HOME»情報処理安全確保支援士掲示板»令和元年秋午後I問1
投稿する
»[0734] 平成29年 春期 午後1 問3の設問1の解答 投稿数:5
»[0733] H30春季 午後1 問3 投稿数:3
[0736] 令和元年秋午後I問1
MCさん(No.1)
設問1(3)について
中継経路上のSPFに対応している別のメールサーバがエンベロープFromを変えずにメールをそのまま転送すると、
受信メールサーバではSMTP接続元IPアドレスはメール転送したメールサーバになる(だから送信側のDNSサーバに設定されたIPアドレスと一致しなくなる)ということのようですが、
そもそも、「エンベロープFromを変えずにメールをそのまま転送している=SMTP接続元IPアドレスはメール転送したメールサーバになる」というところの理解ができないため、この部分について教えて頂けませんでしょうか?
中継経路上のSPFに対応している別のメールサーバがエンベロープFromを変えずにメールをそのまま転送すると、
受信メールサーバではSMTP接続元IPアドレスはメール転送したメールサーバになる(だから送信側のDNSサーバに設定されたIPアドレスと一致しなくなる)ということのようですが、
そもそも、「エンベロープFromを変えずにメールをそのまま転送している=SMTP接続元IPアドレスはメール転送したメールサーバになる」というところの理解ができないため、この部分について教えて頂けませんでしょうか?
2021.10.09 13:31
雲霧さん(No.2)
エンベロープFromを変えずにメールをそのまま転送している、ときの受信サーバ側のSPFの流れは、
1)エンベロープFromはオリジナルの送信サーバのドメインが記載されてる(中継サーバで変えずに転送しているため)ので、SPF問い合わせ先はオリジナルの送信サーバへ。ここで得られるIPアドレスはオリジナルの送信サーバのIPアドレスとなる。
2)送信元IPアドレスには中継サーバのIPアドレスが書いてある
両者が一致しない。
という問題になるかと。
1)エンベロープFromはオリジナルの送信サーバのドメインが記載されてる(中継サーバで変えずに転送しているため)ので、SPF問い合わせ先はオリジナルの送信サーバへ。ここで得られるIPアドレスはオリジナルの送信サーバのIPアドレスとなる。
2)送信元IPアドレスには中継サーバのIPアドレスが書いてある
両者が一致しない。
という問題になるかと。
2021.10.09 14:17
MCさん(No.3)
雲霧さん
ありがとうございます。追加で伺えますでしょうか。
2が中継サーバのIPアドレスではなく、オリジナルの送信サーバのIPアドレスになる(=1と2が一致してSPFが上手く検証できる)ためには、中継サーバにはどのように振る舞ってほしい、となるのでしょうか?
また、送信経路上の中継サーバ上の振る舞い1つで(=送信者、受信者が制御できないような振る舞い/制御不能な第三の要因により)SPFが上手く検証できるかどうかが決まるという理解であっていますでしょうか?
ありがとうございます。追加で伺えますでしょうか。
2が中継サーバのIPアドレスではなく、オリジナルの送信サーバのIPアドレスになる(=1と2が一致してSPFが上手く検証できる)ためには、中継サーバにはどのように振る舞ってほしい、となるのでしょうか?
また、送信経路上の中継サーバ上の振る舞い1つで(=送信者、受信者が制御できないような振る舞い/制御不能な第三の要因により)SPFが上手く検証できるかどうかが決まるという理解であっていますでしょうか?
2021.10.09 15:15
hisashiさん(No.4)
MCさん
ご質問の意図が判らないので、図解で中継サーバを経由すると
どのようになるのかご覧になってはいかがでしょうか?
googleより「SPF認証結果がFailになります」で検索すると1番目にヒットします。
タイトル:Sender Authenticationを設定したのに、SPF認証結果がFailになります。どうしてですか?
この部分ですが、エンベロープFromを変えずにメールを転送は、送信元のメールアドレスを
変えないという意味です。具体例で言うと、今はスマホが主流で少なくなりましたが、
宛先会社のアドレスから携帯に転送設定をしている場合です。転送先の携帯メールが
受け取れない場合、宛先の会社のアドレスに戻らず、メールの送り主に戻ってきますよね?
もし、転送フェーズでエンベロープFromを宛先の会社のアドレスに書き換えると、会社のアドレスに戻ります。
SPFは、エンベロープFromのドメインから得られる情報(DNSサーバのtxtレコード)と受信メールサーバにSMTP通信をするメールサーバのIPアドレスで比較します。本文は、中継サーバが介在するとSPFの仕組み上整合性が取れないから認証に失敗すると言ってます。
ご質問の意図が判らないので、図解で中継サーバを経由すると
どのようになるのかご覧になってはいかがでしょうか?
googleより「SPF認証結果がFailになります」で検索すると1番目にヒットします。
タイトル:Sender Authenticationを設定したのに、SPF認証結果がFailになります。どうしてですか?
>そもそも、「エンベロープFromを変えずにメールをそのまま転送している=SMTP接続元IPアドレスは
>メール転送したメールサーバになる」というところの理解ができないため、この部分について
>教えて頂けませんでしょうか?
この部分ですが、エンベロープFromを変えずにメールを転送は、送信元のメールアドレスを
変えないという意味です。具体例で言うと、今はスマホが主流で少なくなりましたが、
宛先会社のアドレスから携帯に転送設定をしている場合です。転送先の携帯メールが
受け取れない場合、宛先の会社のアドレスに戻らず、メールの送り主に戻ってきますよね?
もし、転送フェーズでエンベロープFromを宛先の会社のアドレスに書き換えると、会社のアドレスに戻ります。
SPFは、エンベロープFromのドメインから得られる情報(DNSサーバのtxtレコード)と受信メールサーバにSMTP通信をするメールサーバのIPアドレスで比較します。本文は、中継サーバが介在するとSPFの仕組み上整合性が取れないから認証に失敗すると言ってます。
2021.10.09 22:36
昭和62年さん(No.5)
メールを送信する際、受信側のDNSサーバのMXレコードを参照して指定のメールサーバに直送するので、基本的に転送は発生しないです。
※送信側ドメイン内での転送と受信側ドメイン内での転送は、SPF認証をしないです。
受信側の都合で別ドメインに転送する場合は、SPF認証でエラーになるのを受容するか、エンベロープFromを書き換えるかのいずれかではないでしょうか?
IPアドレスを細工してどうにかなるなら、迷惑メールを防げないですね。
送信側の都合で別ドメインのメールサーバを経由する場合は、中継するメールサーバのIPアドレスを送信側DNSに登録しておくとSPF認証は成功します。
INCLUDE句を使って大量のIPアドレスが登録してあったりします。
※送信側ドメイン内での転送と受信側ドメイン内での転送は、SPF認証をしないです。
受信側の都合で別ドメインに転送する場合は、SPF認証でエラーになるのを受容するか、エンベロープFromを書き換えるかのいずれかではないでしょうか?
IPアドレスを細工してどうにかなるなら、迷惑メールを防げないですね。
送信側の都合で別ドメインのメールサーバを経由する場合は、中継するメールサーバのIPアドレスを送信側DNSに登録しておくとSPF認証は成功します。
INCLUDE句を使って大量のIPアドレスが登録してあったりします。
2021.10.10 05:26
その他のスレッド
»[0735] HTTP通信のGETメソッドについて 投稿数:2»[0734] 平成29年 春期 午後1 問3の設問1の解答 投稿数:5
»[0733] H30春季 午後1 問3 投稿数:3