【ネスペ過去問解説】H28年度 午後Ⅰ 問1

2021年6月18日ネットワーク基礎知識ネスペネットワーク基礎知識

IPAネットワークスペシャリスト試験 H28年度 午後Ⅰ 問1について、詳しく解説します。自分の理解のための記事ですがネットワークスペシャリストを目指すあなたのお役に立てれば幸いです。

出題概要

ネットワークスペシャリスト試験 H28年度 午後Ⅰ問1では、電子メール関連の技術としてネットワーク技術者として基本的なメールセキュリティの仕組みが出題されました。基本的な知識を問う問題です。具体的には下記の技術を抑えておきましょう。

  • メールに関するDNS設定
  • 各種メールプロトコルの仕組みとポート番号
  • SMTPコマンド
  • 迷惑メール対策としてのSPFレコード

問題編

問題についてはIPAのサイトを参照してください。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_2/2016h28a_nw_pm1_qs.pdf

設問1 本文中の[ア]~[エ]に入れる適切な字句を答えよ。

設問1 [ア]

空欄[ア]はA社の受信メールサーバを示すDNSレコード情報が問われています。

問題文中からA社のDNS3 に設定されているメール関連のDNS情報を予想します。

DNS3の設定値

a-sha.co.jp IN MX 10 msv3.a-sha.co.jp.
msv3 IN A x.y.z.1

外部のメールサーバが a-sha.co.jp にメールを送る場合、下記の順にメールの配信先サーバを引き当てます。

  1. a-sha.co.jpのDNSサーバであるDNS3に a-sha.co.jp のMXレコードを問合せ。
  2. DNS3より、msv3.a-sha.co.jp. をお知らせ
  3. DNS3に msv3.a-sha.co.jp. のAレコード(IPアドレス)を問合せ。
  4. DNS3より、メールサーバのIPアドレス x.y.z.1 をお知らせ
  5. 外部メールサーバは、x.y.z.1 へメールを転送。

MXレコードはMail Exchange (メールサーバー、メールを配送するホスト)を指定するためのリソースレコードです。

DNSの資源レコードのうち、メールの送信元となる外部サーバがまず確認するのは、受信メールサーバを示す情報であるMXレコードです。よってMXを回答します。

設問1 [ア]

MX

設問1 [イ]

空欄[イ]では、A社の受信メールサーバがどれかを問われています。

問題文中に「A社は、社内利用のためのMSV3を社内に立ち上げ、自社ドメイン(a-sha.co.jp)でメールシステムを運用している。」 とあるようにMSV3 がA社の受信および送信メールサーバとなります。

設問1 [イ]

MSV3

設問1 [ウ]

[ウ]では、B社のメールサーバが問われています。Yさんの回答より送信メールサーバおよび受信メールサーバは同じサーバということが分かります。

B社のメールサーバについては問題文中に「B社は、社内にメールサーバをもたず、Q社のメールサービスを利用している。」と記載されています。またQ社のメールサービスについては「P社とQ社は、MSV1とMSV2をそれぞれ用いて、顧客にメールサービスを提供している」とありますので、Q社のメールサーバMSV2を回答します。

設問1 [ウ]

MSV2

設問1 [エ]

[エ]ではSMTPプロトコル上でユーザ認証を行う方式の名前が問われています。

従来のメール送信に使うSMTPポート TCP 25番では、ユーザ認証を行いません。外部からのメール送信を許可した場合に認証を行わない25番ポートを外部に公開すると、迷惑メールの踏み台として利用されてしまします。

そこでユーザIDとパスワードを使って正規のメール送信者のみメールの送信を許可するようにします。

TCP 587番ポートを使ってSMTPユーザ認証を行う方式は、SMTP-AUTH(SMTP認証)と呼びます。また、このTCP587番ポートのことを、サブミッションポートと呼びます。

AUTHは「認証する」って事だね。
具体的にはメール送信時の「ユーザ名」「パスワード」のことだよ

設問1 [エ]

SMTP-AUTH

設問2[サポート業務委託時のメール運用の検討]について答えよ

設問2(1) 本文中の下線①について、この設定がないことによって生じる情報セキュリティ上のセキュリティリスクを25文字以内で答えよ。

情報セキュリティ上のリスクを、25字以内で答えます。

下線①の前後は下記です。

「現在のA社からのメール送信」については、問題文中に書いてあるように A社内のPC⇒MSV3⇒外部メールサーバ というルートでメール送信されます。このときメールは SMTPポート25番でメール転送されています。

次に「B社からのMSV3を利用したメール送信について、現在のA社からのメール送信のように、MSV3にSMTPで転送する方式は、その経路の途中でISP内でブロックされるので、採用できません。」とは、Q社が設定しているOP25B(Outbound Port 25 Blocking)ポリシーにより「動的割当されたIPアドレス(B社)から、自ISP外への宛先ポート番号25(A社のMSV3)のSMTP通信が禁止」されているため採用出来ないことを意味します。

ここまでは背景の説明です。問題の①について話を進めます。

①たとえB社のPCからMSV3へSMTPによるメール設定ができたとしても、MSV3は、a-sha.co.jp ドメイン以外への宛先は、そのメールを転送しない設定になってます。

とは、どういうことでしょうか?

