情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

令和元年の秋午後1問題 問1にて
envelope fromを変えずにメールを転送するとSPFが失敗するとあります。例えばa,b,c
サーバで転送されるとfromがaのままであれば
aサーバのdnsに聞くとaサーバのアドレスがMXレコードに記載されているので失敗しないと思います。
これのどこか認識が違うのか教えていただけないでしょうか？
別の解説ではa以外のアドレスが返ってくると記載されていますが理解不能です。宜しくお願い致します。

設問２の（３）の問題のことを指していますかね？
IPAの公式解答としては
「送信側のDNSサーバに設定されたIPアドレスとSMTP接続元のIPアドレスが一致しないから」とあり、上記を踏まえて、ともやんさんの認識に置き換えてみると

”例えばa,b,cサーバで転送されるとfromがaのままであれば
aサーバのdnsに聞くとaサーバのアドレスがMXレコードに記載されているので失敗しないと思います。”

（aを送信元、bを転送用、cを受信先と仮定）
DNSサーバに設定されたIPアドレス→aのIPアドレス（MXレコードではなくTXTレコードかと）
SMTP接続元のIPアドレス→bのIPアドレス
 となり、公式解答のとおりIPアドレスの不一致が発生しSPF認証が失敗するということなんだと思います。
※聞きたいのはそういうことじゃないんだよなぁとの事でしたらご容赦ください。

回答ありがとうございました。
メールのパケットのfromとmxレコードを比較すると理解しました。であれば転送されると不一致になります。転送されたらfromアドレスは変わるんですね？

「fromアドレス」がメール送信元IPアドレスのことであれば、Yesだと思います。

今回の問題は、「Envelope-Fromを書き換えずにメールを転送する」が前提です。
この場合、転送後もEnvelope-Fromはオリジナルのまま維持されます。

一方、メールはBサーバーを経由して送信されるため、受信側から見た送信元IPアドレスはBサーバーのものになります。

したがって、受信側サーバーがEnvelope-FromのドメインのSPFレコードを参照しても、そこにBサーバーのIPアドレスが登録されていないため、送信元偽装と見なされSPF認証が不合格（Fail）となります。

横から失礼します。
この場合、Envelope-FromのドメインをBメールサーバのものに書き換えて転送するとSPFは成功するのでしょうか？
DNS-BサーバにTXTレコードとしてSPFレコードを追加した場合は成功するかと思いますが、転送先にそれを求めるのは非現実的ですよね？