POP・IMAPはもう使えない！法人向けメールシステムのOAuth対応について

とくにGoogle Workspace(旧G Suite)やMicrosoft Exchangeといった法人向けのメールシステムでは、すでにOAuthの利用が推奨されている状態です。

この記事ではおもに法人でのメールシステム上でのOAuth対応について、以下のとおり解説します。

• OAuth2.0の概要としくみ
• OAuthの導入に向けた、Google Workspace(旧G Suite)やMicrosoft Exchangeの動向
• OutlookにOAuth対応のメールアカウントを設定する手順（2種類）

↓PCトラブルなど社内IT環境にお困りなら↓

Gmailである日エラーメッセージが出て送受信が出来なくなる

2022年5月30日にGmailではPOP・IMAP・SMTPなどの基本認証方式でのメールの送受信がとうとう廃止されました。

GmailをOutlookから利用していてある日突然エラーメッセージ「次のサーバーのアカウント名とパスワードを入力してください」が出て送受信が出来なくなる現象が発生しています。

従来のPOP・IMAP・SMTPでのメール送受信は出来ませんので改めてOAuth2という認証方式で設定し直さないといけなくなりました。

有料版Google WorkspaceはまだPOP・IMAP・SMTPなどの基本認証方式に対応していますが、使えなくなるのは時間の問題です。移行の準備をしておきましょう。

↓PCトラブルなど社内IT環境にお困りなら↓

Google WorkspaceやExchange Online（365）の新しい認証方式：OAuth2.0

Google Workspace(旧G Suite)やMicrosoft Exchange Online（Microsoft365）において、POP3やIMAP、SMTPは今後、継続しての利用が難しくなってきました。

POPやIMAP、SMTPには、認証情報の盗難や中間攻撃（マンインザミドル）にあいやすい特徴があるためです。

抜本的なセキュリティ対策として、GoogleやMicrosoftなどメールシステムのベンダー各社では、よりセキュリティの高い「OAuth2.0」を採用・推奨しています。

↓PCトラブルなど社内IT環境にお困りなら↓

POP・IMAP・SMTPとOAuth2.0の大きな違い：「認証サーバー」と「アクセストークン」

従来の「基本認証」と呼ばれているPOP・IMAPと、OAuth認証とを比較し、違いを見ていきましょう。

OAuthでは従来のしくみに加え「認証サーバー」と「アクセストークン」を採用し、セキュリティを確保しているのが大きな違いです。

POP・IMAP・SMTPプロトコルの脆弱性

以下にPOP3/IMAP/SMTPの認証フロー（基本認証・BASIC認証）を図解します。

POPやIMAP、SMTPの利用時には、クライアントがメールサーバーへ受信メールを要求する際に、メールサーバー本体からパスワードを要求されます。

上図①～④のフローには、以下のような脆弱性があります。

1. 単一の通信元・通信先で実施される
2. ID/パスワードなどの認証フローが、暗号化されないままパケットに乗って運ばれる

攻撃側から見ると「目標が決まっており」「タイミングと条件によっては、安直にパケットスニッファをしかけられる」という、脆弱性のある環境でした。

OAuth認証では「認証サーバー」と「アクセストークン」でセキュリティが確保される

基本認証とOAuth 2.0の大きな違いは、以下の2点です。

1. 認証先はメールサーバーではなく、認証専用のサーバー（認証サーバー）となる
2. メールサーバーとのやりとりに、アクセストークンが必要となる

認証サーバーは、IDとパスワードで認証したクライアントに対し、「このクライアントへのトークン配布を許可してよいか？」確認通知を送ります。

確認通知の代表的な送り先は、以下のとおりです。

• 該当IDを持つユーザの携帯電話
• あらかじめ登録しておいたE-mailアドレス
• ブラウザ経由の通知

たとえばGmailで2段階認証をするときに送られる、認証コードの通知メールや、SMSでのテキストメッセージが、上記の確認通知にあたります。

送られてきた確認通知を、本人が認証コードの入力によって許可した場合のみ、クライアントにアクセストークンを付与します。

クライアントは認証サーバーからもらったアクセストークンをもとにサーバーへ問い合わせ、データを受領するというわけです。

↓PCトラブルなど社内IT環境にお困りなら↓

OAuth2.0のセキュリティと、導入すべき理由

OAuth2.0として標準化された認証機構には、下記のような多くの強みがあります。

認証サーバーとメールサーバーが分離されており、攻撃を受けにくい

認証サーバーとメールサーバーが同じ場合、認証のフローやデータのやりとりが盗聴される確率が高くなります。

OAuth2.0ではデータサーバーと認証サーバーとが切り離されるため、セキュリティリスクが格段に軽減されました。

アクセストークンは、いつでも廃止/更新できる

アクセストークンも外部に漏れれば、データ盗聴などの被害にあう可能性は十分あります。

しかしアクセストークンはIDやパスワードと違い、いつでも破棄や更新が可能です。

またアクセストークンは定期的に更新すれば新しいものへと入れ替わるため、「定期的にパスワード変更」するのに近い状態を保持できます。

アクセストークンの発行には、本人あてに送られた認証コードが必要

OAuthでのID/パスワードによるログイン時には、認証サーバーからユーザー本人のE-mailアドレスや携帯電話へのショートメッセージあてに認証コードが送られます。

