[Mew-dist 12923] Re: mew-1.95b33.tar.gz

[Akihiro Fukano]

From: Kazu Yamamoto (山本和彦) <kazu at example.com>
Subject: Re: [Mew-dist 12920] Re: mew-1.95b33.tar.gz
Date: Tue, 25 Apr 2000 15:29:50 +0900 (JST)

> From: Akihiro Fukano <a-fukano at example.com>
> Subject: [Mew-dist 12920] Re: mew-1.95b33.tar.gz
> 
> > そこで、質問なのですが、Mew は、RFC 2554 の
> > 
> > AUTH CRAM-MD5
> > 
> > で、認証するのですよね。
> 
> はい。今のところ、CRAM-MD5 だけサポートしています。

了解しました。

> > RFC に書いていない
> > 
> > AUTH LOGIN
> > 
> > のサポートは行わないのですよね。たぶん
> 
> これは POP の USER/PASS をサポートする程度の意味合いでしょうから、実装
> するけど推奨しないことになるのでしょうね。

機能が有るのは嬉しいです。

しかし、
AUTH LOGIN しか対応していない、MUA はたくさんあるけど、
AUTH LOGIN しか対応していない、MTA ってあるのでしょうか?
＃ そもそも、SMTP AUTH に対応した MTA を他で見たこと無いけど

> > ＃ CRAM-MD5  は、パスワードを crypt しないで平文のままで覚え
> > ＃ ていないといけない。
> 
> これはサーバ側ですね。
> 
> > だから、/etc/passwd /etc/shadow 以外
> > ＃ にパスワードを管理する必要があって面倒。
> 
> そうですね。でも、APOP サーバを管理するのとたいした差はないでしょう。

ハッキリしなくてすみません。サーバ側の話です。

独り言ですが、APOPを導入するとき、セキュリティーを高める上で、
crypt されたパスワード(POP3のパスワード)と、平文で保存される
パスワード(APOPのパスワード)は、別々にするようにしました。

このポリシーに沿って考えると、 AUTH CRAM-MD5 のパスワードは、
POP3のパスワードとも、APOPのパスワードとも違うものを設定でき
るようにすることになると思います(APOPと同じかも知れないが、
メールを受け取るときと)。

そうすると、AUTH LOGIN で認証した場合と、AUTH CRAM-MD5 で認
証した場合、入力しなければならないパスワードは別になります。
しかし、多くの MUA が、どっちを使っているか書いていないので、
SMTPを使用するユーザはどっちパスワード入れて良いか迷ってしま
う。迷って判らないと、プロバイダに聞いてくると .........


プロバイダがSMTP AUTHを使わないのは、RFC になっても認証方式
が統一されていないからだろうか？


--
深野 哲洋 ＠ (株)NTTPCコミュニケーションズ