパスワードを入力しておけば、あとはソフトが自動的に認証を行ってくれます。

認証方式にはいくつかの種類があり、代表的なものとして「PLAIN」「LOGIN」「CRAM-MD5」などがあります。PLAINとLOGINはパスワードをほぼそのまま送る方式で、CRAM-MD5はパスワードを暗号化して送る方式です。現在では通信そのものをTLS/SSLで暗号化するのが一般的なので、どの方式でも一定の安全性が確保されています。

SMTP-AUTHがなぜ大切なのか

一つ目は、なりすましメールの防止です。サーバーを利用する権利のある人しかメールを送れないので、第三者が勝手にあなたの名前でメールを送ることが難しくなりました。

二つ目は、迷惑メールの削減です。認証なしで大量にメールを送りつける手口が使えなくなったため、スパムメールの総量が減少しました。

三つ目は、外出先からのメール送信が可能になったことです。かつてはセキュリティ上の理由から、契約しているプロバイダのネットワーク内からしかメールを送れないという制限がありました。SMTP-AUTHの導入により、本人確認さえできれば、カフェのWi-Fiや海外の回線からでも安全にメールを送れるようになったのです。

まとめ

SMTP-AUTHは、メールの「送信時に本人確認を行う仕組み」です。ネットの黎明期には存在しなかったこの機能は、なりすましや迷惑メールといった問題に対処するために生まれました。

普段メールを使っているだけでは意識する機会は少ないかもしれませんが、私たちのメールが安全にやり取りされている裏側には、SMTP-AUTHのような仕組みが静かに働いています。