そしてアクセストークンの発行時には、認証コードの入力が必須となります。

詐称をたくらむクラッカーはアクセストークンを取得できないため、OAuthでの認証はなりすまし対策に有効です。

↓PCトラブルなど社内IT環境にお困りなら↓

メールシステムにおける、OAuth2.0の今後の運用

POP/IMAP/SMTPにかわりOAuth2.0が主流になると、Google Workspace（G Suite）やMicrosoft Exchangeにおいても、サーバー/クライアント間の認証機構が大幅に切り替わります。

OAuth認証を採用したメールシステムへの切り替え例

下記に、企業のメールシステムにおける切り替え例を2つ図解しました。

1. Google WorkspaceやMicrosoft Exchangeを利用し、企業メールを送受信している場合
2. Google WorkspaceやMicrosoft Exchangeに、すでに企業メールのドメイン/アカウントを委任している場合

上記の図では2パターンを用意しましたが、企業が採用しているメール機構はこの限りではありません。

OAuthでのアクセストークンの運用方法

OAuthを採用する際には、Google WorkspaceやMicrosoft Exchangeが発行したアクセストークンが必要になります。

このアクセストークンをどのように運用するかが、運用管理上の課題です。

一般的な運用管理では、下記2パターンの運用が主に採用されています。

1. アクセストークンは、管理者自らが発行し、提供する
2. アクセストークンの利用に、社員のアカウントか、部署の共通スマホなどを用意し、各ユーザ認証の宛先とする

しかし現状では上記のどちらも、企業のスタイルに合わせるのが難しい状況です。

ベンダー各社のOAuth2.0対応状況

GoogleやMicrosoftは法人向けのグループウェアでOAuth2.0の採用を積極的に提案し、これまでの基本認証（POP・IMAP・SMTP）の廃止をアナウンスしています。

それぞれの基本認証廃止時期は、下記のとおりです。

■Google Google Workspace(旧G Suite) ：2021年2月15日期限
https://gsuiteupdates.googleblog.com/2019/12/less-secure-apps-oauth-google-username-password-incorrect.html

■Microsoft Exchange：2020年10月31日期限
https://docs.microsoft.com/ja-jp/lifecycle/announcements/exchange-online-basic-auth-deprecated

クライアント側のメーラーも、上記期日以降の認証時には、必ずOAuth認証を求められてしまうわけです。

したがって上記のグループウェアを採用している企業は、OAuth2.0対応を早急に展開する必要があります。

注意：Outlookのバージョンは2019以上か365が必要

OAuthを使う場合、Outlookであれば2019以上のバージョン、その他のメーラーでもOAuth対応のものを用意する必要があります。

Outlook2016以前のバージョンは基本、OAuthに対応していません。

※Outlook2016の場合：MSIインストーラーを利用した、ボリュームライセンス版のOutlook2016は、OAuthに対応していません。

参考：サードパーティ製のメール クライアントで Gmail を設定する（Google）

↓PCトラブルなど社内IT環境にお困りなら↓

Outlook365で、OAuth認証対応のメールアカウントを設定する方法

アカウントやメールクライアントを用意しておけば、OAuth認証対応のアカウント導入手順はそれほど難しくありません。

本記事ではGmailアカウントを使い、Outlook365にOAuth認証対応のメールアカウントを導入してみました。

以下にご紹介する方法は、Microsoft365とOffice2019で有効です。

Office2016以前のバージョンでは基本、OAuth認証に対応していないため、Officeのアップグレードをご検討いただくことになります。

Outlook365にGmailアカウントを設定する2つの方法

OAuth認証できるGmailアカウントをOutlookに設定するには、以下2とおりの方法（手順）があります。

1. Gmailアカウントに下準備をおこなってから、Outlookに自動認識させる方法
2. Outlookの設定画面からGmailアカウントにアクセスし、設定をおこなう方法

1.では手順が2段階に分かれますが、「Gmailアカウントの下準備＋Outlookにログインするだけ」とシンプルな手順となります。Outlookにまったくメールアカウントを設定していない場合には、この手順が便利です。

