SSLの仕組みについて良くわかるサイトを教えてください。


具体的に知りたい内容としては、
1. ベリサイン等で証明書を取りました
2. そのサーバー上でPHPのメール関数を使ったメール送信プログラムを作成しました。
3. https経由で、そのプログラムを走らせました。
4. 送信されたメールは暗号化(保護)されているのでしょうか?
5. されているとすれば、どこで復元されるのでしょうか?

POPサーバーに格納された時点で復元(非暗号化)されてしまうのでしょうか?
それとも、メールクライアントに届くまで暗号化されたまま、なのでしょうか?


結局、メールクライアントに届くまで暗号化されていないのであれば、
SSLをかけてあっても・・・なぁ、と思いまして・・・。

よろしくお願い致します。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/12/10 00:33:08
  • 終了:--

回答(3件)

id:ootatmt No.1

ootatmt回答回数1307ベストアンサー獲得回数652005/12/10 01:12:20

ポイント30pt

http://dictionary.rbbtoday.com/Details/term2683.html

SMTP over SSL(エスエムティーピー・オーバー・エスエスエル):RBB TODAY (ブロードバンド辞典)

PHPからのメール送信プロトコルはSMTPであって、SSLを使用しませんので、暗号化されません。


SSLは、Webブラウザとユーザ間のHTTP通信の暗号化に使われるもので、メール送信とは無関係です。


メールサーバとユーザ間の通信を暗号化する技術として、SMTP over SSL などがありますが、この場合はサーバ間の通信なので無関係です。

id:uchisuke

なるほど・・・。

というとWebサイトに設置されている

「メールフォーム」というのはメール送信を行う訳ではなく

サーバー内にデータを蓄積する形が一般的という事になるのでしょうか?

でないと、SSLシールとか意味ないですもんね。

2005/12/12 00:30:00
id:Kumappus No.2

くまっぷす回答回数3784ベストアンサー獲得回数1852005/12/10 01:36:28

ポイント40pt

http://www-06.ibm.com/jp/software/websphere/developer/tam/securi...

IBM WSDD | Webセキュリティー入門 - 第2回 - Japan

結論から言うと、SSLによるメール暗号化はクライアント(MUA)とメールサーバの間でだけ行われ(さらに通信経路上でだけ暗号化されるので、向こうのメールサーバのサーバアプリに渡るときには復号される)、サーバ間は平文で流れます。APOPなどと同じでサーバのパスワード(これも普通は平文で流れてしまう)を盗聴されて勝手にメールを見られないため・SPAM配信などの不正なサーバ利用を防ぐためという意味合いが強いようです。

また、ご質問の例ではhttpsで守られているのはユーザがフォームに書き込んだ内容をWebサーバに送る部分だけで、Webサーバ上で走るPHPスクリプト自体はSSLレイヤを抜けてきて復号された裸の内容を扱うことになります。PHPスクリプトからのメール送信の部分でSMTP over SSLを使っていないとすると、その部分も平文ということになります。

2番目のURLはPGPを使って、注文メールをお店に暗号化して送りますというサービスについての説明です。

内容を秘密にする目的であれば、PHPスクリプトのところでPGPなどで内容を暗号化することになると思います。

3番目、4番目のURLの掲示板のスレッドで、Perlでですが似たようなことをやろうとしている人の質問とそれについての意見が出ています。

id:uchisuke

ご丁寧にありがとうございます。

やはり、そういう事ですね(^-^;。

お問い合わせ等々はDBに貯めても結局担当者へメールを流す必要があったりします。

個人情報はカットしてメールしてるんでしょうか・・・。

もしご存知の方がいらっしゃったら

コメント頂けるとありがたいです。

2005/12/12 09:17:01
id:yoshihi6 No.3

yoshihi6回答回数6ベストアンサー獲得回数02005/12/12 21:18:16

ポイント20pt

http://www.createfuture.co.jp/system/package/contact.html

システム開発・製品>パッケージ一覧>資料請求フォーム:Webシステム制作会社クリエイトフューチャー

個人情報をカットしたメールになると思います。


その場合は、たとえば


お問い合わせはDBに貯める。

お問い合わせがあったら、担当者へメールをとばす。

※内容は ”いまお問い合わせがありました!” という内容、問い合わせ日時、内容を確認できるURL(管理画面) のみ

担当者は、管理画面のURLにアクセスし、お問い合わせの内容を確認する

※管理画面には、SSLはもちろん認証(Basic認証、IP制限など)がかかっている


といった流れになります。


担当者へ送るメールの内容にどうしても個人情報を載せたい場合は、2番の方のご指摘のようにPGPなどをつかう必要があると思います。

id:uchisuke

ありがとうございました。

非常に参考になりました。

2005/12/12 22:23:01

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

  • links for 2007-02-27 Project MultiBurst 2007-02-28 04:24:59
    SMTPとは - The all-round Dictionary of Network Terms (tags: SMTP) 人力検...
「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません