サイトアイコン やさしいネットワークとセキュリティ

DNSサーバのMXレコード・TXTレコード、DMARCのタグ設定【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1(一部、加工あり)】

【ニュースレターの配信】
送信ドメイン認証技術の導入作業着手から1週間後、N社営業部で取引先宛てにニュースレターを配信する計画が持ち上がった。ニュースレターの配信には、X社のクラウド型メール配信サービス(以下、X配信サービスという)を利用する。ニュースレターは、X社のメールサーバから配信され、配送エラーの通知メールは、X社のメールサーバに届くようにする。Header-FROMには、N社ドメイン名のメールアドレス(例:letter@n-sha.co.jp)を設定する。Envelope-FROMには、N社のサブドメイン名a-sub.n-sha.co.jpのメールアドレス(例:letter@a-sub.n-sha.co.jp)を設定する。X社のメールサーバのホスト名は、mail.x-sha.co.jpであり、グローバルIPアドレスは、x2.y2.z2.1である。X社のDNSサーバのグローバルIPアドレスは、x2.y2.z2.2である。X配信サービスでは、SPF、DKIM、DMARCのいずれも利用が可能である。
 N社は、ニュースレターの配信についても、3種類の送信ドメイン認証技術を利用することにした。具体的には、N社の外部DNSサーバに図7のレコードを追加する。


 ここで、受信側で検証に失敗したメールは隔離するポリシとするため、DMARCのpタグとaspfタグの設定は表3のとおりとする。


 その後、N社と主要な取引先での送信ドメイン認証技術の導入が完了した。

k:mail.x-sha.co.jp

 DNSサーバに記述される「a-sub.n-sha.co.jp.IN MX 10 (k)」という形式は、MXレコードといい、ドメインについての情報の一つで、ドメイン(a-sub.n-sha.co.jp)宛ての電子メールをどのアドレス((k)の部分)に配送すればいいかを指定するものです。
 ここでアドレスには、IPアドレスかホスト名(FQDN:完全修飾ドメイン名)を指定します。
 問題文では、「a-sub.n-sha.co.jp」というドメインのメールサーバとして、ホスト名が「mail.x-sha.co.jp」のサーバを使用するため、MXレコードとして「mail.x-sha.co.jp」を登録します。

l:x2.y2.z2.1

 DNSサーバに記述される「a-sub.n-sha.co.jp.IN TXT “v=spf1 +ip4: (l) -all”」という形式は、TXTレコードといい、ドメインについての情報の一つで、ホスト名の付加情報を自由に定義するためのものです。
 ここでは前の設問であったように、SPF機能として「a-sub.n-sha.co.jp」というドメインからメール送信を許可するメールサーバのIPアドレスを登録することになります。
 メールサーバのIPアドレスは「x2.y2.z2.1」であるため、これを記述します。

m:quarantine

 「受信側で検証に失敗したメールは隔離するポリシ」にするため、表2(DMARCの主なタグ(概要))を参考に値を記述します。
 pタグは、「送信側が指定する受信側でのメールの取扱いに関するポリシ」であり、値:quarantine(検証に失敗したメールは隔離する)が該当します。

n:r

 aspfタグは、「SPF認証の調整パラメタ」であり、Header-FROMとEnvelope-FROMを比較して認証する際に、「ドメイン名の組織ドメイン」を比較対象とするか、「完全修飾ドメイン名」を比較対象とするかを指定します。
 N社のニュースレターでは、Header-FROMでは「n-sha.co.jp」、Envelope-FROMでは「a-sub.n-sha.co.jp」であり、組織ドメインは一致するが、完全修飾ドメイン名は一致しない。
 したがって、aspfタグには、組織ドメインが一致すれば認証成功とする、値:rを設定する必要があります。

モバイルバージョンを終了