[Mew-dist 12924] SMTP Auth

[Kazu Yamamoto ( 山本和彦 )]

From: Akihiro Fukano <a-fukano at example.com>
Subject: [Mew-dist 12923] Re: mew-1.95b33.tar.gz

> ＃ そもそも、SMTP AUTH に対応した MTA を他で見たこと無いけど

Sendmail に Cyrus の SASL ライブラリをリンクすれば、SMTP AUTH
(CRAM-MD5 など) が使えます。

> そうすると、AUTH LOGIN で認証した場合と、AUTH CRAM-MD5 で認
> 証した場合、入力しなければならないパスワードは別になります。
> しかし、多くの MUA が、どっちを使っているか書いていないので、
> SMTPを使用するユーザはどっちパスワード入れて良いか迷ってしま
> う。迷って判らないと、プロバイダに聞いてくると .........

ISP の社員の帽子をかぶって発言すると、顧客に複数のパスワードを管理して
もらうのは無理だと思います。

> プロバイダがSMTP AUTHを使わないのは、RFC になっても認証方式
> が統一されていないからだろうか？

ユーザのメリットが少なく、しかも移行が難しいからです。

ユーザから見れば、パスワードなしで電子メールを投稿できるのが一番です。

ISP からみると、Span を防止したいので、ユーザ認証をしたい。これまで、
SMTP Auth という技術がなかったので、POP の認証で代用していました。つま
り、まずメールを受信し、認証を済ませると、その IP アドレスに対してしば
らくの間 SMTP コネクションを許可します。

これは、一見ユーザを認証しているように思いますが、単なるホスト認証です。
NAT の内側の A さんがあけた穴を、NAT の内側の B さんが利用できてしまい
ます。

よって、ISP にとっては、SMTP Auth の方が安心できます。しかし、これまで
の POP 認証とどう組み合わせていくのか難しいです。

	- SMTP サーバを別けて SMTP Auth, POP 認証を別々に運用する
		-> ユーザはちゃんと理解してくれるか？

	- SMTP Auth と POP 認証を同じサーバで併用する
		-> SMTP Auth が先じゃないと意味がないよなぁ
		-> 失敗したら POP 認証するの？
		-> だとしたら、SMTP Auth のパスワードが正しいか判断できない
			SMTP Auth の認証が失敗しても、POP 認証が
			成功していたら、投稿できるから。
		-> EHLO だったら SMTP Auth で、HELO だったら POP 認証？

いずれにしろ、ややこしく、ユーザにとっては不便になるだけなので、難しい
でしょうね。

P.S.

CRAM-MD5 のデバッグは個人的にはしたくありません。セッションが base64 
で符号化されているなんて最低。

--かず