POP3 / IMAPより強力な認証

IMAPS（別名「SSL内のIMAP」）は、クライアント証明書（二重認証されたSSL）の要件で構成できます。その方法でIMAPSサーバーをセットアップし、カスタムCAによって発行され、スマートカード（またはスマートカードと同等のUSBトークン。これらは特定のリーダーを必要としないため、より簡単です）で配布された証明書を要求できます。最後に、スマートカードにはPINコードが必要です。このコードは2FAとしてカウントされます（1つの要素はスマートカードの所有、2番目の要素はPINの知識です）。

残念ながら、すべてのIMAPSクライアントがクライアント証明書をサポートしているわけではありません（たとえば、iPhoneでは、明らかに 脱獄といくつかの追加の作業 ）が必要です（とにかく、スマートカードをiPhoneに差し込んで頑張ってください...）。また、PKIを設定してスマートカードを登録することは、たとえば、少し高価になる傾向があります。

オープンソースのPOP/IMPAサーバーを別の認証方法を使用するように変更するのは比較的簡単ですが、MS Outlookの書き換えははるかに困難になります。

または、リバースキャプティブゲートウェイを使用して、最近HTTP経由で正常に認証されたIPアドレスのPOP/IMAPサーバーへのアクセスのみを許可することもできますが、これには多くの問題があります。

• ユーザーではなくIPアドレスに基づいて認証を行っている-IPアドレスに他のユーザーがいる可能性がある

• サーバーサイドに表示されるクライアントIPは、プロトコルやクライアントによって異なる場合があります

より実用的なソリューションは、VPNへのIMAP/POPアクセスを制限し、POPユーザー名/パスワード（第2要素）とともにVPNの認証（第1要素）を要求することです。

内部IPからメールサーバーへの接続のみを許可し、VPNおよびWebメールソリューションを提供できます。 VPNはOutlookなどのクライアントを使用するために必要であり、接続時に2要素認証が必要になります。ウェブメールオプションでは、サイトに接続するために2要素認証が必要です。サイトでは、メールサーバーのルールによってアクセスが許可されている内部サーバー経由で電子メールを送受信できます。

IMAPサーバーが認証にPAMの使用をサポートしている場合、2要素認証にYubikey +パスワードを使用するようにPAMを構成できる場合があります。 YubikeyはPAMとの統合をサポートしていると思いますが、PAMに関する個人的な経験はなく、IMAPサーバーと統合する方法についての報告もありません。

または、Gmailをメールプロバイダーとして使用し、「アプリケーション固有のパスワード」を使用してGmailへの認証を行うことができます。これは技術的には2要素認証ではありませんが、ユーザーが選択したパスワードよりもいくらか優れています。

クライアント証明書を調べるというトムリークの推奨事項が最善の策です。 ワンタイムパスワードソリューションは、IMAPにはあまり適していません。ユーザーには明らかです。

今朝一度、ウェブメールのIMAPクライアントにログインしましたが、ログを見ると、過去90分間にIMAPバックエンドに対する認証が40回実行されています。ワンタイムパスワード要素が使用されている場合、追加のプロンプトなしではそれを行うことはできません。

最初の質問は、質問を再構成することです。IMAPで2要素認証を実装するには、どの標準認証プロトコルを使用できますか？ファイアウォールの内側の答えは通常は半径です。 RADIUSとセッションキャッシュをサポートするようにIMAPサーバーを構成できる場合（@gowenfawrがWebアプリに対しても確実に行っているため、言及されている問題を回避するため）、任意の2FAベンダーで動作させることができます。私たちはみんなRADIUSをサポートしているので。

これを1つのWindowsで行う方法はわかりませんが、ほとんどの場合、ForefrontなどのIMAPサーバーの前に何かが必要になります。 LinuxでSquirrelMail/IMAPを実行する方法は次のとおりです。 https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail-for-wikid-強力な認証 。