Google Workplace(旧G Suite), Microsoft ExchangeでPOP3,IMAPで送受信できない件

G Suite, Microsoft ExchangeでPOP,IMAPが今後使えない件

POP3やIMAPは、言わずと知れた標準的なメール受信プロトコルですが、Google Workplace(旧G Suite)やMicrosoft Exchangeで、今後、継続利用していくことが難しくなってきました。

POP3やIMAPは1度きりのBasic認証であり、パケットスニッファ等による認証情報の盗難や中間攻撃(マンインザミドル)に遭いやすく、その抜本的なセキュリティ対策に向け、各社が足並みをそろえて動き始めたためです。

具体的には、アクセストークンを利用する「OAuth 2.0」を今後は主体的に使っていきましょう、という流れになっているのですが「ちょっと待ってよ、それって何?」と、サーバ管理者もクライアント側も、寝耳に水です。

そこで今回は、OAuth2.0の仕組みと、それらの導入に向けたGoogle Workplace(旧G Suite)やMicrosoft Exchangeの動向などをご紹介していきます。

OAuth2.0とは何だろう?アクセストークンの仕組みについて

OAuth2.0を解説する前に、POP3/IMAPの認証フローを解説いたします。

上記のように、クライアントがメールサーバへ受信メールを要求する際は、メールサーバ本体からパスワードを要求されます。

この①~④のフローは「単一の通信元先で実施される」「ID/パスワード等の認証フローまでもが、暗号化されないままパケットに乗って運ばれる」という、攻撃側の視点からすると「目標が決まっており」「タイミングと条件に寄っては、安直にパケットスニッファが仕掛けられる」という環境であったため、脆弱性が懸念されていました。

BASIC認証とOAuth 2.0の大きな違いは、認証先がメールサーバではなく「認証を目的とした、認証サーバに委ねられること」と「メールサーバへの認証には、アクセストークンが必要になること」です。

認証サーバは認証ID/パスワードにて認証を果たしたクライアントに対し、該当IDを持つユーザの携帯電話や「予め登録しておいたE-mailアドレス宛て」「ブラウザ経由の通知」に「このクライアントへのトークン配布を許可してよいか?」確認通知を送ります。

Gmailなどにおいて、認証コード通知メールが送信されてくる理由が、ここにある訳ですね。

この確認通知を、「認証コードの入力」等によって許可した時にのみ、アクセストークンをクライアントに付与します。

クライアントはこのアクセストークンをもとにサーバへ問合せ、データを受領するというわけです。

OAuth2.0のセキュリティと、導入すべき理由

現在でもリアルタイムにニュースで取り上げられるセキュリティ事件とその損害額が目に付きますが、もはや誰の目にも「他人事ではない」ことは明らかです。

いち早くOAuth2.0として標準化された認証機構は、下記のような多くの強みを持つに至りました。

「認証サーバ=データサーバ」ではない

認証サーバとデータサーバが同一であれば、認証フローからデータの授受状況までもが、盗聴の被害に遭う確率が高くなります。

前述でも、POP3/IMAPの認証機構は、ここが最大のネックだったのですが、認証サーバが切り離されることで、そのセキュリティリスクが各段に軽減されました。

アクセストークンは、いつでも廃止/更新できる

アクセストークンが外部に漏れることで、データの盗聴などの被害に遭う可能性は拭えませんが、このアクセストークンはID/パスワードと違い「ID/パスワードとは別に、いつでも破棄や更新が可能」なのです。

しかも、定期的に更新を続けることで、このアクセストークンは真新しい物へと入れ替わり、「定期的にパスワード変更」することに近い状態を保つことができます。

認証サーバは、対象メーラー以外のアプローチ対象で、認証確認を問い合わせる

新しいスマホ等のGmail等へのログイン時によく尋ねられるかと思いますが、認証サーバは、ID/パスワードによるログインの際には、ユーザの持つE-mailアドレスや携帯電話へのショートメッセージに「認証コード」なるメッセージを送付します。

アクセストークン発行時には、その認証コードを入力しなくてはならなくなりますが、これは「偽証しようとしたクラッカーが持たないアプローチ方法」になりますので、なりすまし対策に大変有効な認証方法となります。

OAuth2.0の今後の運用とは?Google Workplace(旧G Suite)/Microsoft Exchangeの動向

Google Workplace(旧G Suite), Microsoft ExchangeでPOP,IMAPが今後使えない件

OAuth2.0が主体的に運用に乗り出した際は、クライアントとの認証機構が大幅に切り替わってしまいます。

上記、2パターンを用意しましたが、企業が採用しているメール機構はこの限りではありません。

アクセストークンの運用方法

しかし、上記いずれにも言えてしまうことは「クライアントがメールを送受信するためには、Google Workplace(旧G Suite)/Microsoft Exchangeが発行した、アクセストークンが必要となる」ことです。

運用管理上、このアクセストークンをどのように運用するか?が悩みの種になってしまうのです。

①アクセストークンは、管理者自らが発行し、提供する
②アクセストークンの利用に、社員のアカウントか、部署の共通スマホ等を用意し、各ユーザ認証の宛先とする

一般的な運用管理では、上記2パターンの運用が主に採用されていますが、①も②も、企業のスタイルに合わせるのが難しいのが現状です。

OAuth2.0の各社取り組み

なお、GoogleもMicrosoftも、法人向けのグループウェアに対し、OAuth2.0採用を積極的に提案し、これまでのBasic認証の廃止を予定しておりましたが、近年のコロナ騒ぎの影響で、廃止までの期間が長引きました。

それぞれのBasic認証廃止時期を、下記に示します。

【Google Google Workplace(旧G Suite) – 2021年2月15日期限】
https://gsuiteupdates.googleblog.com/2019/12/less-secure-apps-oauth-google-username-password-incorrect.html

【Microsoft Exchange – 2020年10月31日期限】
https://docs.microsoft.com/ja-jp/lifecycle/announcements/exchange-online-basic-auth-deprecated

なんと、もう猶予がありません。

従来のOutlookでメール送信が出来なくなる日

上記のグループウェアを採用している運用管理者は、全力でOAuth2.0対応に乗り出す必要がありそうです。

クライアント側のメーラーも、上記期日以降の認証時には、必ずOAuth認証を求められてしまうわけです。

Outlookであれば2016以上のバージョン、その他のメーラーでもAOuth対応でないとメールの送受信ができない日が近々やってきます。

OutlookメーラーでOAuth認証を実施してみよう

取り急ぎ、運用方法等は差し置いて、応急処置的に「OutlookによるOAuth認証」を行う手順を解説いたします。

以下手順においては、Outlook365にてGmailアカウントへOAuth認証してみました。

この方法は「Office365/Office2016/Office2019」にて有効ですが、「Office2013」以前のバージョンだと、そもそもOAuth認証に対応していません。その場合は、Officeのアップグレードをご検討頂いたほうが良いでしょう。

①Outlookの「ファイル>情報>アカウントの設定」へ推移し「メール」タブの新規を押下します。
(編集、で、既存設定を選択する形でも構いません。Gmailの場合、既にOAuth認証済であることもあります。)

②E-mailアドレス(Gmail)を入力すると必ず「問題発生した」通知(OAuth認証失敗)が出ますので「アカウント設定変更」へ推移します。

③アカウントの設定画面で「接続」ボタンを押下すると、別ウインドウ(ブラウザ)で、Gmail認証画面へ推移し、対応するアカウントとパスワードを求められます。

OAuth認証においては、認証先E-mailボックスへの通知であったり、携帯電話への認証コード通知であったり、様々なアプローチ方法があります。

④ログインに成功すると、Googleからの「アクセス許可」確認が行われます。

「許可」すると「アカウントが正常に追加」通知が出ますので、これで認証完了です。

以上のように、ユーザサイドからすると「認証アカウントや端末等」さえ用意しておけば、OAuth認証は、さほど難しくありません。

まとめ

メールの送受信で従来のPOP3やIMAP, SMTPはなじみの方法でしたが


☏電話で相談    ✉メールで相談

サポートエリア続々拡大中!

