【問題編】ネスペ H28年度 午後Ⅰ 問1

2021年6月14日ネットワーク基礎知識ネスペネットワーク基礎知識

平成28年度 ネットワークスペシャリスト試験 午後Ⅰ問1の問題を記載します。

回答・解説編と合わせてご確認ください。

問1 電子メールシステムに関する次の記述を読んで、設問1~3に答えよ。

A社は、一般消費者向け製品を製造・販売している。現在、販売後の自社製品の購入者向けサポート業務(以下、サポート業務という)を自社内で行っているが、今後はサポート業務をB社に委託する方針である。サポート業務での購入者とのやり取りは、これまでは電話が中心であったが、電子メール(以下、メールという)を活用した運用を開始したところである。現在、A社はISPであるP社のインターネット接続サービスを利用している。また、B社はISPであるQ社のインターネット接続サービスを利用している。A社、B社、P社及びQ社のネットワーク構成を、図1に示す。

図1 A社、B社、P社及びQ社のネットワーク構成

[ネットワークの概要]

  • P社及びQ社のサービスネットワークは、顧客にインターネット接続サービスを提供するためのネットワークであり、インターネットと顧客ネットワークの間のトラフィックの交換を行う。
  • P社とQ社は、MSV1とMSV2をそれぞれ用いて、顧客にメールサービスを提供している。また、P社とQ社は、DNS1とDNS2をそれぞれ用いて、DNSサービスを提供している
  • P社及びQ社はいずれも、迷惑メールの送信を防止する対策として、OP25B(Outbound Port 25 Blocking)のポリシでメールシステムを運用している。具体的には、自社が動的に割り当てたIPアドレスのホストから、自社のサービスネットワーク外のホストへの宛先ポート25のSMTP通信を許可しないという運用上のルールを適用している。
  • P社とQ社は、MSV1とMSV2をそれぞれ用いて、顧客にメールサービスを提供している。また、P社とQ社は、DNS1とDNS2をそれぞれ用いて、DNSサービスを提供している。
  • A社は、固定のグローバルIPアドレスブロック(x.y.z.0/29)を付与されており、DMZにそのアドレスを利用している。
  • A社は、専用線でP社サービスネットワークに接続されている。
  • A社は、社内利用のためのMSV3を社内に立ち上げ、自社ドメイン(a-sha.co.jp)でメールシステムを運用している。
  • DNS3は、a-sha.co.jpドメインの権威DNSサーバである。
  • B社は、Q社の動的IPアドレス割当ブロック(a.b.0.0/20)から割当を受けたグローバルIPアドレスを、ルータ6のNAPTに使用することでQ社のサービスネットワークに接続している。
  • B社は、社内にメールサーバをもたず、Q社のメールサービスを利用している。
  • B社は、独自ドメインをもたず、Q社のネットワークサービス用ドメイン(q-sha.ne.jp)を利用している。

[A社のメール転送の概要]

現在、A社のメール転送は次のとおり行われている。

  • 外部からA社へのメール
     外部のメールサーバは、DNS3に設定された資源レコードのうち、[ ア ]レコードの情報に従って、A社ドメイン宛のメールを[ イ ]に転送する。A社内PCは、[ イ ] に届いたメールを、POP3を用いて取得する。
  • A社から外部へのメール
     A社内PCは、DMZ上のMSV3にSMTPでメールを送信し、MSV3は、外部へメールを転送する。

[サポート業務委託時のメール運用の検討]

B社がサポート業務を行うときには、B社のPCで、A社のメールアドレスを用いる。A社のネットワーク担当のXさんとB社のネットワーク担当のYさんは、メールシステムの実現方法について検討した。次は、そのときのXさんとYさんの会話である。

Xさん:B社では、どのようにしてメールの送受信をしていますか?

