設問2 [メールアドレスの偽装と対策]について(1)、(2)に答えよ。
(2) 図4中の【 e 】に入れる適切な字句を図1~3中から選び答えよ。
【 e 】z.y.x.1

解説

本文抜粋

S主任:z-sha.co.jpのゾーン情報を管理しているDNSサーバに、図4に示すTXTレコードを登録します。当社のメールサーバの設定変更は不要です。

z-sha.co.jp. IN TXT "v=spf1 +ip4:【 z.y.x.1 】 -all"

図4 登録するTXTレコード

本文抜粋 ここまで

 SPFでは、メールのエンベロープFromからFQDNを求めて、DNSからTXTレコードを取得します。TXTレコードから上記のIPアドレス z.y.x.1 を取得します。このIPアドレスと、接続してきたSMTPサーバのIPアドレスが同じであれば、SPFでの認証成功となります。

 設問は図1~3から選べとなっていますが、実際に【 e 】の候補ががでているのは図2と図3です。
(上記省略)
  • FW
 社内とインターネットとの間の通信制限を行う。具体的には、社内とインターネットとの間の通信は次の3種類だけを許可する。
  • PCからPRX経由のインターネット上のWebサイトへのアクセス。
  • MX1とインターネットとの間のメール転送
  • PRX及びMX1からインターネットへのDNS通信
 社内とインターネットとの間の通信には、グローバルIPアドレス z.y.x.1 をNATアドレスとして使用する。

図2 Z社のインターネット接続環境の概略(抜粋)


Return-Path: <b-shi@y-sha.co.jp>
Delivered-To: a-kun@z-sha.co.jp
Received: from mx1.z-sha.co.jp(mx1.z-sha.co.jp [□□.△△.○○.▽▽])
          ;by mx2.z-sha.co.jp (smtp) with ESMTP id ■■
          ;for <a-kun@z-sha.co.jp>; Fri, 27 Jan 2012 17:38:12 +0900 (JST)
(以下省略)

図3 1通目の不審なメールのヘッダ(抜粋)

 図3に登場するのは、MX1のローカルIPアドレス。図2に登場するのは、Z社のグローバルIPアドレスです。どちらのアドレスをTXTレコードの【 e 】に登録すべきかというと、下の図のように、赤のローカルIPアドレスは社内でしか通用しないため、Y社のMX1には知りえないアドレスですが、緑のグローバルIPはFWでNATされてY社のメールサーバと接続するため、Y社のメールサーバはこのアドレスとDNSのTXTレコードを照合するため、グローバルIPの z.y.x.1 が正解です。

※上手はY社のネットワークがZ社とほぼおなじ構成とした場合の、MX1どうしが接続した時の、IPアドレスの範囲

 なお、MX2は外部のメールサーバと通信しないため、対象外です。


添付ファイル