HOME»情報処理安全確保支援士掲示板»令和2年度秋、問2、設問2(2)

情報処理安全確保支援士掲示板

掲示板検索:

[0599]令和2年度秋、問2、設問2(2)

 XSSを極めたい人さん(No.1) 
IPAの解答はメールサーバですが、これはやはり、「ドメイン」では誤りでしょうか。
また、メールサーバの真正性を確認するとは、具体的にはどのように行うのでしょうか。SPFやDKIMとはまた別の方法でしょうか。
2021.02.13 09:28
関数従属さん(No.2) 
>メールサーバの真正性の確認方法

問題にはどの方法で確認するかの記載がありませんが、
問題に出てくるSMTP over TLSや、上記にあるSPF、DKIMとかだと以下のようになるかと思います。

尚、パターンとしてはメールが直接くる@の場合と、メールが中継されてくるAの場合を考えます。
@委託先メールサーバ→外部メールサーバ
A委託先メールサーバ→中継メールサーバ→外部メールサーバ

・SMTP over TLS(サーバ証明書で委託先メールサーバを確認)
  @のパターンは委託先メールサーバの真正性を確認可能。
  Aのパターンだと中継メールサーバとの確認となってしまい真正性の確認不可。

・SPF(DNSに委託先メールサーバのSPFレコードを登録し、エンベロープFROMと送信元メールサーバの一致を確認)
  @のパターンは委託先メールサーバの真正性を確認可能。
  AのパターンだとエンベロープFROMと中継メールサーバにて不一致となり認証に失敗する。
 
・DKIM(委託先メールサーバで署名を付与、DNSに検証用の公開鍵を公開、署名を検証する)
  @、Aのパターンともに委託先メールサーバの真正性を確認可能。
2021.02.14 17:33

返信投稿用フォーム

スパム防止のために初投稿日から30日経過したスレッドへの書き込みは禁止しています。

© 2014-2022 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop