メールサービスにおけるオープンリレー対策と接続元制限機能【情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問2】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問2

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問2(一部、加工あり)】

【A社のネットワーク構成】
 A社では、デスクトップPC(以下、DPCという)を、全ての従業員に貸与している。DPCの社外への持出しは、禁止されている。
 A社は、クラウドサービスTを利用している。クラウドサービスTの機能とA社での利用方法の概要を表2に示す。


 A社のネットワーク構成を図1に、A社のネットワーク一覧を表3に示す。

d:オープンリレー

 A社ではクラウドサービスTのメールサービスを利用していて、機能の一つであるメール転送機能について問われています。
 「迷惑メールの踏み台として使われる」とはどのような動作となることでしょうか。
 迷惑メールとはスパムメールとも呼ばれ、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのことです。
 この場合、送信元が分からないように、送信元を詐称したり、第三者中継を利用したりします。
 通常、メールサーバは自ドメインに関する送信元と宛先の情報によって適切に処理されますが、運用上の都合や設定ミスなどで自ドメインとは無関係の第三者同士のメールを処理するようになっている場合があります。
 これを第三者中継またはオープンリレーといいます。
 第三者中継やオープンリレーが可能となっているメールサーバがインターネットから誰でも利用できると、迷惑メールの踏み台として利用されてしまいます。
 この対策として、自ドメイン宛のメールのみ処理するようにするということです。

①について、接続を許可するネットワークアドレスを答えよ。:x1.y1.z1.16/29

 接続を許可するネットワークアドレスが問われていますので、Webメールを利用する場合の通信を確認していきます。
 まず、同じ表2のWebメール機能に「DPCとメールサービスとの間は、HTTP over TLSを使用する」とあります。
 そして、図1から、該当する通信の経路を確認します。
 すると、A社内からWebメール機能があるクラウドサービスT、つまりインターネットアクセスする部分について、注記4に以下の記述があることに気付くと思います。
 「注記4 内部システムLAN上のサーバ及びDPCからのインターネットアクセスは、プロキシサーバ経由で行われる。
 つまり、問われている「接続を許可するネットワークアドレス」はプロキシサーバが所属するネットワークアドレスということが分かります。
 プロキシサーバが所属するDMZのネットワークアドレスは、表3から「x1.y1.z1.16/29」であることが確認できます。