Caiさま
早速ご案内ありがとうございます。
STARTTLSはSTART時点では、暗号されていないと聞いていたので、そのタイミングにパスワードが送られるのかなと、心配していましたが、納得しました。
今後ともご教示お願いします。
posting.php?mode=reply&f=3&t=23222#

・STARTTLS、SSL/TLS の場合、メールサーバーとの通信全体が TLS によって暗号化された状態でメールアカウントの認証情報もやりとりされるため、パスワードをクリアテキストで送信 (通常のパスワード認証) しても問題ありません。

・「接続の保護」がない場合、サーバーとの通信が暗号化されていないため、パスワードをクリアテキストで送信することは危険であり、何らかの手段でパスワードを保護することが推奨されます。このときに使われるのが「暗号化されたパスワード認証」です。具体的には APOP や CRAM-MD5 などが挙げられます。
メールサーバーへの接続が暗号化されていない (SSL/TLS、STARTTLS ではない) のが一般的だった時代に、パスワードだけでも暗号化しようというものであり、STARTTLS、SSL/TLS で接続していれば必要のないものです。

この認証方式の選択肢ですが、
・STARTTLS、SSL/TLS の場合: 通常のパスワード認証
・暗号化されない場合: 平文のパスワード認証 (安全でない)
とサーバーへの接続そのものが暗号化されているか否かで文面が変化するようになっています。

TLS通信が接続されてから認証が行われますので問題ありません。

お世話になります。
さくらインターネットのメールアカウントの設定において、smtp 587 接続の保護は「STARTTLS」　認証方式は「通常のパスワード認証」を指定していますが、認証方式は他に「暗号化されたパスワード認証」というものがあります。この二つの違いは何なのか気になります。

さくらサーバから認証を受ける際に、「通常のパスワード認証」はTLS通信になる前に行われるとしたら、パスワードが盗聴されるのではないかと思ったのですが、そのような理解は間違いでしょうか？

ちなみにwiresharkにて、パケットの内容を見るても、認証情報の類は確認できませんでした。

どなたかご存じの方はいらっしゃいませんか。