APOP

通常のPOP3の認証方法では、メールサーバーへのログイン時にアカウント名とパスワードがそのままの形でネットワークに流されてしまい、メールのチェックを行なう場合などにパスワードを盗まれる危険性がある。

そこで、パスワードを直接送信しないようにし、安全性を高めた認証方法が、このAPOPである。

ただし、メール本文は暗号化されない。

APOPに対応したPOP3サーバーは、接続直後に現在日時やドメイン名などを含む一意な文字列を提示する。

MUA(メールソフト)はこの文字列をナンスとし、これと(本当の)パスワードを混合してMD5でハッシュ値をとった文字列を認証に用いる。

ハッシュ値の要素に現在の日時が含まれるため、一度送信されたパスワードは二度と使われることがなく、仮にこれが盗まれたとしても利用することができないので安全である。

これを使用するには、当然のことながらPOP3サーバーとメールソフトの両方が対応している必要がある。なお、APOPに対応しているPOP3サーバーであっても、どちらの認証方法でも使えるということはなく、どちらか一方の認証方法のみが許される。