【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2 設問2】なりすましメール対策-SPF

ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2

【出典：ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2（一部、加工あり）】

[Y社が導入しているSPFの概要]
 SPFでは、送信者のなりすましの有無を受信者が検証できるようにするために、送信者のドメインのゾーン情報を管理する権威DNSサーバに、SPFで利用する情報（以下、SPFレコードという）を登録する。Y社では、外部DNSサーバYにSPFレコードをTXTレコードとして登録している。
 Y社が登録しているSPFレコードを図4に示す。

 Y社が導入しているSPFによる送信ドメイン認証の流れを次に示す。
（ⅰ）サポート担当者は、送信元メールアドレスがsupport@y-sha.comにセットされたサポートメールを、顧客宛てに送信する。
（ⅱ）サポートメールは、社内メールサーバYからメール中継サーバY1又はY2を経由して、顧客のメールサーバに転送される。
（ⅲ）顧客のメールサーバは、メール中継サーバY1又はY2から、メール転送プロトコルである（d）の（ｅ）コマンドで指定されたメールアドレスのドメイン名の（f）を入手する。顧客のメールサーバは、DNSを利用して、（f）ドメインのゾーン情報を管理する外部DNSサーバYに登録されているSPFレコードを取得する。
（ⅳ）顧客のメールサーバは、④取得したSPFレコードに登録された情報を基に、送信元のメールサーバの正当性を検査する。
（ⅴ）正当なメールサーバから送信されたメールなので、なりすましメールではないと判断してメールを受信する。なお、正当でないメールサーバから送信されたメールは、なりすましメールと判断して、受信したメールの隔離又は廃棄などを行う。

【ネスペR6午後2問2】徹底解説！(2) ～送信ドメイン認証SPFの仕組みを解き明かす～

前回は【設問1】を通して、Y社のネットワーク構成やDNS、NATといった基本的な仕組みを読み解きましたね。今回は、いよいよなりすましメール対策の核心に迫ります。テーマは、送信ドメイン認証技術の一つ、「SPF (Sender Policy Framework)」です！

✅ SPFってなんだっけ？基本をおさらい

設問に入る前に、SPFがどんな技術だったか簡単におさらいしましょう。

本文には、SPFについて以下のように説明されています。

送信元IPアドレスを基に、正規のサーバから送られたかどうかを検証する

送信者のドメインのゾーン情報を管理する権威DNSサーバに、SPFで利用する情報（以下、SPF レコードという）を登録する

簡単に言うと、SPFは「このドメイン（例: y-sha.com）を名乗ってメールを送ることを許可された、正規のメールサーバのIPアドレスリスト」を、ドメインの管理者自身がDNSに公開しておく仕組みです。

受信側のメールサーバは、メールを受け取った際に、

1. メールを送信してきたサーバのIPアドレスを確認する。
2. メールの送信元ドメイン（y-sha.com）のSPFレコードをDNSに問い合わせる。
3. 1のIPアドレスが、2のSPFレコードに記載されている「許可リスト」に含まれているかを照合する。

このシンプルな仕組みで、「IPアドレスを詐称していないか」を検証し、なりすましを防ぐ第一の関門となるわけです。

それでは、この基本を踏まえて【設問2】を解いていきましょう！

---

💡【設問2】SPFの具体的な設定と動作を理解する

【設問2】は、Y社が導入しているSPFの具体的な設定内容と、認証の流れに関する問題です。

(1) SPFレコードに登録すべきIPアドレスは？

【問題】 図4中の (ウ)、(エ) に入れる適切なIPアドレスを答えよ。

【解答】 (ウ) 200.a.b.1 、(エ) 200.a.b.2

【解説】 SPFレコードには、「正規の送信元メールサーバのIPアドレス」を登録します。ポイントは、受信側（顧客のメールサーバ）から見て、どのIPアドレスからメールが送られてくるかを考えることです。

1. Y社のメール送信経路: 社内のサポート担当者が送信したメールは、最終的にDMZにあるメール中継サーバY1またはY2を経由して、顧客のメールサーバに転送されます。
2. 顧客から見えるIPアドレス: つまり、顧客のメールサーバから見える送信元のIPアドレスは、メール中継サーバY1 (y-mail1) とY2 (y-mail2) のグローバルIPアドレスです。
3. グローバルIPアドレスの確認: これらのサーバのグローバルIPアドレスは、外部のDNSサーバ、つまり外部DNSサーバY（図2） にAレコードとして登録されています。
   • y-mail1.y-sha.com. IN A 200.a.b.1
   • y-mail2.y-sha.com. IN A 200.a.b.2

したがって、SPFレコードに登録すべきIPアドレスは、この2つになります。図4のSPFレコード “v=spf1 +ip4:（ウ） +ip4:（エ） -all” は、「IPアドレス（ウ）と（エ）からの送信は許可（+）し、それ以外はすべて拒否（-all）する」という意味ですね。

(2) SPF認証の流れで使われる情報は？

【問題】 本文中の (d) 〜 (f) に入れる適切な字句を答えよ。

【解答】 (d) SMTP 、(e) MAIL FROM、 (f) y-sha.com

【解説】 ここでは、SPF認証の具体的なフローが問われています。

• (d) メール転送プロトコル: これは基礎知識ですね。メールの転送（配送）に使われるプロトコルは、SMTP (Simple Mail Transfer Protocol) です。
• (e) コマンド: SPFが検証の対象とするのは、メールヘッダに表示される「From:」（ヘッダFrom）ではなく、SMTP通信の裏側で実際に使われる「エンベロープFrom」です。このエンベロープFromのメールアドレスを指定するSMTPコマンドが MAIL FROM です。
• (f) ドメイン名: 顧客のメールサーバは、MAIL FROM コマンドで指定されたメールアドレスのドメイン名のSPFレコードを問い合わせます。Y社のサポートメールの送信元アドレスは support@y-sha.com なので 、検証対象となるドメイン名は y-sha.com です。

(3) どうやって「正当性」を確認するのか？

【問題】 本文中の下線④について、正当性の確認方法を、50字以内で答えよ。

【解答】 送信元のメールサーバのIPアドレスが、SPFレコードの中に登録されていること

【解説】 これは、SPFの仕組みの総まとめとも言える問題です。受信側メールサーバが行う「正当性の検査」とは、具体的に何をするのでしょうか。

これまで見てきたステップを組み合わせれば、答えは自ずと見えてきます。

1. 受信側サーバは、SMTPで接続してきた送信元サーバのIPアドレスを把握します。
2. MAIL FROM コマンドから、送信元ドメイン（y-sha.com）を特定します。
3. DNSを引いて y-sha.com のSPFレコードを取得します。このレコードには許可されたIPアドレス（200.a.b.1, 200.a.b.2）がリストアップされています。
4. 最後に、「手順1のIPアドレス」が「手順3のリスト」に存在するかどうかを照合します。

この照合プロセスこそが、「正当性の確認」です。もしIPアドレスがリストにあれば正規のメール、なければなりすましの疑いがあると判断できます。

---

まとめ

今回は【設問2】を通して、送信ドメイン認証技術「SPF」の具体的な仕組みを学びました。

• SPFは、送信元IPアドレスを基準に正当性を検証する。
• DNSにSPFレコード（TXTレコード）として、正規のサーバのIPアドレスを登録しておく。
• 受信側は、SMTPの MAIL FROM コマンドのドメインをキーにSPFレコードを取得し、接続元IPアドレスと照合する。

SPFはなりすまし対策の基本ですが、これだけでは防ぎきれないケースもあります（例えば、メールが転送されると送信元IPアドレスが変わってしまい、認証に失敗するなど）。

そこで登場するのが、もう一つの強力な武器、電子署名を用いる「DKIM」です。次回は【設問3】を題材に、このDKIMの仕組みを徹底解説します。お楽しみに！