HOME»情報処理安全確保支援士掲示板»平成28年度 春期試験 午後1について
投稿する

[0185] 平成28年度 春期試験 午後1について

 すた丼さん(No.1) 
平成28年度 春期試験 午後1
問2の設問4について
なぜ、ブラックリスト(3)に追加するのでしょうか。
個人的にはブラックリスト(5)でも同様の効果が得られるような気がします。

ご教授よろしくお願いいたします。
2017.10.07 16:38
 すた丼さん(No.2) 
すみません。
間違えました。

なぜ、ブラックリスト3に追加するのでしょうか。
ブラックリスト1ではない理由を教えて頂けると幸いです。

以上、よろしくお願いいたします。
2017.10.07 16:41
通りすがりの者さん(No.3) 
送信者メールアドレスを複合機メールアドレスに詐称する箇所は、エンベロープの送信者メールアドレスとメールヘッダの送信者メールアドレスがあります。

前者であれば、表2の(2)にあるSPFで拒否できますので、ブラックリスト1への登録は不要です。

後者であれば、そのSPFを通り抜けてしまうので、ブラックリスト3への登録が必要です。
2017.10.07 18:46
OC2さん(No.4) 
※補足

通りすがりの者さんの言っているとおり、
SPFを通り抜けてしまうので、ブラックリスト3への登録が必要になります

SPFを通り抜けてしまうメールとはどのようなメールなのか?
攻撃者がドメインを用意した(DNSサーバを用意した)環境からの送信元メールは
外部メールサーバ(2)SPFの検証でパスされます(Received-SPF: pass)
(3)の条件では通り抜けてしまいます

なので(5)のブラックリスト3に登録、ヘッダFROMに詐称したメールアドレスと比較して
拒否します

では、本物の複合機からPCに送信されたメールはどうなるのか?
と疑問に思うかもしれませんが
図1を見るとL3SWを経由して内部メールサーバに接続され、
外部メールサーバの影響を受けないと考えられるのでは?

通りすがりの者さん、間違っていたらごめんなさい



2017.10.08 13:17
通りすがりの者さん(No.5) 
OC2さんの通りです。

私の説明で、メールヘッダの送信者メールアドレスを詐称した場合の説明が不足していました。SPFをパスするために、攻撃者がドメインを取得してDNSサーバにSPFレコードを登録するという前提です。

午後Ⅰの過去問で、
【問】SPFを使って正しいと判定したサーバから送信された迷惑メールを防ぐことができなくなる迷惑メール送信者の行為は?
【解】迷惑メールの送信者がドメインを正当に取得
というのがありました。これは知識として持っていた方がいいです。
2017.10.08 13:39
通りすがりさん(No.6) 
遅いけど気になりましたので。

なぜブラックリスト1ではなく3なのか、ですよね。
なお、この設問の場合、設定を変更する必要があるのですから、SPFは論点に
ならないと思います。SPFチェックはパスしてくる前提。

その上で複合機のメールアドレスを「詐称」しているメールを拒否するのですから、ブラックリスト1のエンベロープでは拒否できません。

エンベロープのMAILFROM: hoge@example.jp
メールヘッダのfrom: scanner@u-sha.co.jp

このようなメールを拒否するためには、ブラックリスト3でなければならない
と思います。

2017.10.13 14:34

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop