電子メール転送プロトコルPOP3で使われる認証方法の一つ。RFC 1939
の中に記述されている。
通常のPOP3の認証方法では、メールサーバへのログイン時にアカウント名とパスワードがそのままの形でネットワークに流されてしまい、メールのチェックを行なう場合などにパスワードを盗まれる危険性がある。
そこで、パスワードを直接送信しないようにし、安全性を高めた認証方法が、このAPOPである。
ただし、メール本文は暗号化されない。
APOPに対応したPOP3サーバは、接続直後に現在日時やドメイン名などを含む一意な文字列を提示する。
MUA(メールソフト)はこの文字列をナンスとし、これと(本当の)パスワードを混合してMD5でハッシュをとった文字列を認証に用いる。
ハッシュ値の要素に現在の日時が含まれるため、一度送信されたパスワードは二度と使われることがなく、仮にこれが盗まれたとしても利用することが出来無いので安全である。
これを使用するには、当然のことながらPOP3サーバとメールソフトの両方が対応している必要がある。なお、APOPに対応しているPOP3サーバであっても、どちらの認証方法でも使えるということはなく、どちらか一方の認証方法のみが許される。