OP25Bは、固定IPアドレスが払い出されていれば制限に引っかかりません。

ですので、もしB社が固定IPアドレスを取得していればMSV3へSMTPでメール送信ができます。

MSV3は自社ドメイン a-sha.co.jp 宛のメールは自分自身で受信します。自ドメイン以外である外部ドメイン宛のメールはそのメールを転送しない(破棄する)ように設定されてます(通常)。

なぜでしょうか?もし外部ドメイン宛のメールを外部に転送してしまうと、下記のように迷惑メールを外部に転送してしまうためです。

しかも相手サーバから見える送り主は MSV3 です。本当の攻撃者は身分を隠したまま、A社が迷惑メールの送信元として犯人扱いされてしまう状況になります。

このように攻撃者の身元を隠し、知らないうちに攻撃に加担してしまうことを『踏み台にされる』 と一般的に表現します。

回答例ですが、問題に「情報セキュリティ上のリスク」を答えるように指示されていますので、『不正メールの踏み台にされてしまうリスク』など「リスク」を答えます。

設問2(1)

不正メールの踏み台にされてしまうリスク(19文)

設問2(2) 本文中の下線②のルータ名を答えよ。

本文中の下線②は下記です。

図1中にルータは「ルータ1」~「ルータ6」まで計6個存在します。

このうちB社は、Q社よりサービスネットワークを提供されてインターネットに接続しています。そのためOP25Bを設定している該当ルータは、Q社内の「ルータ4」または「ルータ5」に絞られます。

問題文中にOP25Bの説明として「P社及びQ社はいずれも、迷惑メールの送信を防止する対策として、OP25B(Outbound Port 25 Blocking)のポリシでメールシステムを運用している。具体的には、自社が動的に割り当てたIPアドレスのホストから、自社のサービスネットワーク外のホストへの宛先ポート25のSMTP通信を許可しないという運用上のルールを適用している。」とあります。

Q社ネットワークの外への通信を制限するのでインターネットとの境界にある「ルータ4」が適切だと考えられます。

もちろん顧客と接続している「ルータ5」にアクセスリストを設定することも可能です。ただし、例えばQ社の顧客が10000社あり1つのルータに50社が接続しているとすると、顧客側のルータは200台存在することになります。200台それぞれに同一のアクセスリストまたは接続された顧客ごとのアクセスリストを個別に設定・管理することは非現実的です。そう考えるとルータの数が少ないインターネット側「ルータ4」に設定することが現実的でしょう。

設問2(2)

ルータ4

設問2(3) 表1中の[オ]~[キ]に入れる適切な字句を答えよ。

表1 OP25Bのためのアクセスリストは下記です。

前問で問われた「ルータ4」にOP25Bを実現するためのアクセスリストとしてどのような設定をしているのかを考えます。

問題文にOP25Bについて下記の記載があります。

OP25Bは、ISPが自社内の動的IPアドレスから、外部の25番ポートへ接続することを禁止するルールです。

25番ポート(SMTP)は、TCP です。

また「Q社が自社内に動的に割り当てたIPアドレスのホスト」については、問題中に具体的なIPアドレス割当ブロック( a.b.0.0/20 )が説明されています。

これらの情報を組み立てるとルータ4のアクセスリストは下記のようになります。

設問2(3)

[オ]:TCP [カ]:a.b.0.0/20 [キ]:25

設問2(4)本文中の下線③について、このポートを何と呼ぶか答えよ。

下線③では、TCPの587番ポート のことを何と呼ぶか問われています。

ユーザ認証不要でメール送信出来るSMTP25番に対して、ユーザ認証を必要とするTCP587番ポートのことは「サブミッションポート」と呼びます。知識問題です。

サブミッション:Submission は「提出」を意味します。メールを提出(送信)するためのポートですね。

設問2(4)

サブミッションポート

設問2(5)本文中の下線④について、2種類の通信の宛先ポート番号を、それぞれ答えよ。

下線④ではA社のFWに許可する外部からDMZへの2種類の通信を問われています。

問題文から読み取る必要があるので少し混乱しますが、「外部からDMZへの2種類の通信を許可」とは、A社のMSV3にB社(外部)からの通信を許可することを意味します。ですので、設定変更をするFWはA社のFWとなります(図中にFWが1つしかないので迷いませんかね)

では、許可する「2種類の通信」とは何の通信でしょうか?

「検討の結果、次の方式でB社のPCからサポート業務メールが送受信できることが確認された。」とあるように(1)メール送信 (2)メール受信 の2つの通信となります。

(1)メール送信については問題文中に「MSV3は、SMTPプロトコルでユーザ認証を行う方式であるSMTP-AUTHを導入し、TCPの587番ポートで接続を受け付ける。またその通信に対してTLSによる暗号化を行う」とポート番号が記載されています。メール送信は 587 番ポートを許可します。

(2)メール受信については同じく問題中に「受信については、POP3をTLSで暗号化して用いる。」と記載されています。POP3のポート番号は、110番ポートです。メール受信は、110番ポートを許可します。

設問2(5)

(1)587 (2)110

もーのミス話し聞いてくれる?

この問では素直に問題を読み解けば、迷うことなく送信:587番、受信:110番ポートに辿り着くと思います。

私はこの問題を最初に解いた時に「POP3をTLSで暗号化」する=「POP3S(ポート番号995)」と誤解してしまいました。当時はPOP3Sのポート番号もうろ覚えだったのでポート番号993!(本来は993はIMAPSのポート番号)と二重の間違いをしていました。

問題文中にあるように、「POP3をTLSで暗号化する」とは、STARTTLS方式のことです。STARTTLS方式では、①接続時は平文(非暗号化)で通信開始 ②途中からSSL/TLSによる暗号化通信に切替ります。そのため最初に接続するポートはPOP3と同じ110番ポートとなります。

POP3Sでは、最初からSSL/TLSによる暗号化通信を行います。

設問3[SPFの導入]について答えよ。

設問3(1) 本文中の下線⑤について、送信元ドメインが得られるSMTPプロトコルのコマンドを答えよ。

下線⑤では、 メール送信先サーバがSPFレコードを確認する際に、”SMTP通信中にやり取りされる送信元ドメイン名” を、どのコマンドで判断するかを問われています。

「SMTPのプロトコルおよびコマンド」は知識問題です。知らないと答えようがありませんね。

メールの送信元と送信先メールサーバの間のSMTPコマンドによるメール送信の流れを下記に示します。

①メール送信元はメールサーバへ “HELO" または ”EHLO”コマンドを送信しサーバ接続(挨拶)

EHLO localhost

HELO(HELLO) はSMTPプロトコルが制定された初期に使用していたコマンドです。現在はHELOを拡張した EHLO(Extended HELLO)が主流でEHLOを使います。ただし、SMTPサーバが古い場合はEHLOに対応しておらずエラーを返します。その場合は古いHELOコマンドを使ってSMTPサーバへ接続します。

EHLOを受け取ったSMTPサーバは自身が対応可能な機能(STARTTLSなど)をクライアントへ通知します。

② メール送信元はメールサーバへ、送信元メールアドレスを “MAIL FROM"コマンドで通知

MAIL FROM :<b-sha@a-sha.co.jp>

メール送信元となるメールアドレスを、MAILコマンドに、引数 ' FROM:<送信元メールアドレス>’ を付与して送信します。MAIL FROMで通知したメールアドレスは「メール送信エラー時の報告先メールアドレス」にもなります。

③送信先メールアドレスをRCPTコマンドで通知

RCPT TO :<xxx@example.1com>
RCPT TO :<yyy@example2.com>
RCPT TO :<zzz@example3.com>

RCPT TO にて送信先メールアドレスを通知します。1つのコマンドで1つの送信先しか通知できません。宛先が複数の場合は、RCPT TOコマンドを複数回実行します。メール送信先にはTo,Cc,Bccの3種類がありますが、コマンドはすべてRCPT TOを使ってSMTPサーバへ通知します。

④DATAコマンドに続けて、メール本文を送信

DATAコマンドに続けてメール本文を送信します。

DATA

From: bsha<b-sha@a-sha.co.jp>
To: xxx@example.1com
Cc:yyy@example2.com,zzz@example3.com
Date: Fri, 18 Jun 2021 15:35:08 +0900
Subject : 弊社サポートからのお知らせ

いつもお世話になっております

以上、よろしくお願いします。
.

DATAコマンドの直後に改行し、メールデータを続けます。メールデータの最後に .(ピリオド)を送信します。.(ピリオド) のみの行は、メールデータの終了を示します。

⑤QUITコマンドで切断

QUIT

最後に、QUIT コマンドで、SMTPサーバと切断します。

メール送信元およびメール送信先を表すSMTPコマンドは過去に何度か問われています。メール送信元は「MAIL FROM」コマンド、メール送信先は「RCPT TO」コマンドと覚えてしまいましょう。

設問3(1)

MAIL FROM

ワンポイント

メール送信元は「MAIL FROM」コマンド
メール送信先は「RCPT TO」コマンド

設問3(1) 本文中の下線⑤について、送信元ドメインが得られるSMTPプロトコルのコマンドを答えよ。

設問3(2) 本文中の下線⑥で行われる処理内容について、SPFレコードと照合される情報を、20字以内で具体的に答えよ。

下線⑥を含む問題文を掲載します。SPFレコードは受信側メールサーバが、送信元メールサーバを検証する手段です。

また、A社のDNSには、下記のSPFレコードが登録されています。

この「x.y.z.1」がA社のメール送信サーバ「MSV3」のIPアドレスとなります。

メールを受信した受信メールサーバは、A社のSPFレコードを参照して実際にメールを送信したサーバが本当にA社のメールサーバかどうかを調べることで、受け取ったメールが正規のメールなのか、非正規のメールサーバなのか判断出来るようになります。

正規のメールサーバであるMSV3 でメールを送信した場合の、SPFレコードチェックによる送信元ドメインの認証の流れは下記になります。

正規のメール送信の例

(1) MSV3は、送信先のメール受信サーバへ、 MAIL FROM:<b@a-sha.co.jp > コマンドを使って送信元メールアドレスを通知します。メール受信サーバは ⑤"SMTP通信中にやり取りされる送信元ドメイン名"をMAIL FROMコマンドより取得します。送信元ドメインは @ の右側である a-sha.co.jp です。

(2)メール受信サーバは送信元ドメイン a-sha.co.jp のDNSサーバへSPFレコードを問合せます。a-sha.co.jp のDNSサーバである「DNS3」は a-sha.co.jp の SPFレコードを返します

(3)メール受信サーバは、得られた ⑥SPFレコードを用いて送信元ドメインの認証を行います。 具体的には、(1)でMAIL FROMコマンドを送った送信元メールサーバMSV3のIPアドレス(x.y.z.1)が (2)で取得したSPFレコードに記載されたIPアドレス(x.y.z.1)と一致するかを検証します。

この場合、どちらのIPアドレスも x.y.z.1 なので、受信側メールサーバは正規のメールであることを確認できます。

それでは、メールの送信者が a-sha.co.jp を騙って迷惑メールを送った場合はどのような検証の流れになるでしょうか?


迷惑メール送信例

(1)(2)によるSPFレコードの流れは同じです。

(3)送信元ドメインの認証を行います。このとき(1)の送信元メールサーバのIPアドレスは a.b.c.1 です。(2)でSPFレコードを問合せた結果の正規のメールサーバのIPアドレスは x.y.z.1 です。IPアドレスが異なるため非正規のメールサーバから送信されたメール=迷惑メールであることが分かります。

問題文に戻ります。

問題文では「(2)で得られたSPFレコードの情報」と照合される情報を問われています。

(2)で得られたSPFレコードの情報とは、a-sha.co.jp のメール送信サーバのIPアドレスです。

これと比較するのは、(1)でMAIL FROMコマンドを送信してきた送信元メールサーバのIPアドレスです。

20字以内という文字数制限がありますので、最も重要な情報である「送信元メールサーバのIPアドレス」を回答します。

設問3(2)

送信元メールサーバのIPアドレス(16字)

IPAによる出題趣旨と解答例

出題趣旨

電子メールシステムにおいて、不正な電子メールが送信されることを防いだり、受信した電子メールが不正に送信された電子メールではないことを確認する手段を提供したりすることは、不正のない電子メール利用のために必須となっている。また、このような電子メールの安全性・信頼性をあげるための技術は、ネットワーク技術を応用したものとなっており、ネットワーク技術者として押さえておくべく技術の一つと考えられる。

本問では、企業での安全な電子メールシステム活用を目指したシステム構築を通して、ネットワーク技術者として必要となる能力を問う。

解答例

最後に

最後まで記事をお読みいただきありがとうございます。文中の間違い、ご要望等ありましたらコメント欄にお願いします。

ネットワーク基礎知識

Posted by もー