SMTP-AUTH|情報処理安全確保支援士試験 令和4年秋期午前Ⅱ 問14
出典:令和4年秋期 午前Ⅱ 問14
分野:セキュリティ / セキュリティ実装技術
SMTP-AUTHの特徴はどれか。
- ア:ISP管理下の動的IPアドレスから管理外ネットワークのメールサーバへのSMTP接続を禁止する。
- イ:電子メール送信元のメールサーバが送信元ドメインのDNSに登録されていることを確認してから,電子メールを受信する。
- ウ:メールクライアントからメールサーバへの電子メール送信時に,利用者IDとパスワードによる利用者認証を行う。
- エ:メールクライアントからメールサーバへの電子メール送信は,POP接続で利用者認証済みの場合にだけ許可する。
TSUNAGARU-ADVICE
まず押さえたいこと
SMTP-AUTHは、メールクライアントからメールサーバへ電子メールを送信するときに、利用者IDとパスワードで送信者を認証する仕組みです。
迷ったときの判断軸
OP25Bは外部メールサーバへの25番ポート接続制限、SPFは送信元メールサーバのIPアドレス確認、POP before SMTPはPOP認証後に送信を許可する仕組みです。SMTP-AUTHは、SMTPによるメール送信時に利用者認証を行う点で見分けます。
科目Bにつなげるために
科目Bでは、迷惑メール対策やメール送信の認証方式について、どの段階で何を確認しているかが問われます。SMTP-AUTHは、メール送信前に利用者本人であることを確認する対策として理解しておきましょう。
SMTPは、電子メールを送信・転送するための古くからあるプロトコルです。
ただし、もともとのSMTPには、メールを送信する利用者を認証する仕組みがありませんでした。そのため、第三者がメールサーバを悪用して、スパムメールを送信する原因になっていました。
SMTPには、主に次のような弱点があります。
SMTP-AUTHは、このSMTPにユーザー認証の機能を追加した仕組みです。
メールを送信するときに、ユーザー名とパスワードで認証を行い、認証に成功した利用者だけがメールを送れるようにします。
これにより、正規の利用者以外からの不正なメール送信を防ぎやすくなります。
SMTP-AUTHを使うには、メールサーバとメールクライアントの両方がSMTP-AUTHに対応している必要があります。
つまりSMTP-AUTHは、「メールを送る前に本人確認を行い、認証済みの利用者だけに送信を許可する仕組み」と考えると分かりやすいです。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:ISP管理下の動的IPアドレスから管理外ネットワークのメールサーバへのSMTP接続を禁止する。
⇒OP25Bの説明です。ISP管理下のネットワークから外部のメールサーバのTCPポート25番への直接通信を制限し、スパムメール送信を抑止する仕組みであり、利用者IDとパスワードで送信者を認証するSMTP-AUTHとは異なります。
イ:電子メール送信元のメールサーバが送信元ドメインのDNSに登録されていることを確認してから,電子メールを受信する。
⇒SPFの説明です。SPFは、送信元IPアドレスが送信ドメインで許可されたメールサーバかどうかをDNS情報で確認する仕組みです。メール送信時に利用者認証を行うSMTP-AUTHとは目的が異なります。
エ:メールクライアントからメールサーバへの電子メール送信は,POP接続で利用者認証済みの場合にだけ許可する。
⇒POP before SMTPの説明です。メール受信時のPOP認証に成功した利用者に対して一定時間だけSMTP送信を許可する方式であり、SMTP送信時に直接利用者認証を行うSMTP-AUTHとは異なります。