13. Security Considerations (セキュリティに関する考慮事項)

APOPコマンドの使用は、POP3セッションに対する発信元識別とリプレイ保護を提供すると推測されます。したがって、PASSとAPOPの両方のコマンドを実装するPOP3サーバーは、指定されたユーザーに対して両方のアクセス方法を許可すべきではありません。つまり、指定された "USER name" に対して、PASSまたはAPOPコマンドのいずれかが許可されますが、両方は許可されません。

さらに、共有秘密の長さが増加するにつれて、それを導出することが難しくなることに注意してください。したがって、共有秘密は長い文字列であるべきです (APOPコマンド例に示されている8文字の例よりもかなり長い)。

APOPコマンドは、POP3セッションに対するデータ整合性または機密性保護を提供しないことを認識することが重要です。これは、初期認証交換に対する発信元認証とリプレイ保護のみを提供します。