Yさん:各社員のPCにインストールしたメールクライアントから、[ ウ ] にSMTPS(SMTP over TLS)でメール送信しています。受信については同じサーバにPOP3S(POP3 over TLS)でアクセスしています。

Xさん:分かりました。B社がA社ドメインのメールでサポート業務を実施するために、A社のメールサーバであるMSV3を利用する方式を検討したいと思います。B社からのMSV3を利用したメール送信について、現在のA社からのメール送信のように、MSV3にSMTPで転送する方式は、その経路の途中でISP内でブロックされるので、採用できません。また ①たとえB社のPCからMSV3へSMTPによるメール設定ができたとしても、MSV3は、a-sha.co.jp ドメイン以外への宛先は、そのメールを転送しない設定になってます。

Yさん:一緒に検討させてください。

B社PCからMSV3に向けたSMTPによるメール送信が不可能となっているのは、②図1中にあるルータにおいて、表1に示すOP25Bのためのアクセスリストが設定されているからである。

表1 OP25Bのためのアクセスリスト

検討の結果、次の方式でB社のPCからサポート業務メールが送受信出来ることが確認された。

  • B社のPCからのメール送受信には、MSV3を用いる。
  • MSV3は、SMTPプロトコル上でユーザ認証を行う方式である[ エ ] を導入し、③TCPの587番ポートで接続を受け付ける。また、その通信に対してTLSによる暗号を行う。
  • 認証されたSMTPで送られてきたメールであえればA社ドメイン以外の宛先への転送をするよう、MSV3を設定変更する。
  • 受信については、POP3をTLSで暗号化して用いる。
  • 送受信のための認証に必要な情報は、事前にA社からB社に提供する。
  • メール送受信の通信の暗号化は、STARTTLS方式(接続時に平分で通信を開始して、途中で暗号化通信に切り替える方式)を採用し、メールクライアントからのSTARTTLSコマンドに応じてTLS暗号化を開始するよう、MSV3を設定変更する。
  • ④外部からDMZへの2種類の通信を許可するために、FWを設定変更する。

[SPFの導入]

次にA社は、迷惑メール対策として、SPFを導入することにした。SPFは、送信メールサーバの正当性(当該ドメインの真正のメールサーバであること)を、受信メールサーバ側で確認する方式である。SPFの概要は次のとおりである。

  • 送信側のドメイン所有者は、あらかじめ、当該ドメインのメールサーバのグローバルIPアドレスを、SPFレコードとしてDNSに登録しておく。
  • 受信側のメールサーバは、メール受信時に、次の手順で送信ドメインを認証する。
    (1)⑤”SMTP通信中にやり取りされる送信元ドメイン名”を得る。
    (2)送信元ドメイン名に対するSPFレコードを、DNSに問い合わせる。
    (3)得られた⑥SPFレコードを用いて送信元ドメインの認証を行う。

Xさんが設定したSPFレコードの設定を図2に示す。

図2 A社ドメインのSPFレコードの設定(抜粋)

Xさんは、社外からメールを送信してくる外部メールサーバに対して、SPFによる送信ドメイン認証処理を行うよう、MSV3の設定変更を行った。

これらのSPF対応によって、A社ドメインを偽る迷惑メールの防止効果がみられた。また、ドメイン偽装メールの受信拒否も可能となり、メールの信頼性向上が確認できたので、メールを活用したサポート業務のB社への委託を本格的に開始した。

設問

設問1

本文中の[ ア ][ エ ] に入れる適切な字句を答えよ。

設問2

[サポート業務委託時のメール運用の検討]について、(1)~(5)に答えよ。

(1)本文中の下線①について、この設定がないことによって生じる情報セキュリティ上のリスクを、25文字以内で答えよ。

(2)本文中の下線②のルータ名を答えよ。

(3)表1中の[ オ ]~[ キ ]に入れる適切な字句を答えよ。

(4)本文中の下線③について、このポートを何と呼ぶか答えよ。

(5)本文中の下線④について、2種類の通信の宛先ポート番号を、それぞれ答えよ

設問3

[SPF]の導入について、(1),(2)に答えよ。

(1)本文中の下線⑤について、送信元ドメインが得られるSMTPプロトコルのコマンドを答えよ。

(2)本文中の下線⑥で行われる処理内容について、SPFレコードと照合される情報を、20文字以内で具体的に答えよ。

ネットワーク基礎知識

Posted by もー