محدّث قبل شهر واحد
POP3로 이메일을 확인할 때, 대부분의 현대 프로토콜과는 철학적으로 다른 일이 일어납니다. 여러분의 컴퓨터는 이메일을 보는 것이 아닙니다. 여러분의 컴퓨터가 이메일 그 자체가 됩니다. 메시지는 서버에서 여러분의 기기로 전송되고, 그 후 서버에서 사라집니다—마치 실제 우편함에서 편지를 꺼내는 것처럼.
그건 버그가 아닙니다. 그게 바로 설계 의도입니다.
우체국 모델
POP3—Post Office Protocol 버전 3—은 이름 그대로 작동합니다. 여러분의 메일 서버가 우체국입니다. 여러분이 수령하러 올 때까지 메시지를 보관합니다. 수령하고 나면, 우체국은 사본을 보관하지 않습니다. 편지는 이제 여러분의 것입니다.
이는 프로토콜이 설계된 1988년에는 완벽하게 합리적이었습니다1. 서버 저장 공간은 비쌌습니다. 인터넷 연결은 전화 접속 방식이었고 사용량만큼 요금이 부과됐습니다. 데스크톱 컴퓨터는 이메일을 읽는 유일한 기기였습니다. 완벽하게 좋은 하드 드라이브가 있는데 왜 서버에 메시지를 저장하는 비용을 지불해야 할까요?
포트 110이 바로 이 과정이 이루어지는 곳입니다—POP3 연결의 기본 TCP 포트입니다.
POP3 세션 작동 방식
프로토콜은 단순합니다. 세 가지 상태, 몇 가지 명령어, 끝.
인증(Authorization): 포트 110에 연결하고 신원을 확인합니다. 기본적인 방법은 사용자 이름과 비밀번호를 평문으로 전송합니다(맞습니다, 정말로—곧 다루겠습니다). USER 명령어로 사용자 이름을, PASS 명령어로 비밀번호를 전송합니다.
트랜잭션(Transaction): 이제 메일함과 상호작용합니다. LIST는 대기 중인 메시지를 보여줍니다. RETR은 특정 메시지를 다운로드합니다. DELE는 삭제할 메시지를 표시합니다.
업데이트(Update): QUIT을 입력하면, 서버는 표시된 모든 메시지를 삭제합니다. 연결이 닫힙니다. 우체국은 다시 비워집니다.
폴더도, 플래그도, 동기화 상태도 없습니다. 그냥 다운로드하고 삭제합니다.
다운로드 후 삭제가 의미 있는 경우
POP3의 모델은 몇 가지 절충점을 만들어냅니다:
여러분이 아카이브를 소유합니다. 지금까지 받은 모든 이메일이 하드 드라이브에 저장됩니다. 서버 용량 제한도 없습니다. 서비스 제공업체가 사업을 유지해야 한다는 의존성도 없습니다. 서버에 저장된 이메일이 결코 그럴 수 없는 방식으로, 이메일이 진정으로 여러분의 것이 됩니다.
하지만 기기는 하나뿐. 데스크톱에서 이메일을 다운로드하면, 더 이상 서버에 없습니다. 나중에 휴대폰으로 확인하면? 그 메시지들은 없을 것입니다. POP3는 여러분에게 컴퓨터가 하나 있다고 가정합니다, 여러 대가 아니라.
기본적으로 오프라인. 전체 이메일 기록이 로컬에 있습니다. 수년간의 서신을 검색하는 데 인터넷이 필요 없습니다. "온라인"이 전화선을 점유하는 것을 의미했을 때 이는 매우 중요했습니다.
현대 POP3 클라이언트는 종종 다운로드 후 삭제 동작을 완화하는 "서버에 메시지 남기기" 옵션을 제공합니다. 하지만 이는 프로토콜의 흐름을 거스르는 것입니다—POP3가 설계된 깔끔한 단순함 대신 어색한 부분 동기화를 얻게 됩니다.
POP3 대 IMAP: 다른 철학
IMAP은 이메일을 다운로드하지 않습니다. 서버에 저장된 이메일을 볼 수 있게 해주는 방식으로, 서버가 원본 데이터를 관리합니다. 여러분의 기기는 그 서버를 들여다보는 창일 뿐입니다.
즉:
- 휴대폰에서 무언가를 읽으면, 노트북에서도 읽은 것으로 표시됩니다
- 어디서든 무언가를 삭제하면, 모든 곳에서 삭제됩니다
- 폴더로 정리하면, 모든 기기에서 같은 폴더 구조를 볼 수 있습니다
POP3는 이것을 할 수 없습니다. POP3가 그런 목적으로 설계되지 않았기 때문입니다. 두 프로토콜은 서로 다른 문제를 해결하고 있습니다.
POP3를 선택하는 경우: 기기 하나. 로컬 저장. 아카이브를 완전히 소유하고 싶을 때. 백업 시스템으로 메일함을 아카이빙할 때.
IMAP을 선택하는 경우: 여러 기기. 이메일이 어디서나 따라다니기를 원할 때. 서버 저장 공간이 제약이 아닐 때.
둘 다 틀리지 않았습니다. 이메일을 어디에 보관할 것이냐는 각자의 선택입니다.
포트 110의 보안 문제
포트 110은 완전히 암호화되지 않습니다.
이메일 클라이언트와 서버 사이의 모든 바이트가 평문으로 전송됩니다. 사용자 이름. 비밀번호. 연애 편지들. 재무 명세서. 모든 것이 여러분과 서버 사이에 위치한 누구에게든 읽힐 수 있습니다—카페 Wi-Fi 운영자, ISP, 경로상의 라우터를 침해한 누구든.
이것은 이론적인 이야기가 아닙니다. Wireshark 같은 도구로 POP3 비밀번호가 읽을 수 있는 텍스트 형태로 네트워크를 오가는 것을 직접 볼 수 있습니다.
포트 995: 암호화된 POP3
POP3S—POP3 Secure—는 첫 번째 바이트부터 전체 연결을 TLS 암호화로 감쌉니다2. 110 대신 포트 995에서 실행됩니다. 같은 프로토콜, 같은 명령어, 같은 다운로드 후 삭제 모델. 하지만 모든 데이터가 기기를 떠나기 전에 암호화됩니다.
STARTTLS도 있는데, 포트 110에서 암호화되지 않은 상태로 시작했다가 암호화로 업그레이드합니다. 하지만 이는 다운그레이드 공격에 취약합니다—공격자가 업그레이드 알림을 제거할 수 있으며, 많은 클라이언트가 그냥 암호화되지 않은 상태로 계속 진행합니다. 포트 995는 이 문제가 없습니다. 암호화는 선택 사항이 아닙니다. 연결이 작동하는 유일한 방식입니다.
항상 포트 995를 사용하세요. 포트 110은 왜 더 이상 사용하지 않는지 설명하는 네트워크 다이어그램에나 등장해야 합니다.
여전히 사랑받는 이유
POP3는 단순함이 가치를 지니기 때문에 살아남습니다. 모든 이메일 워크플로우가 기기 간 동기화를 필요로 하지는 않습니다. 때로는 딱 한 가지만 하는 프로토콜—메일 다운로드—이 복잡함 없이 필요할 때가 있습니다.
우체국은 편지를 읽었는지 추적하지 않습니다. 어디에 보관했는지 알지 못합니다. 그냥 수령하러 올 때까지 보관할 뿐입니다. 여러분의 이메일은 서버가 아닌 여러분의 것입니다.
단, 암호화된 연결로 수령하고 있는지 꼭 확인하세요.
POP3와 포트 110에 대해 자주 묻는 질문
POP3는 왜 기본적으로 서버에서 메시지를 삭제하나요?
POP3는 서버 저장 공간이 비쌌고 대부분의 사람들이 컴퓨터 한 대를 사용하던 시절에 설계됐습니다. 다운로드 후 삭제는 서버 공간을 확보하고, 로컬 컴퓨터가 이메일의 원본을 보유하게 했습니다. 프로토콜은 컴퓨터가 이메일 아카이브를 보는 도구가 아니라 이메일 아카이브 그 자체라고 가정합니다.
POP3를 여러 기기에서 사용할 수 있나요?
기술적으로는 "서버에 메시지 남기기"를 활성화하면 가능합니다. 실제로는 어색합니다. 각 기기가 독립적으로 다운로드합니다. 휴대폰에서 무언가를 삭제해도 노트북에는 여전히 있습니다. POP3 자체가 동기화를 지원하지 않으니까요. 여러 기기에서 접근해야 한다면, 바로 그 목적으로 IMAP이 있습니다.
포트 110은 사용하기 안전한가요?
아니요. 포트 110은 비밀번호를 포함한 모든 것을 평문으로 전송합니다. 네트워크를 모니터링하는 누구든 읽을 수 있습니다. 전체 연결을 암호화하는 포트 995(POP3S)를 사용하세요. 대부분의 이메일 서비스 제공업체는 포트 110을 완전히 비활성화했습니다.
POP3S와 STARTTLS의 차이점은 무엇인가요?
POP3S(포트 995)는 첫 번째 바이트부터 암호화됩니다. STARTTLS(포트 110)는 암호화되지 않은 상태로 시작하다가 연결 중간에 암호화로 전환합니다. 공격자가 STARTTLS 업그레이드를 막아 암호화되지 않은 세션을 강제할 수 있습니다. POP3S는 이 취약점이 없습니다—암호화는 협상되는 것이 아니라 필수입니다.
IMAP 대신 POP3를 선택해야 하는 경우는 언제인가요?
기기 하나에서 이메일에 접근하거나, 아카이브를 직접 관리하고 싶거나, 서버 저장 공간이 부족하거나, 오프라인에서도 모든 이메일에 접근해야 할 때 POP3를 선택하세요. 여러 기기를 사용하고 동기화를 원한다면 IMAP을 선택하세요. 핵심 질문은 이것입니다: 이메일이 서버에 있어야 할까요, 아니면 내 컴퓨터에 있어야 할까요?
출처
هل كانت هذه الصفحة مفيدة؟