問6 SMTP-AUTHにおける認証の動作を説明したものはどれか。

ア SMTPサーバに電子メールを送信する前に、電子メールを受信し、その際にパスワード認証が行われたクライアントのIPアドレスは、一定時間だけ電子メールの送信が許可される。

イ クライアントがSMTPサーバにアクセスしたときに利用者認証を行い、許可された利用者だけから電子メールを受け付ける。

ウ サーバは認証局のディジタル証明書をもち、クライアントから送信された認証局の署名付きクライアントの証明書の妥当性を確認する。

エ 利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う。


正解 イ


解説

メールのセキュリティに関する問題です。

ア 不正解
POP befor SMTPの説明です。
POPはメールの受信プロトコル、SMTPは送信プロトコルですが、SMTPには認証機能がないため不正なメールの大量送信を許してしまう脆弱性がありました。
そこでSMTP-AUTHまでの繋ぎとして誕生したのがPOP befor SMTPです。
まずPOPでメールを受信してクライアントを認証。認証が成功したIPアドレスから一定時間だけSMTPでの送信を許可するという方式です。

イ 正解
SMTP-AUTHの説明です。
SMTP-AUTHは、認証機能がなかったSMTPに認証機能をもたせた規格です。

ウ 不正解
クライアント認証の説明です。
クライアント認証とは、SSL/TLSやsshなどで、パスワードの代わりにクライアント証明書を利用して認証する方式です。

エ 不正解
APOPの説明です。
APOPは、チャレンジレスポンス方式を利用し、パスワードをハッシュ関数を通して送信します。
2007年頃からAPOPのプロトコルの欠陥により、ハッシュ関数を利用していてもパスワードを推測できる脆弱性が確認されています。