[Mew-dist 12923] Re: mew-1.95b33.tar.gz
Akihiro Fukano
a-fukano at example.com
2000年 4月 25日 (火) 18:07:57 JST
From: Kazu Yamamoto (山本和彦) <kazu at example.com>
Subject: Re: [Mew-dist 12920] Re: mew-1.95b33.tar.gz
Date: Tue, 25 Apr 2000 15:29:50 +0900 (JST)
> From: Akihiro Fukano <a-fukano at example.com>
> Subject: [Mew-dist 12920] Re: mew-1.95b33.tar.gz
>
> > そこで、質問なのですが、Mew は、RFC 2554 の
> >
> > AUTH CRAM-MD5
> >
> > で、認証するのですよね。
>
> はい。今のところ、CRAM-MD5 だけサポートしています。
了解しました。
> > RFC に書いていない
> >
> > AUTH LOGIN
> >
> > のサポートは行わないのですよね。たぶん
>
> これは POP の USER/PASS をサポートする程度の意味合いでしょうから、実装
> するけど推奨しないことになるのでしょうね。
機能が有るのは嬉しいです。
しかし、
AUTH LOGIN しか対応していない、MUA はたくさんあるけど、
AUTH LOGIN しか対応していない、MTA ってあるのでしょうか?
# そもそも、SMTP AUTH に対応した MTA を他で見たこと無いけど
> > # CRAM-MD5 は、パスワードを crypt しないで平文のままで覚え
> > # ていないといけない。
>
> これはサーバ側ですね。
>
> > だから、/etc/passwd /etc/shadow 以外
> > # にパスワードを管理する必要があって面倒。
>
> そうですね。でも、APOP サーバを管理するのとたいした差はないでしょう。
ハッキリしなくてすみません。サーバ側の話です。
独り言ですが、APOPを導入するとき、セキュリティーを高める上で、
crypt されたパスワード(POP3のパスワード)と、平文で保存される
パスワード(APOPのパスワード)は、別々にするようにしました。
このポリシーに沿って考えると、 AUTH CRAM-MD5 のパスワードは、
POP3のパスワードとも、APOPのパスワードとも違うものを設定でき
るようにすることになると思います(APOPと同じかも知れないが、
メールを受け取るときと)。
そうすると、AUTH LOGIN で認証した場合と、AUTH CRAM-MD5 で認
証した場合、入力しなければならないパスワードは別になります。
しかし、多くの MUA が、どっちを使っているか書いていないので、
SMTPを使用するユーザはどっちパスワード入れて良いか迷ってしま
う。迷って判らないと、プロバイダに聞いてくると .........
プロバイダがSMTP AUTHを使わないのは、RFC になっても認証方式
が統一されていないからだろうか?
--
深野 哲洋 @ (株)NTTPCコミュニケーションズ
Mew-dist メーリングリストの案内