情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

電子メール送信・転送のプロトコルであるSMTPは、策定されたのが1982年と歴史が古く、電子メール送信に当たって以下の脆弱性があることが広く知られています。

• 送信処理と転送処理を同一の仕組みで扱っている
• 電子メールの投稿をするユーザーを認証する仕組みがない
• 暗号化機能が標準で実装されていないため、通信経路上を平文のメッセージが流れる

特に上記2つの仕様が原因となり、複数のメールサーバの第三者中継を利用したスパムメールの温床となっていました。

SMTP-AUTH(SMTP Authentication)は、元来は電子メール送信にあたってユーザー認証の仕組みがないSMTPを拡張し、ユーザー認証機能を追加したものです。使用するにはメールサーバとメールクライアント(メールソフト)の双方が対応していることが必要ですが、メール送信するときにユーザー名とパスワードで認証を行い、認証されたユーザーのみからのメール送信を許可することで不正な送信要求を防止することができます。

• OP25B(Outbound Port 25 Blocking)の説明です。
• POP before SMTPの説明です。
• 正しい。SMTP-AUTHの説明です。
• 架空のドメイン名を使用しているスパムメールでは送信元IPアドレスからドメインの逆引きができません。DNS逆引き方式は、これをスパムメール対策に利用したものです。