令和2年度秋、問2、設問2(2)

XSSを極めたい人さん  
(No.1)
IPAの解答はメールサーバですが、これはやはり、「ドメイン」では誤りでしょうか。
また、メールサーバの真正性を確認するとは、具体的にはどのように行うのでしょうか。SPFやDKIMとはまた別の方法でしょうか。
2021.02.13 09:28
関数従属さん 
(No.2)
>メールサーバの真正性の確認方法

問題にはどの方法で確認するかの記載がありませんが、
問題に出てくるSMTP over TLSや、上記にあるSPF、DKIMとかだと以下のようになるかと思います。

尚、パターンとしてはメールが直接くる①の場合と、メールが中継されてくる②の場合を考えます。
①委託先メールサーバ→外部メールサーバ
②委託先メールサーバ→中継メールサーバ→外部メールサーバ

・SMTP over TLS(サーバ証明書で委託先メールサーバを確認)
  ①のパターンは委託先メールサーバの真正性を確認可能。
  ②のパターンだと中継メールサーバとの確認となってしまい真正性の確認不可。

・SPF(DNSに委託先メールサーバのSPFレコードを登録し、エンベロープFROMと送信元メールサーバの一致を確認)
  ①のパターンは委託先メールサーバの真正性を確認可能。
  ②のパターンだとエンベロープFROMと中継メールサーバにて不一致となり認証に失敗する。
 
・DKIM(委託先メールサーバで署名を付与、DNSに検証用の公開鍵を公開、署名を検証する)
  ①、②のパターンともに委託先メールサーバの真正性を確認可能。
2021.02.14 17:33

返信投稿用フォーム

スパム防止のためにスレッド作成から30日以上経過したスレッドへの書き込みは禁止しています。

その他のスレッド


Pagetop