さて、今日のネタですが、「あまり語られてないつながり」ではなく、SSLv2をサポートしているサーバはDROWN攻撃を受けるというお話でした。SSLv2をサポートしてなくても、同じ秘密鍵を持つサーバがサポートしていれば、攻撃を受ける可能性があるということなので、怖いですよね。大手企業サイトでも安心出来ないということも書かれていたので不安感は増幅されますよね…。

 DROWN攻撃の記事がIT系ニュースサイト等で取り上げられた際、httpsに関する問題を解説してましたが、メールやLDAPでどうこうという視点で語られている記事は見つかりませんでした。社外から安全にメールを送受信したり、ISPでも提供しているケースは少なくないと思います。ブラウザを使ってhttpsでアクセスすると、鍵マークに斜線が表示されたり、「証明書が怪しいです(意訳)」なメッセージが表示されますが、メールソフトだと分かりにくいですよね。(ましてやLDAPだと(ry )

 そこで、OpenSSLコマンドを叩くようにしておくといいかと思います。接続するサーバを仮にmail.example.jpとします。これにpop3s(995/tcp)で接続するとした場合、以下のようになります。

openssl s_client -connect mail.example.jp:995

 上記コマンドを叩くことでPOPサーバに接続出来ます。あとは通常通りのPOPサーバの接続するlistコマンドやretrコマンド等を叩けばOKです。

 「上手くメールサーバに接続出来ないな」と思った場合は、上記コマンドを試してみるといいと思います。smtpsの場合はポート番号を465番に変更してやります。MacならデフォルトでOpenSSLはインストールされていますが、Windowsの場合は入ってませんので、自力でインストールしてやる必要があります。インストール方法等は「Windows OpenSSL インストール」で検索していただければ適切なサイトがヒットすると思います。

 この機会にメール送受信環境にも注意しておきましょうってことで、本日は失礼いたします。