HOME»情報処理安全確保支援士掲示板»H26年春午後1問2設問2

情報処理安全確保支援士掲示板

掲示板検索:

[0711]H26年春午後1問2設問2

 トカノさん(No.1) 
表題の問題につきまして、
正式回答は「インターネットから迷惑メール対策装置を経由せずに送られてきた」でした。

私自身、こちらを解くにあたっては
『どうやって外部メールサーバに直接送ったのか、具体的な方法を答える必要がある』と考えてしまい、
結局方法が導き出せず、正式回答をみて
『そのまんまじゃん!』と拍子抜けしてしまいました。

ここから本題ですが、私が諦めた、「どうやって迷惑メール対策装置を経由せず送られたかの方法」をどなたか分かる方はいらっしゃいますでしょうか?方法があるからこそ、あのような正式回答がされていると思います。

理解を深めるために、ご教示いただけますと幸いです。
2021.09.08 14:11
わいわいさん(No.2) 
これはDNSのMXレコードの意味とメールサーバの挙動の問題になります
通常のメールサーバはMXレコードの優先値を参照し、優先値10である
迷惑メール対策サーバに送信します
もし迷惑メール対策サーバがダウンしている場合は、優先値20である
外部メールサーバに送信します

攻撃者はこのルールを無視し、優先度20の外部メールサーバへ送信しています
これはMXレコードによるメールサーバのフェイルオーバ機能の盲点をついた
悪意ある挙動となります
2021.09.08 15:47
hisashiさん(No.3) 

ご質問の意図は、どうやって実践したか(?)のようなので、例を書きます。

OP25Bのないインターネット環境(例えばIPアドレス固定のプロバイダサービス)、
ローカルにDNSサーバとメール転送サーバ(SMTP)を用意し、DNSサーバに
次のように設定すれば、ローカルのメールサーバから外部メールサーバに転送する
動作をします。(実際転送できるかは対抗のサーバによる)

a-sha.co.jpのオーソリティ
a-sha.co.jp.     IN MX 10 msv2.a-sha.co.jp
msv2.a-sha.co.jp. IN A x1.y1.z1.4(外部メールサーバのIP)

これは、簡易的なものでも動作検証は可能です。

当方の環境では、ブラックジャンボドッグでDNS、SMTPを設定し、キャプチャーで
意図したサーバのIPに25番ポートで出力を試みる動作までは確認できました。
2021.09.09 06:51
わいわいさん(No.4) 
補足ですが、メールを送信した方法については、正規のメールサーバソフト
(sendmailやpostfix)を使用しているのではなく、スクリプトやtelnet
コマンドで直接外部メールサーバにIPアドレスで接続してメールしていると
考えられます
2021.09.09 07:20
hisashiさん(No.5) 
>スクリプトやtelnetコマンドで直接外部メールサーバにIPアドレスで接続してメールしている
その方法ですと、FWに23番ポートが開いてないと実現できないと思います。
2021.09.09 07:42
わいわいさん(No.6) 
>その方法ですと、FWに23番ポートが開いてないと実現できないと思います。
スクリプトの場合も、telnetの場合も25番ポート(SMTP)に接続して、
SMTPプロトコルを流し込むという意味です
2021.09.09 09:08
hisashiさん(No.7) 
>telnetの場合も25番ポート(SMTP)に接続
なるほど、その方法ならできそうですね。
2021.09.09 11:10
 トカノさん(No.8) 
皆さん、ご回答いただきありがとうございます。

わいわいさん
具体的な方法を記載していただきありがとうございました。
どうやってMXレコードで優先度の低いサーバへ、攻撃者はメールを送ることが出来るのか、
と考えてたのですが、そのような設定で実現可能なんですね。
理解が深まりました。ありがとうございました。
2021.09.14 07:21
わいわいさん(No.9) 
問題を再度読み直して気づいた点がありましたので補足ならびに
書き込みいたします

メールサーバ管理者はDNSのMXレコードを利用して2台のメールサーバで
冗長化構成を設定しました
その際に2台とも25番ポートを開放しておくことで、自動的に切り替えが
行われるので便利だと考えておりました

実際の運用の場合、通常時は外部メールサーバの25番ポートをFWでブロック
しておき、迷惑メール対策サーバが停止したときに手動でFWのブロックを
解除する運用になると考えられます

攻撃者が外部メールサーバのIPアドレスをどうやって知ったかですが、
・DNSのMXレコードから
・無差別のポートスキャンの結果から
の2つが考えられます

「・DNSのMXレコードから」
この場合は、最初の質問の通りMXレコードの優先値を無視して攻撃者が
外部メールサーバに送ったと考えられます
ですが、私はこの方法にすこし引っかかりましたので
私が攻撃者ならどう考えるかを以下に記載いたします

「・無差別のポートスキャンの結果から」
攻撃者は常にインターネット上の25番ポートが開いているサーバを
探しており、たまたま外部メールサーバを発見した
攻撃者は発見した外部メールサーバに対して迷惑メール攻撃を実行した

重要なポイントは「攻撃者は明示的に迷惑メール対策サーバをバイパスして
外部メールサーバにメールを送信する」というような複雑な意図を含んだことを
しているのではなく、不用意にポートの空いている外部メールサーバに対して
攻撃を行っているだけです

メールサーバ管理者の立場からは、性善説に基づいて、お行儀のよい
メールサーバがDNSのMXレコードに従って動作することを前提にしています

質問者の方はどうやって攻撃者がMXレコードの優先値を無視したかを
問おうとしていますが、上記のように攻撃者はMXレコードの存在自体を
認識していないとも考えられます

出題者も不用意にポートが開いているサーバが攻撃されることをテーマに
問題を構成しているのではないかと推測致します
2021.09.14 08:57

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop