今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は3.4章:電子メールの脆弱性と対策のCheck問題です。
【Q1】迷惑メールを許してしまう主な原因として何が挙げられるか。
①SMTPを使用した旧バージョンのメールサーバソフトでは、メールの投稿や中継が全て同じ仕組みで行われ、誰からのメール投稿であっても受け付けるようになっていた。
②SMTPを使用した旧バージョンのメールサーバソフトでは、メールを投稿するにあたってユーザを認証できる仕組みがなく、発信元メールアドレスの詐称が容易であり、本来受け付ける必要のない組織外の第三者から別の第三者へのメール送信の要求を受け付け中継してしまう。
【Q2】メールの第三者中継を防止する方法としては何が有効か。
メールの投稿、中継にあたってユーザ認証を行う。
【Q3】OP25Bの必要性と仕組みについて挙げよ。
Outbound Port25 BlockingはISPのメールサーバを経由せずにインターネット方向に出ていく25番ポート宛のパケットを遮断する仕組み。
25番ポートはSMTPが用いる標準ポート。
ISPのメールサーバを使用するには認証が必要なため、スパムなどのメールサーバを経由しないメールを遮断することができる。
【Q4】Submissionポートによるメール投稿の必要性と仕組みについて挙げよ。
MSAではSubmission(587番)ポートへアクセスしたユーザをSMTP-AUTHによって認証することで、スパムからの投稿を受け付けないようにするほか、TLSによって通信を秘匿化することもできる。
【Q5】送信ドメインの認証によって何が可能となるのか。
発信元情報を偽装したメールの発見・排除。
【Q6】IPアドレスによる送信ドメイン認証とディジタル署名による送信ドメイン認証の特徴を挙げよ。
IPアドレスによる方法ではあらかじめ正当なSMTPサーバのIPアドレスをDNSサーバに登録しておくことによって認証する。
ディジタル署名による方式では正当なメールサーバの公開鍵をDNSサーバに登録しておき、SMTPサーバが付与したディジタル署名によってその発信元のメールサーバの正当性を検証する。
【Q7】DMARCについて説明せよ。
Domain-based Message Authentication, Reporting, and Conformanceであり、メール受信側が認証に失敗した時にメールをどのように取り扱うかを送信側がポリシとして表明することで、送信ドメイン認証を補完する仕組み。
メール受信側がメール送信側に対して、認証に失敗したことをレポートとして通知する機能がある。
【Q8】STARTTLSについて説明せよ。
暗号化されていない状態で通信を開始した後、送信側と受信側のメールサーバがSTARTTLSに対応していれば、TLSによる暗号化通信が行われる方式。
暗号化通信する場合もしない場合も共通のポートを使用できる。
①認証情報が平文でネットワーク中を流れる。
②メールの内容が平文でネットワーク中を流れる。
【Q10】インターネットから組織内部のPOP3サーバに安全にアクセスするにはどのような方法、設定が必要か。
①APOPにより、ユーザ認証情報を秘匿化する。
②POP3 over TLSにより、認証情報及びメール内容を暗号化する。
③SSHポートフォワーディング機能により、認証情報及びメール内容を暗号化する。
私が使っているのは2022年版のテキストですが、2023年版も出ています。
