https://www.sc-siken.com/pdf/01_aki/pm1_1.pdf
以下のおすすめ問題の解説となります。
良書。
【送信ドメイン 認証技術の検討】
Q部長とU主任は、送信ドメイン認証技術の利用について検討を始めた。次は、その際のQ部長とU主任の会話である。
Q部長:当社でも送信ドメイン認証技術を利用すべきだと経営陣に報告したい。まずは、どのような送信ドメイン認証技術を利用するかを検討しよう。
U主任:送信ドメイン認証技術では、SPF、DKIM、DMARCが標準化されています。当社の外部 メールサーバでは、いずれも利用が可能です。
Q部長は、図3のなりすましメールによる攻撃の例を示し、送信ドメイン認証技術が各攻撃の対策となるかどうかをまとめるようにU主任に指示した。
U主任は、SPFへの対応と各攻撃に対する効果の関係を表1にまとめ、SPFが対策となるかどうかを同表を用いてQ部長に説明した。
次は、その後のQ部長とU主任の会話である。
Q部長:SPFに対応するには、具体的にどのような設定が必要になるのか。
U主任:DNSサーバの設定は、当社の外部DNSサーバに図4に示すTXTレコードを登録します。
メールサーバでの対応は、当社の外部メールサーバの設定を変更します。SPFによる検証(以下、SPF認証という)が失敗したメールは、件名に[NonSPF]などの文字列を付加して、受信者に示すこともできます。
Q部長:なるほど。SPFの利用に注意点はあるのかな。
U主任:メール送信側のDNS サーバ、メール受信側のメールサーバの両方がSPFに対応している状態であっても、その間でSPFに対応している別のメールサーバがEnvelope-FROMを変えずにメールをそのまま転送する場合は、①メール受信側のメールサーバにおいて、SPF認証が失敗してしまうという制約があります。
Q部長:なるほど。それでは、DKIMはどうかな。
U主任:DKIMに対応した メールを送信するためには、まず、準備として公開鍵と秘密鍵のペアを生成し、そのうち公開鍵を当社の外部DNSサーバに登録し、当社の外部メールサーバの設定を変更します。DKIM利用のシーケンスは、図5及び図6に示すとおりとなります。
Q部長:DKIMの方が少し複雑なのだな。
U主任:はい。しかし、DKIMは、メール本文及びメールヘッダを基にディジタル署名を付与するので、転送メールサーバがディジタル署名、及びディジタル署名の基になったメールのデータを変更しなかれば、たとえメールが転送された場合でも検証が可能です。SPFとDKIMは併用できます。
Q部長:分かった。両者を導入するのがよいな。それでは、DMARCはどうかな。
U主任:DMARCは、メール受信側での、SPFとDKIMを利用した検証、検証したメールの取扱い、及び集計レポートについてのポリシを送信側が表明する方法です。DMARCのポリシの表明は、DNS サーバにTXTレコードを追加することによって行います。TXTレコードに指定するDMARCの主なタグを表2に示します。
これらの検討結果を経営陣に報告したところ、N社は送信ドメイン認証技術としてSPF、DKIM、DMARCを全て利用することになり、情シ部が導入作業に着手した。
d:× c:× d:× e:× f:×g:〇h:× i:×
攻撃1は取引先から自社への送信メールについて問われている。
この問題はSPFの認証つまり、受信した際にDNSサーバにIPを問い合わせ応答を確認することでメール送信元のドメインが正しいかどうかを判別するので、そもそも設定しない場合は攻撃に対して効果がない。
DNSIP設定をするかしないかの差と問い合わせるのかと合わせないのかの差がある
攻撃1のときは取引先から自社に対してメールを送るケースなので
・外部サーバでの対応を実施すること
・取引先のDNSサーバでの設定を行っているもの
が効果があると考えられる。実施する・設定済の組み合わせが〇。それ以外が×となる
攻撃には、自社から送付するケースである
・取引先のサーバでの対応を実施すること
・外部サーバのDNSサーバでの設定を行っているもの
該当するのは7番目のみ。したがって解答はg以外×となる。
j:x1.y1.z1.2
①について、SPF認証が失敗する理由を、SPF認証の仕組みを踏まえて、50字以内で具体的に述べよ。:
そのまま転送するとあるため、転送した場合はIPアドレスは更新されず使うことを示しています。したがってSMTPサーバのIPアドレスと認証に利用するIPアドレスが異なる場合にSPF認証が失敗してしまいます。
②の検証によってメールの送信元の正当性以外に確認できる事項を、20字以内で述べよ。
メール本文・メールヘッダの改ざんされていないことを検証できる