外部メールサーバと内部メールサーバ

あっぽさん  
(No.1)
いつもお世話になっております。
メールの問題h29春午後Ⅱを解いていて、混乱してきたので教えてください。

内部メールサーバ→外部メールサーバ→インターネットへ送信してますが、内部メールサーバ→インターネットへ送信することは可能でしょうか?
可能な場合、なぜ外部メールサーバを経由するのでしょうか?

MXレコードは、自社内の受信メールサーバを記述するであってますか?あっている場合、外部メールサーバと同じと考えても良いのでしょうか?

SPFレコードは、自社内の送信メールサーバのIPアドレスを記述するであってますか?あっている場合、内部メールサーバを記述したり、外部メールサーバを記述するケースってありますよね?
2023.04.11 20:07
pixさん 
SC ダイヤモンドマイスター
(No.2)
外部メールサーバ、内部メールサーバについて認識が多少違うようです。
外部メールサーバ、内部メールサーバは絶対に必要なわけではなく、
なんらかの意図でメールサーバを2台配置していることになります。
その意図も絶対ではなく、ネットワーク図や説明から読み取らねばなりません。

本問では
・外部メールサーバ:内部メールサーバとインターネット間のメール転送
・内部メールサーバ:内部メールの配信とメールボックス管理
というように役割がわかれています。

>内部メールサーバ→外部メールサーバ→インターネットへ送信してますが、
>内部メールサーバ→インターネットへ送信することは可能でしょうか?
>可能な場合、なぜ外部メールサーバを経由するのでしょうか?
なぜ外部メールサーバを経由するかというよりも、この環境では
外部メールサーバを経由する構成を選択したという表現になります。
問1と問2でも外部メールサーバの役割は内部メールサーバとインターネット間の
転送とありますので、その役割を果たしていることになります。
また、外部メールサーバには
・問1ではメールのウイルススキャン機能
・問2ではSMTPSに対応
など、問によって付加機能は異なります。

>MXレコードは、自社内の受信メールサーバを記述するであってますか?
>あっている場合、外部メールサーバと同じと考えても良いのでしょうか?
自社内というよりも、ドメインの受信メールサーバという方が適切な表現と
思われます。問1と問2のネットワーク図からは外部メールサーバと同じと
判断できます。

>SPFレコードは、自社内の送信メールサーバのIPアドレスを記述するで
>あってますか?あっている場合、内部メールサーバを記述したり、
>外部メールサーバを記述するケースってありますよね?
これも自社というよりも、ドメインの送信メールサーバのIPアドレスを
DNSのTXTレコードに記述します。問1と問2の構成よりSPFレコードに記載するのは
外部メールサーバのIPアドレスが適切と考えられます。
2023.04.11 20:30
橙色文書さん 
(No.3)
問1と問2のどちらにも、内部メールサーバがインターネットとメール送受信できるとは書いてありません。
記述がないため推測となりますが、送受信可能であったとしてもFWでブロックされるでしょう。
2023.04.11 20:38
あっぽさん  
(No.4)
>pixさん
>橙色文書さん
回答ありがとうございます。記載忘れていました。問2です。
内部メールが外部へ送信するかは、ケースバイケースなんですね。

分けてる理由は、設問から読み取る必要があるということですか。
SPFレコードが外部メールサーバを記述する場合もあると理解できて、
少し整理できてきました。

助かりました。ありがとうございます。
2023.04.11 20:45
橙色文書さん 
(No.5)
勘違いされている可能性もありそうですので念のため。
書くまでもない常識として、DMZ(非武装地帯)セグメントが設置されている場合は、インターネットとの直接通信はDMZの機器で行います。
特に記載がない限り、他のセグメントはインターネットとの直接通信は不可能です。
2023.04.11 21:02
あっぽさん  
(No.6)
>書くまでもない常識として、DMZ(非武装地帯)セグメントが設置されている場合は、インター>>ネットとの直接通信はDMZの機器で行います。
>特に記載がない限り、他のセグメントはインターネットとの直接通信は不可能です。

なるほど。DMZがある場合、内部LAN→インターネットの通信は、FWで遮断するのが一般的なんですね。ありがとうございます。

ここで気になったのですが、PCから内部DNSサーバに名前解決を依頼し、内部DNSサーバ→インターネット上の権威DNSサーバをするのも禁止されているのでしょうか?

インターネット→外部DNSサーバへの名前解決は、オープンリゾルバ対策として禁止されていると思うのですが、内部DNSサーバ→インターネット上の権威DNSサーバがダメな場合、プロキシや外部DNSサーバを必ず経由する必要があるということでしょうか?
2023.04.11 21:19
あっぽさん  
(No.7)
すみません。書いていて気づきました。

内部DNS→インターネットの通信は、オープンリゾルバ対策ではなく、
マルウェアに感染したときC&Cサーバと通信しないようにするための対策なんですね。

内部LAN→インターネットへ直接通信するネットワーク機器が存在しないのか考えてみましたが、思い浮かばないですね。もし、何かあるのでしたら教えてください!

回答ありがとうございました。
2023.04.11 21:36

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop