SMTP Authentication　【SMTP-AUTH】

SMTP Authenticationとは、メール送信に使うプロトコルであるSMTPにユーザ認証機能を追加した仕様。RFC 2554によって規定されている。

　SMTPはもともと認証を持たない単純な仕様であったため、無差別広告メールのゲリラ的送信行為の横行を許してしまっていた。

　これに対抗するため、「POP before SMTP」と呼ばれる認証方式が確立された。POP before SMTPでは、メールを受信する際に使われるPOP3の認証を利用し、認証が行われたIPアドレスから時間を限定してSMTPによるメールの送信を許可するという仕組みである。一定時間の経過後は認証が消失してしまうため、再びPOP3でアクセスして認証作業を行わなければならない。

　しかし、POP before SMTPはすでに普及しているサーバやクライアントで認証を実現できるというメリットがあるが、あくまでもPOP3の認証元のホストを保証するものであり、SMTPのやりとりそのものが正規なものであるかは保証しない。SMTP Authenticationが各ソフトウェアに実装されて普及するまでの「つなぎ」的な技術といえる。

　SMTP Authenticationではサーバとクライアントの双方が対応していなければならないものの、メール受信の際にSMTPサーバとユーザとの間でユーザアカウントとパスワードの認証を行い、認証された場合のみメールの送信を許可する。

　「AUTH-LOGIN」「AUTH PLAIN」「AUTH CRAM-MD5」などいくつかのユーザ認証方式がある。このうち、「AUTH CRAM-MD5」は、パスワード文字列がそのままネットワークを流れることがないように、暗号化が施される。