DNSサーバのMXレコード・TXTレコード、DMARCのタグ設定【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3

問1 電子メールのセキュリティ対策に関する次の記述を読んで、設問1〜4に答えよ。

(略)

U主任:DMARCは、メール受信側での、SPFとDKIMを利用した検証、検証したメールの取扱い、及び集計レポートについてのポリシを送信側が表明する方法です。DMARCのポリシの表明は、DNSサーバにTXTレコードを追加することによって行います。TXTレコードに指定するDMARCの主なタグを表2に示します。

f:id:aolaniengineer:20200530154109p:plain

(略)

【ニュースレターの配信】

 送信ドメイン認証技術の導入作業着手から1週間後、N社営業部で取引先宛てにニュースレターを配信する計画が持ち上がった。ニュースレターの配信には、X社のクラウド型メール配信サービス(以下、X配信サービスという)を利用する。ニュースレターは、X社のメールサーバから配信され、配送エラーの通知メールは、X社のメールサーバに届くようにする。Header-FROMには、N社ドメイン名のメールアドレス(例:letter@n-sha.co.jp)を設定する。Envelope-FROMには、N社のサブドメイン名a-sub.n-sha.co.jpのメールアドレス(例:letter@a-sub.n-sha.co.jp)を設定する。X社のメールサーバのホスト名は、mail.x-sha.co.jpであり、グローバルIPアドレスは、x2.y2.z2.1である。X社のDNSサーバのグローバルIPアドレスは、x2.y2.z2.2である。X配信サービスでは、SPF、DKIM、DMARCのいずれも利用が可能である。

 N社は、ニュースレターの配信についても、3種類の送信ドメイン認証技術を利用することにした。具体的には、N社の外部DNSサーバに図7のレコードを追加する。

f:id:aolaniengineer:20200531142313p:plain

k:mail.x-sha.co.jp

DNSサーバに記述される「a-sub.n-sha.co.jp.IN MX 10 (k)」という形式は、MXレコードといい、ドメインについての情報の一つで、ドメイン(a-sub.n-sha.co.jp)宛ての電子メールをどのアドレス((k)の部分)に配送すればいいかを指定するものです。

ここでアドレスには、IPアドレスかホスト名(FQDN:完全修飾ドメイン名)を指定します。

問題文では、「a-sub.n-sha.co.jp」というドメインのメールサーバとして、ホスト名が「mail.x-sha.co.jp」のサーバを使用するため、MXレコードとして「mail.x-sha.co.jp」を登録します。

l:x2.y2.z2.1

DNSサーバに記述される「a-sub.n-sha.co.jp.IN TXT “v=spf1 +ip4: (l) -all”」という形式は、TXTレコードといい、ドメインについての情報の一つで、ホスト名の付加情報を自由に定義するためのものです。

ここでは前の設問であったように、SPF機能として「a-sub.n-sha.co.jp」というドメインからメール送信を許可するメールサーバのIPアドレスを登録することになります。

メールサーバのIPアドレスは「x2.y2.z2.1」であるため、これを記述します。

 ここで、受信側で検証に失敗したメールは隔離するポリシとするため、DMARCのpタグとaspfタグの設定は表3のとおりとする。

f:id:aolaniengineer:20200531142453p:plain

m:quarantine

「受信側で検証に失敗したメールは隔離するポリシ」にするため、表2(DMARCの主なタグ(概要))を参考に値を記述します。

pタグは、「送信側が指定する受信側でのメールの取扱いに関するポリシ」であり、値:quarantine(検証に失敗したメールは隔離する)が該当します。

n:r

aspfタグは、「SPF認証の調整パラメタ」であり、Header-FROMとEnvelope-FROMを比較して認証する際に、「ドメイン名の組織ドメイン」を比較対象とするか、「完全修飾ドメイン名」を比較対象とするかを指定します。

N社のニュースレターでは、Header-FROMでは「n-sha.co.jp」、Envelope-FROMでは「a-sub.n-sha.co.jp」であり、組織ドメインは一致するが、完全修飾ドメイン名は一致しない。

したがって、aspfタグには、組織ドメインが一致すれば認証成功とする、値:rを設定する必要があります。

 その後、N社と主要な取引先での送信ドメイン認証技術の導入が完了した。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1問1(一部、加工あり)】