出張エリア一覧 /パソコン修理・ITサポート

東京23区
渋谷区, 千代田区, 東京都中央区, 港区, 新宿区, 文京区, 台東区, 墨田区, 江東区, 品川区, 目黒区, 大田区, 世田谷区, 中野区, 杉並区, 豊島区, 荒川区, 東京都北区, 板橋区, 練馬区, 足立区, 葛飾区, 江戸川区
東京都下
八王子市, 立川市, 武蔵野市, 三鷹市, 青梅市, 府中市, 昭島市, 調布市, 町田市, 小金井市, 小平市, 日野市, 東村山市, 国分寺市, 国立市, 福生市, 狛江市, 東大和市, 清瀬市, 東久留米市, 武蔵村山市, 多摩市, 稲城市, 羽村市, あきる野市, 西東京市
埼玉県
【さいたま市】西区,北区,大宮区,見沼区,中央区,桜区,浦和区,南区,緑区,岩槻区
川越市,熊谷市,川口市,行田市,秩父市,所沢市,飯能市,加須市,本庄市,東松山市,春日部市,狭山市,羽生市,鴻巣市,深谷市,上尾市,草加市,越谷市,蕨市,戸田市,入間市,朝霞市,志木市,和光市,新座市,桶川市,久喜市,北本市,八潮市,富士見市,三郷市,蓮田市,坂戸市,幸手市,鶴ヶ島市,日高市,吉川市,ふじみ野市,白岡市
【北足立郡】伊奈町
【入間郡】三芳町,毛呂山町,越生町
【比企郡】滑川町,嵐山町,小川町,川島町,吉見町,鳩山町,ときがわ町
【秩父郡】横瀬町,皆野町,長瀞町,小鹿野町
【東秩父村】児玉郡,美里町,神川町,上里町
【大里郡】寄居町
【南埼玉郡】宮代町
【北葛飾郡】杉戸町,松伏町
千葉県
【千葉市】中央区,花見川区,稲毛区,若葉区,緑区,美浜区
銚子市,市川市,船橋市,館山市,木更津市,松戸市,野田市,茂原市,成田市,佐倉市,東金市,旭市,習志野市,柏市,勝浦市,市原市,流山市,八千代市,我孫子市,鴨川市,鎌ケ谷市,君津市,富津市,浦安市,四街道市,袖ケ浦市,八街市,印西市,白井市,富里市,南房総市,匝瑳市,香取市,山武市,いすみ市,大網白里市
【印旛郡】酒々井町,栄町
【香取郡】神崎町,多古町,東庄町
【山武郡】九十九里町,芝山町,横芝光町
【長生郡】一宮町,睦沢町,長生村,白子町,長柄町,長南町
【夷隅郡】大多喜町,御宿町
【安房郡】鋸南町
神奈川県
【横浜市】鶴見区,神奈川区,南区,港南区,保土ケ谷区,旭区,磯子区,港北区,緑区,青葉区,都筑区,戸塚区,栄区,泉区,瀬谷区
【川崎市】川崎区,幸区,中原区,高津区,宮前区,多摩区,麻生区
【相模原市】南区,中央区,緑区
【横須賀三浦地域】横須賀市,鎌倉市,逗子市,三浦市,三浦郡葉山町
【県央地域】厚木市,大和市,海老名市,座間市,綾瀬市,愛甲郡愛川町,愛甲郡清川村
【湘南地域】平塚市,藤沢市,茅ヶ崎市,秦野市,伊勢原市,高座郡寒川町,中郡大磯町,中郡二宮町
【県西地域】小田原市,南足柄市,足柄上郡中井町,足柄上郡大井町,足柄上郡松田町,足柄上郡山北町,足柄上郡開成町,足柄下郡箱根町,足柄下郡真鶴町,足柄下郡湯河原町
栃木県
宇都宮市,足利市,栃木市,佐野市,鹿沼市,日光市,小山市,真岡市,大田原市,矢板市,那須塩原市,さくら市,那須烏山市,下野市
【河内郡】上三川町
【芳賀郡】益子町,茂木町,市貝町,芳賀町
【下都賀郡】壬生町,野木町
【塩谷郡】塩谷町,高根沢町
【那須郡】那須町,那珂川町
北海道
【札幌市】厚別区,北区,清田区,白石区,中央区,手稲区,豊平区,西区,東区,南区
小樽市,石狩市,岩見沢市,江別市,北広島市,恵庭市,千歳市,苫小牧市
大阪府
【大阪市】西淀川区,淀川区,東淀川区,此花区,福島区,北区,都島区,旭区,港区,西区,中央区,城東区,鶴見区,東成区,生野区,天王寺区,阿倍野区,西成区,浪速区,大正区,住之江区,住吉区,東住吉区,平野区
豊中市,吹田市,摂津市,守口市,門真市
兵庫県
尼崎市,伊丹市,西宮市
広島県
【広島市】中区,東区,南区,西区,安佐南区,安佐北区,安芸区,佐伯区
【安芸郡】府中町,海田町,熊野町,坂町

※弊社パートナーによる提供地域を含みます。


☏電話で相談    ✉メールで相談

サポートエリア続々拡大中!

出張エリア一覧 /パソコン修理・ITサポート

東京23区
渋谷区, 千代田区, 東京都中央区, 港区, 新宿区, 文京区, 台東区, 墨田区, 江東区, 品川区, 目黒区, 大田区, 世田谷区, 中野区, 杉並区, 豊島区, 荒川区, 東京都北区, 板橋区, 練馬区, 足立区, 葛飾区, 江戸川区
東京都下
八王子市, 立川市, 武蔵野市, 三鷹市, 青梅市, 府中市, 昭島市, 調布市, 町田市, 小金井市, 小平市, 日野市, 東村山市, 国分寺市, 国立市, 福生市, 狛江市, 東大和市, 清瀬市, 東久留米市, 武蔵村山市, 多摩市, 稲城市, 羽村市, あきる野市, 西東京市
埼玉県
【さいたま市】西区,北区,大宮区,見沼区,中央区,桜区,浦和区,南区,緑区,岩槻区
川越市,熊谷市,川口市,行田市,秩父市,所沢市,飯能市,加須市,本庄市,東松山市,春日部市,狭山市,羽生市,鴻巣市,深谷市,上尾市,草加市,越谷市,蕨市,戸田市,入間市,朝霞市,志木市,和光市,新座市,桶川市,久喜市,北本市,八潮市,富士見市,三郷市,蓮田市,坂戸市,幸手市,鶴ヶ島市,日高市,吉川市,ふじみ野市,白岡市
【北足立郡】伊奈町
【入間郡】三芳町,毛呂山町,越生町
【比企郡】滑川町,嵐山町,小川町,川島町,吉見町,鳩山町,ときがわ町
【秩父郡】横瀬町,皆野町,長瀞町,小鹿野町
【東秩父村】児玉郡,美里町,神川町,上里町
【大里郡】寄居町
【南埼玉郡】宮代町
【北葛飾郡】杉戸町,松伏町
千葉県
【千葉市】中央区,花見川区,稲毛区,若葉区,緑区,美浜区
銚子市,市川市,船橋市,館山市,木更津市,松戸市,野田市,茂原市,成田市,佐倉市,東金市,旭市,習志野市,柏市,勝浦市,市原市,流山市,八千代市,我孫子市,鴨川市,鎌ケ谷市,君津市,富津市,浦安市,四街道市,袖ケ浦市,八街市,印西市,白井市,富里市,南房総市,匝瑳市,香取市,山武市,いすみ市,大網白里市
【印旛郡】酒々井町,栄町
【香取郡】神崎町,多古町,東庄町
【山武郡】九十九里町,芝山町,横芝光町
【長生郡】一宮町,睦沢町,長生村,白子町,長柄町,長南町
【夷隅郡】大多喜町,御宿町
【安房郡】鋸南町
神奈川県
【横浜市】鶴見区,神奈川区,南区,港南区,保土ケ谷区,旭区,磯子区,港北区,緑区,青葉区,都筑区,戸塚区,栄区,泉区,瀬谷区
【川崎市】川崎区,幸区,中原区,高津区,宮前区,多摩区,麻生区
【相模原市】南区,中央区,緑区
【横須賀三浦地域】横須賀市,鎌倉市,逗子市,三浦市,三浦郡葉山町
【県央地域】厚木市,大和市,海老名市,座間市,綾瀬市,愛甲郡愛川町,愛甲郡清川村
【湘南地域】平塚市,藤沢市,茅ヶ崎市,秦野市,伊勢原市,高座郡寒川町,中郡大磯町,中郡二宮町
【県西地域】小田原市,南足柄市,足柄上郡中井町,足柄上郡大井町,足柄上郡松田町,足柄上郡山北町,足柄上郡開成町,足柄下郡箱根町,足柄下郡真鶴町,足柄下郡湯河原町
栃木県
宇都宮市,足利市,栃木市,佐野市,鹿沼市,日光市,小山市,真岡市,大田原市,矢板市,那須塩原市,さくら市,那須烏山市,下野市
【河内郡】上三川町
【芳賀郡】益子町,茂木町,市貝町,芳賀町
【下都賀郡】壬生町,野木町
【塩谷郡】塩谷町,高根沢町
【那須郡】那須町,那珂川町
北海道
【札幌市】厚別区,北区,清田区,白石区,中央区,手稲区,豊平区,西区,東区,南区
小樽市,石狩市,岩見沢市,江別市,北広島市,恵庭市,千歳市,苫小牧市
大阪府
【大阪市】西淀川区,淀川区,東淀川区,此花区,福島区,北区,都島区,旭区,港区,西区,中央区,城東区,鶴見区,東成区,生野区,天王寺区,阿倍野区,西成区,浪速区,大正区,住之江区,住吉区,東住吉区,平野区
豊中市,吹田市,摂津市,守口市,門真市
兵庫県
尼崎市,伊丹市,西宮市
広島県
【広島市】中区,東区,南区,西区,安佐南区,安佐北区,安芸区,佐伯区
【安芸郡】府中町,海田町,熊野町,坂町

※弊社パートナーによる提供地域を含みます。

パソコン,インターネットの設定トラブル出張解決,データ復旧,ITサポートなら株式会社とげおネット
パソコンなんでもQ&A パソコン修理/ITサポートブログ メール(Outlook)
とげおネットをフォローする
パソコン,インターネットの設定トラブル出張解決,データ復旧,ITサポートなら株式会社とげおネット

コメント