平成28年(2016年)ネスペ午後Ⅰ 問一 解答解説

ネスペ

設問1 エ:SMTP-AUTH
 SMTP-AUTHは、認証機能をもつメール転送プロトコル。ポート番号は587番で、このポートは別名で「サブミッションポート」と呼ばれる。
外部から届くメールはSMTPで受け取り、内部から送信されるメールは認証付きのSMTP-AUTHを使う。これによって、踏み台にされることを抑えつつ、外部から転送された25番あてのメールは受信できるようになる。

設問2
(1)不正メールの踏み台にされてしまうリスク
もし、A社とは関係のないドメインをほかのメールサーバへ転送してしまうと踏み台にされてしまうリスクがある。踏み台にされると、A社MSV3が不正なメールを送っていると判断されブラックリストに記載される。そうなると、A社内社員からの正当なメールも拒否されてしまい、まともに業務ができなくなる。そのため、外部(B社も含む)からのメールは転送してはいけない設定にする。

設問2(1)問題文

(2)ルータ4

項番動作プロトコル(TCP/UDP/IP)送信元IP アドレス宛先IP アドレス宛先ポート番号
1禁止オ(TCP)カ(a.b.0.0/20)anyキ(25)
2許可IPanyany
表1 OP25Bのためのアクセスリスト

図1と表1から推測する。もしルータ5にOP25Bを設定してしまうと、B社からMSV2宛ての通信も拒否されてしまう。それだとB社がメールサービスを一切利用できなくなる。なので、ルータ4に設定する。こうすれば、動的IPアドレスかつポートが25番の通信をインターネットに出す前にブロックできる。なお、B社が外部宛てにメールを送る際は送信元がMSV2になる。そのため、それは動的IPアドレスではないのでブロックされることなくインターネットへ出ることができる。

Q.サブミッションポートを使う場合はルータ5にOP25Bの設定をしてもいいのでは?
A.「もし、全ユーザがサブミッションポート(587番)を使うのであれば、ルータ5にOP25Bの設定をすれば、無駄なトラフィックを入り口で早々に拒否できる。そっちの方が効率的じゃん」という考えを思いつくでしょう。もし、全員がサブミッションポートを使えるならばいいが実際はそうもいかない。顧客の中には古い機能にしか対応できないシステム構成もある。つまりサブミッションポートに対応できない顧客もいる。なので、ルータ5でOP25Bを作るのではなく、顧客からの25番は甘んじて受け入れるけど、外部に出すときはしっかりフィルタリングさせてもらうよ!という構成が必要になる。そのため今回の構成ではルータ4にOP25Bを適用している。

(5)110番 587番
110番はPOP3をあらわし、587番はサブミッションポートをあらわしている。外部であるB社がMSV3にアクセスする必要があるので、メールを受信するPOP3とB社社員からのメール投稿を受け付けるためのSMTP-AUTHが必要になる。
なお、メールに関しては外部からMSV3に届く転送メールのSMTPの許可も必要だが、これは既に設定されていることなので、25番(SMTP)は回答から外すことができる。


p.3 L6 OP25B(Outbound Port 25 Blocking)
ISP管理下にある動的IPアドレスがISPのメールサーバを経由せず、インターネット上にある外部のメールサーバに直接向かう通信を禁止する仕組み。
具体的にはISPがインターネットとつながるルータにOP25Bのフィルタリングルールを追加する。これは、動的IPアドレスかつ宛先ポート25番(SMTP)ならブロックするというルール。これをすることで、外部への直接接続を遮断できる。

Q.メール転送の流れは?
A.動的IPアドレス、メールサーバ、OP25Bなどいろいろな単語がでてきて結局どういう経路でどのようにメールが転送されるのか分かりにくくなってきている。そのため一度以下で明示的に理解しておこう!
*例として問題文中の構成を使う。
▼前提
 ・各ISPはOP25B実施
 ・B社は動的IPアドレス
 ・A社は独自メールサーバを運用(a-sha.co.jpドメイン)
 ・B社はQ社メールサーバを使う(q.sha.co.jpドメイン)
 ・メールサーバをMSVと略す。