2.ではOutlookとGmailを連携させる手順の途中で、Gmailアカウントの設定をおこないます。すでに利用中のOutlookに、新しくGmailアカウントを追加する時に役立ちます。

1．Gmailアカウントに下準備をおこなってから、Outlookに自動認識させる方法

GmailアカウントにIMAPを利用できるよう設定してから、Outlookを起動しGmailアカウントを自動認識させます。

ここではGmailを例に説明いたしますが、他のOAuth認証方式でも同様の操作が必要です。

■Gmail側の設定

GmailアカウントでOAuth認証を利用するためには、GmailでIMAPを利用できるよう設定する必要があります。

①Gmailを開きます。

右上の歯車（設定）ボタンを押し、「すべての設定を表示」を選択します。

②「メール転送とPOP/IMAP」タブを選択します。

「IMAPアクセス」欄から「IMAPを有効にする」を選択し、設定変更をおこないます。

これで、GmailアカウントでIMAPが利用できるようになりました

■OutlookにGmailアカウントを連携させる手順

まだアカウントを設定していないOutlookを起動すると、下記のような画面が開きます。

①Outlookを起動します。

初回にメールアドレスを聞かれます。

こちらに、先ほどIMAPが利用できるよう設定したGmailアドレスを入力します。

②Gmailアカウントの対応パスワードを入力します。

Gmailアカウント対応のIMAP/SMTP設定については、Outlookが自動的に設定をおこないます。

以上で、OutlookでOAuth認証を使い、Gmailアカウントを利用できるようになりました。

2．Outlookの設定画面からGmailアカウントにアクセスし、設定をおこなう方法

こちらはOutlookを起動した状態から、新しくGmailアカウントを設定する方法です。

■設定手順

①Outlookを開きます。

メニューから「ファイル」→「情報」→「アカウントの設定」を開きます。

1.「アカウント設定」画面で「メール」タブを選択→「新規」を押します。

2. メールアドレスの入力欄がポップアップします。Gmailのアドレスを入力し「Enter」キーを押します。

②次画面で「アカウント設定の変更」ボタンを押します。

③Gmail認証画面が表示されます。

Gmailのアカウントとパスワードを入力し「次へ」ボタンを押します。

④Googleアカウントへのアクセスをリクエストする画面が表示されます。

画面右下「許可」ボタンを押します。

次画面で「アカウントが正常に追加されました」という通知が表示され、認証完了です。

以上のように、OAuth認証対応のメールソフトであれば、メールアカウントの導入手順はそれほど煩雑ではありません。

↓PCトラブルなど社内IT環境にお困りなら↓

まとめ

メールの送受信手順において、従来のPOPやIMAP、SMTPはなじみの方法でした。

しかしセキュリティ上の問題からベンダー各社でOAuthが導入される流れになっており、POPやIMAP、SMTPは今後利用できなくなると考えられます。

とくにOutlookをご利用の場合、2010, 2013, 2016など古いバージョンではOAuth認証を利用できないため、バージョンアップなど早急な対応が必要です。

従来通りPOP3やIMAPでメールの送受信したい場合は以下のページをご参考ください。

メール設定に関わる関連記事

PCとスマホで会社のメールを同期したい！その方法とメリットデメリット注意点まとめ

働き方が多様になり、受信したEメールを様々な場所で参照したいというニーズがあります。しかし、メールの方式によってはそれができる場合と出来ない場合があります。本稿ではメールの受信方式から、出来ることと出来ないことの詳細を解説。また、Eメールに代わるコミュニケーションについても簡単な説明をしています。

togeonet.co.jp

POPとIMAPの違いは？その他の方法は？どちらでメール受信設定したらいいかまとめ

メールの設定時には、POPとIMAPのどちらかを選択しなければなりません。 どちらを選ぶかは、メールの使い方やパソコンなど端末の使用状況によって異なります。 POPとIMAPそれぞれの違いについて説明し、どちらを選ぶと使い勝手が良いか解説します。

togeonet.co.jp

その他メールトラブル記事

スパム認定ブラックリストに登録されて相手にメールが届かない時の対処法

ある日突然、特定のメールアドレスにメールが送れなくなってしまったという経験はありませんか？自分の使っているメールサーバがスパム認定されて、それが原因でセキュリティーレベルの高いサーバを使っている相手にメールが送れなくなることがあります。

togeonet.co.jp

独自ドメインの移行、移管したらトラブった！その原因と対処方法

サイトやメールサーバ移転の際に、最も注意が必要なのは、ドメインの移行です。ドメイン移行時にありがちな各種トラブルと、その対処方法、未然防止策について、まとめました。

togeonet.co.jp

↓PCトラブルなど社内IT環境にお困りなら↓

どうしてもうまくいかない時は