IMAPとは?

インターネットメッセージアクセスプロトコル(IMAP)は、ユーザーがさまざまなデバイスからメールにアクセスできるようにするためのメール受信用プロトコルです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • IMAPとは何かを説明する
  • IMAPとPOP3の比較・対照
  • IMAPのセキュリティ上の脆弱性を理解する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

IMAPとは?

インターネットメッセージアクセスプロトコル(IMAP)は、メールを受信するためのプロトコルです。プロトコルは、技術的なプロセスを標準化し、同じハードウェアやソフトウェアを使用しているかどうかにかかわらず、コンピューターやサーバーが相互に接続できるようにします。

IMAPの主な特徴は、ユーザーがどのデバイスからでも自分のメールにアクセスできることです。これは、IMAPが、サーバーからメールクライアントにメールをダウンロードするのではなく、メールサーバーとメールクライアントを仲介する役割を担っているためです。

IMAPのこの点を、Microsoft WordとGoogle Docsの使い方の違いに例えてみてください。Microsoft Wordの文書は、コンピューターにローカルに保存され、メールの添付ファイルやUSBメモリで持ち運ぶことができますが、動的に更新されるわけではありません。例えば、サリーがWord文書に変更を加えた場合、その変更はサリーのコンピューターにのみ保存されます(リンダのコンピューターにあるバージョンには保存されません)。

それに比べ、Google Docsはインターネット経由でさまざまなデバイスからアクセスでき、ユーザーがファイルに変更を加えると動的に更新されます。このシナリオでは、サリーが共有ファイルに加えた変更は、たとえ同じ文書にアクセスするために別のコンピューターを使用していても、リンダにも見ることができるのです。

同様に、IMAPを使用すれば、ユーザーは異なるデバイスから自分のメールアカウントにアクセスしても使用感に違いはなく、必ずしも最初にメールを読んだデバイスからである必要はないのです。

POP3とは?

ポストオフィスプロトコルバージョン3(POP3)は、サーバーからローカルデバイスにメールをダウンロードするメール受信の代替プロトコルです。POP3を使用すると、受信者はメールをローカルに保存し、その後メールサーバーから削除するため、別のデバイスから再度アクセスすることができません。

IMAPとPOP3

ここでは、IMAPとPOP3の主な違いについてまとめています。

imap POP3
ユーザーはどのようなデバイスからでも自分のメールにアクセスすることができます。 デフォルトでは、メールはダウンロードしたデバイスからしかアクセスできません。
サーバーはメールを保存し、IMAPはサーバーとクライアントを仲介する役割を担っています。 ダウンロードされたメールは、特に設定されない限り、サーバーから削除されます。
メールはオフラインでアクセスできません。 メールはオフラインでアクセスできますが、ダウンロードした端末でのみアクセス可能です。
メールの本文はユーザーがクリックするまでダウンロードされませんが、件名や送信者名はメールクライアントにすぐに入力されます。 メールはデフォルトでデバイスにダウンロードされるため、メッセージの読み込みに時間がかかる場合があります。
IMAPは、サーバーからメールが自動的に削除されないため、さらなるサーバースペースを必要とします。 POP3は、メールがサーバーから自動的に削除されるため、メールサーバーのストレージを節約することができます。

IMAPでのメールの送受信はどのように行われるか?

ここでは、IMAP*を使ったメールの送受信のプロセスを簡単に説明します。

メールの送信:簡易メール転送プロトコル(SMTP)は、メールの送信方法を定義します。

  • クライアントとメールサーバーの間に、伝送制御プロトコル(TCP)の接続がセットアップされます。この接続により、サーバーにメールが来るのを知らせることができます。
  • クライアントは、メールそのものを含む一連のコマンドをサーバーに送信します。
  • メールサーバーは、メール転送エージェント(MTA)と呼ばれる独自のプログラムを使って、メールのDomain Name System(DNS)レコードをチェックし、受信者のIPアドレスを見つけます。MTAはDNSレコードをIPアドレスに変換し、メールの送信先が分かるようにします。
  • SMTPは、受信者のドメイン名に関連するメール交換(MX)レコードを探します。(MXレコードは、SMTPに従ってメッセージがどのようにルーティングされるべきかを示すために使用されます。)MXレコードがある場合は、対応するメールサーバーにメールが送信されます。

メールの取得:IMAPは、メールの受信方法を定義します。

  • メールはメールクライアント内でアクセスでき、どのデバイスからでも読むことができます。IMAPはメールクライアントとサーバーの間の仲介役のため、これらのメールにはインターネットに接続していないとアクセスできません。
  • ユーザーがメールクライアントにサインインすると、クライアントはメールサーバーに接続してメッセージを取得します。ユーザーはメールのプレビュー(件名と送信者情報)を見ることができますが、ユーザーがメッセージをクリックするまで、実際のメッセージはダウンロードされません。
  • 受信トレイの所有者のメールは、削除されるまでサーバーとクライアントの接続により利用可能です。

*なお、この例では、メールの取得についてIMAPを使用して説明しています。しかし、POP3を実装されている場合、このプロセスは若干異なって見えます。

IMAPのセキュリティ上の考慮事項とは?

IMAPの場合、メールはデフォルトでサーバーに保存されるため、サーバーの安全性が損なわれた場合に問題が発生する可能性があります。しかし、IMAPはPOP3と違って、ダウンロードしたメールを入れたデバイスを紛失したり、破損したりしてもメールが消失する心配がありません。

IMAPの最大のセキュリティ問題の1つは、デフォルトでクライアントからサーバーにログインをプレーンテキストで送信することです。つまり、ユーザー名とパスワードは暗号化されていません。(暗号化されたログインは、複雑な数式で隠されているため、攻撃者が読んだだけでは理解できません。)この脆弱性は、暗号化通信を容易にするTransport Layer Security(TLS)プロトコル上でIMAPを設定することで保護することができます。

IMAPに関連するもう一つの脆弱性は、多要素認証(MFA)と本質的に互換性がないことです。このため、IMAPを悪用してMFA要件を回避し、攻撃者がパスワードスプレー攻撃を成功させることが容易になります。(パスワードスプレーでは、攻撃者はよく使われるパスワードと潜在的なユーザー名のさまざまな組み合わせを試みます。)認証要件をサポートしないサードパーティのメールクライアントを使用したり、MFAを実施できない共有メールアカウントを維持したりすると、組織は特に脆弱になります。

Cloudflareがメールの安全化にどう役立つか?

Cloudflareは、機械学習を使用してフィッシングなどのメールベースの攻撃をプロアクティブに識別するCloud Email Securityサービスソリューションを提供します。一般的なクラウドメールプロバイダーと統合することで、IMAPが脆弱になり得るパスワードスプレーなどの攻撃に対する既存の保護を強化します。