APOPなんか怖くて使えない

何に反応してるんでしょう？
メール本文がみられちゃうこと？APOPを利用しているなら、POP3な訳でメール本文は暗号化されません。ネットワーク上を行き交うのでパケットを見られれば、内容は盗み見られます。

簡単にプロトコル・認証でのセキュリティレベルを整理すると下記のようになります。

• pop3 ･･･ アカウント・パスワード・メール本文　全部平文
• APOP ･･･ アカウント・パスワードは暗号化。　メール本文は平文
• POP over SSL ･･･ アカウント・パスワード・メール本文、全て暗号化

実際、パケットダンプが必要な仕事をしていた時、試しにメール電文を見てみました。仕様上、メール本文が見えるはずだから見てみようと。当たり前なんですがやってみると内容がしっかり確認できました。（他人のメールは見てません！あくまで実験ですから）

知っているのと、自分がやってみるのは全然別。自分で実験してみると怖さを実感。それ以来、over SSLを利用するようになりました。

それでもAPOP使うなら、対策ってこの程度でいいんじゃない？

APOPの問題は所詮アカウントとメールのパスワードがばれるという話にすぎません。

1. 定期的にパスワードを変更する
2. メールのパスワードを他のパスワードと共有しない

くらいの対策でも十分被害はおさえられるはず。

攻撃方法

man-in-the-middleをベースに認証のtry&errorを繰り返すようです。
詳細は下記ページからリンクされているPDFを参照。

この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。