POP・IMAPはもう使えない!法人向けメールシステムのOAuth対応について

アイキャッチ

メールの送受信に長い間使われていた、POPやIMAP、SMTPなどのメールプロトコル(送受信の手順)は今後、新しいプロトコル「OAuth 2.0」に置き換わります。

とくにGoogle Workspace(旧G Suite)やMicrosoft Exchangeといった法人向けのメールシステムでは、すでにOAuthの利用が推奨されている状態です。

この記事ではおもに法人でのメールシステム上でのOAuth対応について、以下のとおり解説します。

  • OAuth2.0の概要としくみ
  • OAuthの導入に向けた、Google Workspace(旧G Suite)やMicrosoft Exchangeの動向
  • OutlookにOAuth対応のメールアカウントを設定する手順(2種類)

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

Gmailである日エラーメッセージが出て送受信が出来なくなる

2022年5月30日にGmailではPOP・IMAP・SMTPなどの基本認証方式でのメールの送受信がとうとう廃止されました。

GmailをOutlookから利用していてある日突然エラーメッセージ「次のサーバーのアカウント名とパスワードを入力してください」が出て送受信が出来なくなる現象が発生しています。

従来のPOP・IMAP・SMTPでのメール送受信は出来ませんので改めてOAuth2という認証方式で設定し直さないといけなくなりました。

有料版Google WorkspaceはまだPOP・IMAP・SMTPなどの基本認証方式に対応していますが、使えなくなるのは時間の問題です。移行の準備をしておきましょう。

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

Google WorkspaceやExchange Online(365)の新しい認証方式:OAuth2.0

イメージ

Google Workspace(旧G Suite)やMicrosoft Exchange Online(Microsoft365)において、POP3やIMAP、SMTPは今後、継続しての利用が難しくなってきました。

POPやIMAP、SMTPには、認証情報の盗難中間攻撃(マンインザミドル)にあいやすい特徴があるためです。

抜本的なセキュリティ対策として、GoogleやMicrosoftなどメールシステムのベンダー各社では、よりセキュリティの高い「OAuth2.0」を採用・推奨しています。

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

POP・IMAP・SMTPとOAuth2.0の大きな違い:「認証サーバー」と「アクセストークン」

従来の「基本認証」と呼ばれているPOP・IMAPと、OAuth認証とを比較し、違いを見ていきましょう。

OAuthでは従来のしくみに加え「認証サーバー」と「アクセストークン」を採用し、セキュリティを確保しているのが大きな違いです。

POP・IMAP・SMTPプロトコルの脆弱性

以下にPOP3/IMAP/SMTPの認証フロー(基本認証・BASIC認証)を図解します。

POP IMAP SMTP認証 フロー

POPやIMAP、SMTPの利用時には、クライアントがメールサーバーへ受信メールを要求する際に、メールサーバー本体からパスワードを要求されます。

上図①~④のフローには、以下のような脆弱性があります。

  1. 単一の通信元・通信先で実施される
  2. ID/パスワードなどの認証フローが、暗号化されないままパケットに乗って運ばれる

攻撃側から見ると「目標が決まっており」「タイミングと条件によっては、安直にパケットスニッファをしかけられる」という、脆弱性のある環境でした。

OAuth認証では「認証サーバー」と「アクセストークン」でセキュリティが確保される

OAuth 認証フロー

基本認証とOAuth 2.0の大きな違いは、以下の2点です。

  1. 認証先はメールサーバーではなく、認証専用のサーバー(認証サーバー)となる
  2. メールサーバーとのやりとりに、アクセストークンが必要となる

認証サーバーは、IDとパスワードで認証したクライアントに対し、「このクライアントへのトークン配布を許可してよいか?」確認通知を送ります。

確認通知の代表的な送り先は、以下のとおりです。

  • 該当IDを持つユーザの携帯電話
  • あらかじめ登録しておいたE-mailアドレス
  • ブラウザ経由の通知

たとえばGmailで2段階認証をするときに送られる、認証コードの通知メールや、SMSでのテキストメッセージが、上記の確認通知にあたります。

送られてきた確認通知を、本人が認証コードの入力によって許可した場合のみ、クライアントにアクセストークンを付与します。

クライアントは認証サーバーからもらったアクセストークンをもとにサーバーへ問い合わせ、データを受領するというわけです。

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

OAuth2.0のセキュリティと、導入すべき理由

イメージ

OAuth2.0として標準化された認証機構には、下記のような多くの強みがあります。

認証サーバーとメールサーバーが分離されており、攻撃を受けにくい

認証サーバーとメールサーバーが同じ場合、認証のフローやデータのやりとりが盗聴される確率が高くなります。

OAuth2.0ではデータサーバーと認証サーバーとが切り離されるため、セキュリティリスクが格段に軽減されました。

アクセストークンは、いつでも廃止/更新できる

アクセストークンも外部に漏れれば、データ盗聴などの被害にあう可能性は十分あります。

しかしアクセストークンはIDやパスワードと違い、いつでも破棄や更新が可能です。

またアクセストークンは定期的に更新すれば新しいものへと入れ替わるため、「定期的にパスワード変更」するのに近い状態を保持できます。

アクセストークンの発行には、本人あてに送られた認証コードが必要

OAuthでのID/パスワードによるログイン時には、認証サーバーからユーザー本人のE-mailアドレスや携帯電話へのショートメッセージあてに認証コードが送られます。

そしてアクセストークンの発行時には、認証コードの入力が必須となります。

詐称をたくらむクラッカーはアクセストークンを取得できないため、OAuthでの認証はなりすまし対策に有効です。

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

メールシステムにおける、OAuth2.0の今後の運用

イメージ

POP/IMAP/SMTPにかわりOAuth2.0が主流になると、Google Workspace(G Suite)やMicrosoft Exchangeにおいても、サーバー/クライアント間の認証機構が大幅に切り替わります。

OAuth認証を採用したメールシステムへの切り替え例

下記に、企業のメールシステムにおける切り替え例を2つ図解しました。

  1. Google WorkspaceやMicrosoft Exchangeを利用し、企業メールを送受信している場合
  2. Google WorkspaceやMicrosoft Exchangeに、すでに企業メールのドメイン/アカウントを委任している場合

Google Exchange 企業 メール

上記の図では2パターンを用意しましたが、企業が採用しているメール機構はこの限りではありません。

OAuthでのアクセストークンの運用方法

OAuthを採用する際には、Google WorkspaceやMicrosoft Exchangeが発行したアクセストークンが必要になります。

このアクセストークンをどのように運用するかが、運用管理上の課題です。

一般的な運用管理では、下記2パターンの運用が主に採用されています。

  1. アクセストークンは、管理者自らが発行し、提供する
  2. アクセストークンの利用に、社員のアカウントか、部署の共通スマホなどを用意し、各ユーザ認証の宛先とする

しかし現状では上記のどちらも、企業のスタイルに合わせるのが難しい状況です。

ベンダー各社のOAuth2.0対応状況

GoogleやMicrosoftは法人向けのグループウェアでOAuth2.0の採用を積極的に提案し、これまでの基本認証(POP・IMAP・SMTP)の廃止をアナウンスしています。

それぞれの基本認証廃止時期は、下記のとおりです。

Google Google Workspace(旧G Suite) :2021年2月15日期限
https://gsuiteupdates.googleblog.com/2019/12/less-secure-apps-oauth-google-username-password-incorrect.html

■Microsoft Exchange:2020年10月31日期限
https://docs.microsoft.com/ja-jp/lifecycle/announcements/exchange-online-basic-auth-deprecated

クライアント側のメーラーも、上記期日以降の認証時には、必ずOAuth認証を求められてしまうわけです。

したがって上記のグループウェアを採用している企業は、OAuth2.0対応を早急に展開する必要があります

注意:Outlookのバージョンは2019以上か365が必要

OAuthを使う場合、Outlookであれば2019以上のバージョン、その他のメーラーでもOAuth対応のものを用意する必要があります。

Outlook2016以前のバージョンは基本、OAuthに対応していません。

※Outlook2016の場合:MSIインストーラーを利用した、ボリュームライセンス版のOutlook2016は、OAuthに対応していません。

参考:サードパーティ製のメール クライアントで Gmail を設定する(Google)

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

Outlook365で、OAuth認証対応のメールアカウントを設定する方法

アカウントやメールクライアントを用意しておけば、OAuth認証対応のアカウント導入手順はそれほど難しくありません。

本記事ではGmailアカウントを使い、Outlook365にOAuth認証対応のメールアカウントを導入してみました。

以下にご紹介する方法は、Microsoft365Office2019で有効です。

Office2016以前のバージョンでは基本、OAuth認証に対応していないため、Officeのアップグレードをご検討いただくことになります。

Outlook365にGmailアカウントを設定する2つの方法

OAuth認証できるGmailアカウントをOutlookに設定するには、以下2とおりの方法(手順)があります。

  1. Gmailアカウントに下準備をおこなってから、Outlookに自動認識させる方法
  2. Outlookの設定画面からGmailアカウントにアクセスし、設定をおこなう方法

1.では手順が2段階に分かれますが、「Gmailアカウントの下準備+Outlookにログインするだけ」とシンプルな手順となります。Outlookにまったくメールアカウントを設定していない場合には、この手順が便利です。

2.ではOutlookとGmailを連携させる手順の途中で、Gmailアカウントの設定をおこないます。すでに利用中のOutlookに、新しくGmailアカウントを追加する時に役立ちます。

1.Gmailアカウントに下準備をおこなってから、Outlookに自動認識させる方法

GmailアカウントにIMAPを利用できるよう設定してから、Outlookを起動しGmailアカウントを自動認識させます。

ここではGmailを例に説明いたしますが、他のOAuth認証方式でも同様の操作が必要です。

■Gmail側の設定

GmailアカウントでOAuth認証を利用するためには、GmailでIMAPを利用できるよう設定する必要があります。

①Gmailを開きます。

右上の歯車(設定)ボタンを押し、「すべての設定を表示」を選択します。

Gmail 設定

②「メール転送とPOP/IMAP」タブを選択します。

Gmail IMAP 設定

IMAPアクセス」欄から「IMAPを有効にする」を選択し、設定変更をおこないます。

これで、GmailアカウントでIMAPが利用できるようになりました

■OutlookにGmailアカウントを連携させる手順

まだアカウントを設定していないOutlookを起動すると、下記のような画面が開きます。

①Outlookを起動します。

初回にメールアドレスを聞かれます。

こちらに、先ほどIMAPが利用できるよう設定したGmailアドレスを入力します。

Outlook Gmail 設定

②Gmailアカウントの対応パスワードを入力します。

Gmailアカウント対応のIMAP/SMTP設定については、Outlookが自動的に設定をおこないます。

以上で、OutlookでOAuth認証を使い、Gmailアカウントを利用できるようになりました。

2.Outlookの設定画面からGmailアカウントにアクセスし、設定をおこなう方法

こちらはOutlookを起動した状態から、新しくGmailアカウントを設定する方法です。

■設定手順

①Outlookを開きます。

メニューから「ファイル」→「情報」→「アカウントの設定」を開きます。

1.「アカウント設定」画面で「メール」タブを選択→「新規」を押します。

2. メールアドレスの入力欄がポップアップします。Gmailのアドレスを入力し「Enter」キーを押します。

②次画面で「アカウント設定の変更」ボタンを押します。

Outlook アカウント 設定 変更

③Gmail認証画面が表示されます。

Gmailのアカウントとパスワードを入力し「次へ」ボタンを押します。

Gmail アドレス 設定

④Googleアカウントへのアクセスをリクエストする画面が表示されます。

画面右下「許可」ボタンを押します。

次画面で「アカウントが正常に追加されました」という通知が表示され、認証完了です。

Google アカウント 追加

以上のように、OAuth認証対応のメールソフトであれば、メールアカウントの導入手順はそれほど煩雑ではありません。

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

まとめ

メールの送受信手順において、従来のPOPやIMAP、SMTPはなじみの方法でした。

しかしセキュリティ上の問題からベンダー各社でOAuthが導入される流れになっており、POPやIMAP、SMTPは今後利用できなくなると考えられます。

とくにOutlookをご利用の場合、2010, 2013, 2016など古いバージョンではOAuth認証を利用できないため、バージョンアップなど早急な対応が必要です。

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

関連記事

Outlookの各種利用方法については、下記の記事をご参照ください。

【解説!!】社内メールをクラウド化すると本当に便利になる?メリットとデメリット
「会社のメールを自宅のパソコンや自分のgmailに転送しているという方いませんか?」 さらに、 「会社のPCと、持ち運び用のノートPCと、自宅のPCで送信メールが分散するからって、わざわざ会社のアドレスをCCに入れてメールを送信...
独自ドメインの会社メールをgmailで送受信する設定方法
みなさん"Gmail(ジーメール)"はお使いですか? 私は仕事でもこのGmailを使っています。ネットさえ繋がっていれば、いつでもどこでもメールを確認できますし、Google DriveやGoogle Calendarなどの他のサービ...
【失敗しない!!】Windows Live MailからOutlookへデータを移行する方法【Outlook2010,2013,2016,2019,365対応】
Windows Live MailにはOutlookにデータを移行するツールがついているのですがうまく動かないことが多くちょっと手間がかかりますがツールを使って確実に移行できる方法を書きましたので参考にしていただければと思います。
【Outlook迷惑メール対策】迷惑メールを除外し、フォルダーへ自動振り分けする設定
仕事でのメールはOutlookをお使いの方が多いと思いますが、迷惑メール対策の設定はされていますか?この設定、意外にやられていない方が多いので、もしご自分のOutlookで設定されていない場合はすぐに設定してください。迷惑メール以外にも受け...
Outlookでメールの暗号化(SSL/TLS)設定を確認する方法
Outlookでのメールの暗号化設定(SSL/TLS)についてまとめました。 おそらく皆さんは意識せずにメールを使っていると思います。一昔前までは暗号化せずにメールの送受信(「平文(ひらぶん)」での通信)をしていたのが主流でした。もし...
出張サポート|Outlookのデータファイルを変更
本日のサポートはOutlookの挙動がおかしいので見て欲しいというご依頼でした。Outlookが起動時に画面が固まってしまい、プログラムを強制終了させますとのメッセージが出ることがたまにあるということです。同じ症状でお悩みの方は参考にしてく...

Outlookでよくあるトラブルについては、下記の記事に詳しく解説しました。

Outlookで起こる不具合の解決方法まとめ【Windows Update / Windows10】
今回のテーマはOutlookの不具合についてです。 おそらく、多くの方がお使いになっているであろう、このOutlookですが、最近、Windows10の更新があるたびに、トラブルが起きています。そこで、問合せの多い順に項目をピックアッ...

電話で相談
050-6877-6115
    メールで相談
info@togeo.net

内容に関する注意事項

あくまで参考情報となりますので、本サイトの記述に従って設定をされるときは自己責任にてお願い致します。状況によって取るべき手段が異なり全てのケースを網羅出来ているわけではありませんので記述通りに設定すれば必ず設定出来るわけではございません。ご了承ください。

出張エリア一覧 /パソコン修理・ITサポート

東京23区
渋谷区, 千代田区, 東京都中央区, 港区, 新宿区, 文京区, 台東区, 墨田区, 江東区, 品川区, 目黒区, 大田区, 世田谷区, 中野区, 杉並区, 豊島区, 荒川区, 東京都北区, 板橋区, 練馬区, 足立区,
葛飾区, 江戸川区
東京都下
八王子市, 立川市, 武蔵野市, 三鷹市, 青梅市, 府中市, 昭島市, 調布市, 町田市, 小金井市, 小平市, 日野市, 東村山市, 国分寺市, 国立市, 福生市, 狛江市, 東大和市, 清瀬市, 東久留米市,
武蔵村山市, 多摩市, 稲城市, 羽村市, あきる野市, 西東京市
埼玉県
【さいたま市】西区,北区,大宮区,見沼区,中央区,桜区,浦和区,南区,緑区,岩槻区
川越市,熊谷市,川口市,行田市,秩父市,所沢市,飯能市,加須市,本庄市,東松山市,春日部市,狭山市,羽生市,鴻巣市,深谷市,上尾市,草加市,越谷市,蕨市,戸田市,入間市,朝霞市,志木市,和光市,新座市,桶川市,久喜市,北本市,八潮市,富士見市,三郷市,蓮田市,坂戸市,幸手市,鶴ヶ島市,日高市,吉川市,ふじみ野市,白岡市
【北足立郡】伊奈町
【入間郡】三芳町,毛呂山町,越生町
【比企郡】滑川町,嵐山町,小川町,川島町,吉見町,鳩山町,ときがわ町
【秩父郡】横瀬町,皆野町,長瀞町,小鹿野町
【東秩父村】児玉郡,美里町,神川町,上里町
【大里郡】寄居町
【南埼玉郡】宮代町
【北葛飾郡】杉戸町,松伏町
千葉県
【千葉市】中央区,花見川区,稲毛区,若葉区,緑区,美浜区
銚子市,市川市,船橋市,館山市,木更津市,松戸市,野田市,茂原市,成田市,佐倉市,東金市,旭市,習志野市,柏市,勝浦市,市原市,流山市,八千代市,我孫子市,鴨川市,鎌ケ谷市,君津市,富津市,浦安市,四街道市,袖ケ浦市,八街市,印西市,白井市,富里市,南房総市,匝瑳市,香取市,山武市,いすみ市,大網白里市
【印旛郡】酒々井町,栄町
【香取郡】神崎町,多古町,東庄町
【山武郡】九十九里町,芝山町,横芝光町
【長生郡】一宮町,睦沢町,長生村,白子町,長柄町,長南町
【夷隅郡】大多喜町,御宿町
【安房郡】鋸南町
神奈川県
【横浜市】鶴見区,神奈川区,南区,港南区,保土ケ谷区,旭区,磯子区,港北区,緑区,青葉区,都筑区,戸塚区,栄区,泉区,瀬谷区
【川崎市】川崎区,幸区,中原区,高津区,宮前区,多摩区,麻生区
【相模原市】南区,中央区,緑区
【横須賀三浦地域】横須賀市,鎌倉市,逗子市,三浦市,三浦郡葉山町
【県央地域】厚木市,大和市,海老名市,座間市,綾瀬市,愛甲郡愛川町,愛甲郡清川村
【湘南地域】平塚市,藤沢市,茅ヶ崎市,秦野市,伊勢原市,高座郡寒川町,中郡大磯町,中郡二宮町
【県西地域】小田原市,南足柄市,足柄上郡中井町,足柄上郡大井町,足柄上郡松田町,足柄上郡山北町,足柄上郡開成町,足柄下郡箱根町,足柄下郡真鶴町,足柄下郡湯河原町
栃木県
宇都宮市,足利市,栃木市,佐野市,鹿沼市,日光市,小山市,真岡市,大田原市,矢板市,那須塩原市,さくら市,那須烏山市,下野市
【河内郡】上三川町
【芳賀郡】益子町,茂木町,市貝町,芳賀町
【下都賀郡】壬生町,野木町
【塩谷郡】塩谷町,高根沢町
【那須郡】那須町,那珂川町
【大阪市】西淀川区,淀川区,東淀川区,此花区,福島区,北区,都島区,旭区,港区,西区,中央区,城東区,鶴見区,東成区,生野区,天王寺区,阿倍野区,西成区,浪速区,大正区,住之江区,住吉区,東住吉区,平野区
豊中市,吹田市,摂津市,守口市,門真市
兵庫県
尼崎市,伊丹市,西宮市
広島県
【広島市】中区,東区,南区,西区,安佐南区,安佐北区,安芸区,佐伯区
【安芸郡】府中町,海田町,熊野町,坂町

※弊社パートナーによる提供地域を含みます。

パソコン修理/ITサポートブログメール(Outlook)
PC,LAN,WiFi,NASの出張トラブル解決,中小企業のITサポートは(株)とげおネット