1.B社社員PCからa-sha.co.jp宛てにメールを送りたい
2.Q社MSVへ送信
 B社のメールソフトクライアントではQ社MSVが登録されているので、Q社MSVにポート587番を使い送信する。
3.Q社MSVはa-sha.co.jpの名前解決
 宛先ドメインの名前解決は、ユーザではなくMSVが実施する。で、当該ドメインを管理するサーバのホスト名をMXレコードで取得し、再度、当該ホスト名のIPアドレスを名前解決する(Aレコード)。もしくはグルーレコードがあればその時点でIPアドレスの取得が完了する。
4.インターネットを跨ぎA社MSVへ到着
 手順3でIPアドレスを取得できたので、そこまでパケットを届ける。また、Q社でOP25B設定があっても、メールの送信元IPはQ社MSVのIPアドレスであるためブロック対象から外れるので正常にインターネットへ出ることができる。
*この通信において、P社ISP内にあるP社MSV(MSV1)を経由することはない。
5.A社の返信
 A社がB社からのメールに返信する際は、送信元ドメインを確認する。この場合はq.sha.co.jpドメインが送信元なので、A社MSVが名前解決処理をするときはそのドメインで名前解決する。
*A社からB社へのメール送信時も、P社ISP内にあるP社MSV(MSV1)を経由することはない。

p.4 L8 “B社がA社ドメインのメールでサポート業務を実施するために、A社のメールサーバであるMSV3を利用する方式を検討したい”
なぜB社にA社のMSV3を使わせる必要があるの?一見、B社が契約しているMSV2で直接サポート業務をした方が効率的に見える。しかしそれをやってしまうと幾つかの問題が生まれる。
理由1:顧客が不安になる
 A社の製品を買ったのにも関わらず、サポートがA社のドメインでない場合、顧客はドメインが違うということでなりすましを疑ってしまう可能性がある。このようにドメインが違うと無駄な誤解を生んでしまう。
理由2:メールがはじかれる
 B社側がメール送信する際に、送信元をA社に変えた場合、顧客は安心できる。しかし、セキュリティ的に拒否されることがある。なぜならSPFなどで検査した場合、A社ドメインを使っているにも関わらず、実際の送信元のメールサーバはMSV3ではなくMSV2なので不整合が生まれ拒否されてしまう。

Q.では、実際にどうやってメール委託業務をしているの?
A.A社MSVを経由しなきゃいけなかったり、ドメインを直しただけでは無理だったり、色々な問題が問題があう。では、解決策はあるのか?答えは….ある!。では、実際の流れを見ていこう!
1.顧客がA社に問い合わせをする
 宛先はA社ドメインで、それを受け取るのはMSV3(A社メールサーバ)。
2.B社がMSV3からメールを取得する
 B社がMSV3にPOP3でアクセスして、自分のPCにメールをダウンロードする。
*なおPOP3は認証機能があるため、B社以外からはメールが取得できないようになっている。
3.B社が返信メールを作成
 B社社員が自身のPCで返信メールを作成する。
*この時の送信元はA社のドメインを使う。
4.B社社員がメール送信
 A社のMSV3宛てにメールを送信する。この時、SMTP(ポート25番)だとQ社側のOP25Bでブロックされるので、SMTP-AUTH(ポート587番)を使う。
5.MSV3で認証後、転送する
 A社MSV3にSMTP-AUTHでアクセスすると、認証プロセスへ進む。その認証が成功するとメールが転送される。
これによって、ドメインはA社のものを使えるかつなりすましとしてブロックされないようになる。

p.5 SPF(SenderPolicyFramework)
 SPFは送信元のメールサーバの正当性を確認する仕組み。では、流れを見ていこう!
1.SMTPセッションの開始
 メールを送る前に送信側のメールサーバ(MSV100)と受信側のメールサーバ(MSV200)はSMTPセッションを開始する準備を整える
*MSV100はTCP25番接続をする→MSV200は220 Readyを返す
2.受信側の情報取得
 送信側はEHLOコマンドを受信側に送り相手の情報(ホスト名、サポートしている拡張機能等)を取得する。これにより認証(SMTP-AUTH)、暗号化(STARTTLS)、ファイルサイズ(SIZE)の拡張機能のネゴシエーションができる。
*コマンドはEHLOを使う。EHLOを使うのは送信側だけでよい。受信側はそのEHLOに答えるだけ。
3.相手の正当性確認(SPF)
 MSV100がMAIL FROMコマンドとして送信者のメールアドレスを記載してMSV200に渡す。
MSV200は当該ドメインのTXTレコードを取得し、その中に記載されているIPアドレス範囲とMSV100のIPアドレスを比較し、整合性が取れるかを確認する。
4.メール送信
 SPFの認証まで終わったら、次に宛先を送り(RCPT TO)、次に本文を送る(DATA)という手順でメールを送信する。






タイトルとURLをコピーしました