インターネットメッセージアクセスプロトコル(IMAP)は、ユーザーがさまざまなデバイスからメールにアクセスできるようにするためのメール受信用プロトコルです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
インターネットメッセージアクセスプロトコル(IMAP)は、メールを受信するためのプロトコルです。プロトコルは、技術的なプロセスを標準化し、同じハードウェアやソフトウェアを使用しているかどうかにかかわらず、コンピューターやサーバーが相互に接続できるようにします。
IMAPの主な特徴は、ユーザーがどのデバイスからでも自分のメールにアクセスできることです。これは、IMAPが、サーバーからメールクライアントにメールをダウンロードするのではなく、メールサーバーとメールクライアントを仲介する役割を担っているためです。
IMAPのこの点を、Microsoft WordとGoogle Docsの使い方の違いに例えてみてください。Microsoft Wordの文書は、コンピューターにローカルに保存され、メールの添付ファイルやUSBメモリで持ち運ぶことができますが、動的に更新されるわけではありません。例えば、サリーがWord文書に変更を加えた場合、その変更はサリーのコンピューターにのみ保存されます(リンダのコンピューターにあるバージョンには保存されません)。
それに比べ、Google Docsはインターネット経由でさまざまなデバイスからアクセスでき、ユーザーがファイルに変更を加えると動的に更新されます。このシナリオでは、サリーが共有ファイルに加えた変更は、たとえ同じ文書にアクセスするために別のコンピューターを使用していても、リンダにも見ることができるのです。
同様に、IMAPを使用すれば、ユーザーは異なるデバイスから自分のメールアカウントにアクセスしても使用感に違いはなく、必ずしも最初にメールを読んだデバイスからである必要はないのです。
ポストオフィスプロトコルバージョン3(POP3)は、サーバーからローカルデバイスにメールをダウンロードするメール受信の代替プロトコルです。POP3を使用すると、受信者はメールをローカルに保存し、その後メールサーバーから削除するため、別のデバイスから再度アクセスすることができません。
ここでは、IMAPとPOP3の主な違いについてまとめています。
imap | POP3 |
---|---|
ユーザーはどのようなデバイスからでも自分のメールにアクセスすることができます。 | デフォルトでは、メールはダウンロードしたデバイスからしかアクセスできません。 |
サーバーはメールを保存し、IMAPはサーバーとクライアントを仲介する役割を担っています。 | ダウンロードされたメールは、特に設定されない限り、サーバーから削除されます。 |
メールはオフラインでアクセスできません。 | メールはオフラインでアクセスできますが、ダウンロードした端末でのみアクセス可能です。 |
メールの本文はユーザーがクリックするまでダウンロードされませんが、件名や送信者名はメールクライアントにすぐに入力されます。 | メールはデフォルトでデバイスにダウンロードされるため、メッセージの読み込みに時間がかかる場合があります。 |
IMAPは、サーバーからメールが自動的に削除されないため、さらなるサーバースペースを必要とします。 | POP3は、メールがサーバーから自動的に削除されるため、メールサーバーのストレージを節約することができます。 |
ここでは、IMAP*を使ったメールの送受信のプロセスを簡単に説明します。
メールの送信:簡易メール転送プロトコル(SMTP)は、メールの送信方法を定義します。
メールの取得:IMAPは、メールの受信方法を定義します。
*なお、この例では、メールの取得についてIMAPを使用して説明しています。しかし、POP3を実装されている場合、このプロセスは若干異なって見えます。
IMAPの場合、メールはデフォルトでサーバーに保存されるため、サーバーの安全性が損なわれた場合に問題が発生する可能性があります。しかし、IMAPはPOP3と違って、ダウンロードしたメールを入れたデバイスを紛失したり、破損したりしてもメールが消失する心配がありません。
IMAPの最大のセキュリティ問題の1つは、デフォルトでクライアントからサーバーにログインをプレーンテキストで送信することです。つまり、ユーザー名とパスワードは暗号化されていません。(暗号化されたログインは、複雑な数式で隠されているため、攻撃者が読んだだけでは理解できません。)この脆弱性は、暗号化通信を容易にするTransport Layer Security(TLS)プロトコル上でIMAPを設定することで保護することができます。
IMAPに関連するもう一つの脆弱性は、多要素認証(MFA)と本質的に互換性がないことです。このため、IMAPを悪用してMFA要件を回避し、攻撃者がパスワードスプレー攻撃を成功させることが容易になります。(パスワードスプレーでは、攻撃者はよく使われるパスワードと潜在的なユーザー名のさまざまな組み合わせを試みます。)認証要件をサポートしないサードパーティのメールクライアントを使用したり、MFAを実施できない共有メールアカウントを維持したりすると、組織は特に脆弱になります。
Cloudflareは、機械学習を使用してフィッシングなどのメールベースの攻撃をプロアクティブに識別するEmail Securityサービスソリューションを提供します。一般的なメールプロバイダーと統合することで、IMAPが脆弱になり得るパスワードスプレーなどの攻撃に対する既存の保護を強化します。