IMAPとは？

IMAPとは？

インターネットメッセージアクセスプロトコル（IMAP）は、メールを受信するためのプロトコルです。プロトコルは、技術的なプロセスを標準化し、同じハードウェアやソフトウェアを使用しているかどうかにかかわらず、コンピューターやサーバーが相互に接続できるようにします。

IMAPの主な特徴は、ユーザーがどのデバイスからでも自分のメールにアクセスできることです。これは、IMAPが、サーバーからメールクライアントにメールをダウンロードするのではなく、メールサーバーとメールクライアントを仲介する役割を担っているためです。

IMAPのこの点を、Microsoft WordとGoogle Docsの使い方の違いに例えてみてください。Microsoft Wordの文書は、コンピューターにローカルに保存され、メールの添付ファイルやUSBメモリで持ち運ぶことができますが、動的に更新されるわけではありません。例えば、サリーがWord文書に変更を加えた場合、その変更はサリーのコンピューターにのみ保存されます（リンダのコンピューターにあるバージョンには保存されません）。

それに比べ、Google Docsはインターネット経由でさまざまなデバイスからアクセスでき、ユーザーがファイルに変更を加えると動的に更新されます。このシナリオでは、サリーが共有ファイルに加えた変更は、たとえ同じ文書にアクセスするために別のコンピューターを使用していても、リンダにも見ることができるのです。

同様に、IMAPを使用すれば、ユーザーは異なるデバイスから自分のメールアカウントにアクセスしても使用感に違いはなく、必ずしも最初にメールを読んだデバイスからである必要はないのです。

POP3とは？

ポストオフィスプロトコルバージョン3（POP3）は、サーバーからローカルデバイスにメールをダウンロードするメール受信の代替プロトコルです。POP3を使用すると、受信者はメールをローカルに保存し、その後メールサーバーから削除するため、別のデバイスから再度アクセスすることができません。

IMAPとPOP3

ここでは、IMAPとPOP3の主な違いについてまとめています。

IMAPでのメールの送受信はどのように行われるか？

ここでは、IMAP*を使ったメールの送受信のプロセスを簡単に説明します。

メールの送信：簡易メール転送プロトコル（SMTP）は、メールの送信方法を定義します。

• クライアントとメールサーバーの間に、伝送制御プロトコル（TCP）の接続がセットアップされます。この接続により、サーバーにメールが来るのを知らせることができます。
• クライアントは、メールそのものを含む一連のコマンドをサーバーに送信します。
• メールサーバーは、メール転送エージェント（MTA）と呼ばれる独自のプログラムを使って、メールのDomain Name System（DNS）レコードをチェックし、受信者のIPアドレスを見つけます。MTAはDNSレコードをIPアドレスに変換し、メールの送信先が分かるようにします。
• SMTPは、受信者のドメイン名に関連するメール交換（MX）レコードを探します。（MXレコードは、SMTPに従ってメッセージがどのようにルーティングされるべきかを示すために使用されます。）MXレコードがある場合は、対応するメールサーバーにメールが送信されます。

メールの取得：IMAPは、メールの受信方法を定義します。

• メールはメールクライアント内でアクセスでき、どのデバイスからでも読むことができます。IMAPはメールクライアントとサーバーの間の仲介役のため、これらのメールにはインターネットに接続していないとアクセスできません。
• ユーザーがメールクライアントにサインインすると、クライアントはメールサーバーに接続してメッセージを取得します。ユーザーはメールのプレビュー（件名と送信者情報）を見ることができますが、ユーザーがメッセージをクリックするまで、実際のメッセージはダウンロードされません。
• 受信トレイの所有者のメールは、削除されるまでサーバーとクライアントの接続により利用可能です。

*なお、この例では、メールの取得についてIMAPを使用して説明しています。しかし、POP3を実装されている場合、このプロセスは若干異なって見えます。

IMAPのセキュリティ上の考慮事項とは？

IMAPの場合、メールはデフォルトでサーバーに保存されるため、サーバーの安全性が損なわれた場合に問題が発生する可能性があります。しかし、IMAPはPOP3と違って、ダウンロードしたメールを入れたデバイスを紛失したり、破損したりしてもメールが消失する心配がありません。

IMAPの最大のセキュリティ問題の1つは、デフォルトでクライアントからサーバーにログインをプレーンテキストで送信することです。つまり、ユーザー名とパスワードは暗号化されていません。（暗号化されたログインは、複雑な数式で隠されているため、攻撃者が読んだだけでは理解できません。）この脆弱性は、暗号化通信を容易にするTransport Layer Security（TLS）プロトコル上でIMAPを設定することで保護することができます。

IMAPに関連するもう一つの脆弱性は、多要素認証（MFA）と本質的に互換性がないことです。このため、IMAPを悪用してMFA要件を回避し、攻撃者がパスワードスプレー攻撃を成功させることが容易になります。（パスワードスプレーでは、攻撃者はよく使われるパスワードと潜在的なユーザー名のさまざまな組み合わせを試みます。）認証要件をサポートしないサードパーティのメールクライアントを使用したり、MFAを実施できない共有メールアカウントを維持したりすると、組織は特に脆弱になります。

Cloudflareがメールの安全化にどう役立つか？

Cloudflare Area 1 Email Securityは、クラウドベースのメールセキュリティソリューションで、機械学習によりフィッシングなどのメールを使った攻撃をプロアクティブに識別するものです。一般的なクラウドメールプロバイダーと統合することで、IMAPが脆弱になり得るパスワードスプレーなどの攻撃に対する既存の保護を強化します。