基本情報技術者 2018年 秋期 午前(科目A) 問45
問題文
自社の中継用メールサーバで、接続元IPアドレス、電子メールの送信者のメールアドレスのドメイン名、及び電子メールの受信者のメールアドレスのドメイン名から成るログを取得するとき、外部ネットワークからの第三者中継と判断できるログはどれか。ここで、AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし、BBB.45.67.89とBBB.45.67.90は社外のグローバルIPアドレスとする。a.b.cは自社のドメイン名とし、a.b.dとa.b.eは他社のドメイン名とする。また、IPアドレスとドメイン名は詐称されていないものとする。
選択肢
ア:
イ:
ウ:(正解)
エ:
中継用メールサーバで第三者中継を判断するログはどれか【午前2 解説】
要点まとめ
- 結論→ 接続元が社外のグローバルIPで、送信者ドメインも受信者ドメインも社外であれば第三者中継と判断します。
- 根拠→ 中継は外部から自社サーバ経由で外部宛に送信する振る舞いで、接続元IPと宛先ドメインの組合せで特定可能です。
- 差がつくポイント→ 接続元が社外でも受信者が自社ドメインなら着信配送であり中継ではない点を正確に区別してください。
正解の理由
正解: ウ
ウは接続元が社外のグローバルIP(BBB.45.67.89)であり、送信者ドメインが他社(a.b.d)、受信者ドメインも他社(a.b.e)です。つまり「外部→自社サーバ経由→外部宛」の流れになっており、自社サーバを悪用して第三者が外部宛に送信している典型的な第三者中継(オープンリレー)です。
対してエは接続元が社外でも受信者が自社ドメイン(a.b.c)なので外部から自社宛の通常の着信配送であり、ア・イは接続元が自社のグローバルIP(社内端末)からの送信あるいは社内宛で中継ではありません。
ウは接続元が社外のグローバルIP(BBB.45.67.89)であり、送信者ドメインが他社(a.b.d)、受信者ドメインも他社(a.b.e)です。つまり「外部→自社サーバ経由→外部宛」の流れになっており、自社サーバを悪用して第三者が外部宛に送信している典型的な第三者中継(オープンリレー)です。
対してエは接続元が社外でも受信者が自社ドメイン(a.b.c)なので外部から自社宛の通常の着信配送であり、ア・イは接続元が自社のグローバルIP(社内端末)からの送信あるいは社内宛で中継ではありません。
よくある誤解
- 「送信者ドメインが社外なら常に中継」と考える誤解:受信者が自社ドメインなら外部からの正当な着信です。
- 「接続元IPだけ見れば良い」と考える誤解:接続元が社外でも受信者が社内なら中継とは言えません。必ず受信者側も確認する必要があります。
- 「送信者ドメインの偽装を前提にしないと判定できない」と思う誤解:問題ではIPとドメインは詐称されていない設定のため、ログ情報のみで判定可能です。
解法ステップ
- 接続元IPを判別し、自社のグローバルIPか社外のグローバルIPかを確認する。
- 受信者(宛先)メールアドレスのドメインが自社かどうかを判定する。
- 送信者のドメインも確認し、外部→自社→外部の流れ(外部接続かつ受信者が社外)を満たすかを判断する。
- 条件を満たす行を第三者中継とする(今回の条件では「接続元社外かつ受信者社外」が決定的)。
選択肢別の誤答解説
- ア:接続元がAAA.168.1.5(自社グローバルIP)で送信者が自社ドメイン、受信者が他社。これは社内端末から自社サーバを経由して外部へ送る通常の送信であり第三者中継ではありません。
- イ:接続元がAAA.168.1.10(自社)で送信者・受信者ともに自社ドメイン。完全に社内送受信であり中継ではない。
- ウ:接続元がBBB.45.67.89(社外)で送信者 a.b.d、受信者 a.b.e ともに社外ドメイン。外部→自社サーバ経由→外部宛で、第三者中継の定義を満たすため正解。
- エ:接続元がBBB.45.67.90(社外)で送信者 a.b.d が社外、受信者が a.b.c(自社)。これは外部から自社宛に配送する通常の着信であり、中継とは見なされない。
補足コラム
- SMTPログで中継を検出する際はTCP接続元IP、SMTPコマンド(HELO/EHLO)、MAIL FROM(送信者)、RCPT TO(受信者)を組み合わせて解析します。
- 実運用では送信者ドメインが偽装されることがあるため、接続元IPとSPF/DKIMの結果、認証情報(SMTP AUTH)など複数の指標で判定するのが望ましいです。
- 対策例:認証されていない未承認IPからの中継を拒否、外部向けリレー制限、SMTP AUTH/TLS強制、レート制限とログ監視を組み合わせます。
FAQ
Q1: 送信者ドメインが社外でも接続元が自社なら中継ですか?
A1: いいえ。接続元が自社であれば自社の端末やアプリが送信している可能性が高く、第三者中継とはみなしません(ただし内部不正の可能性は別途監視が必要です)。
A1: いいえ。接続元が自社であれば自社の端末やアプリが送信している可能性が高く、第三者中継とはみなしません(ただし内部不正の可能性は別途監視が必要です)。
Q2: 接続元が社外で受信者が社外でも、認証済みユーザなら第三者中継ですか?
A2: 認証済みユーザが正当な利用者であり送信先が正当なら中継とは言いませんが、認証情報の漏洩があれば不正中継となり得ます。認証ログと照合してください。
A2: 認証済みユーザが正当な利用者であり送信先が正当なら中継とは言いませんが、認証情報の漏洩があれば不正中継となり得ます。認証ログと照合してください。
Q3: ログだけで判定する際の注意点は?
A3: IPのNATやプロキシ経由、送信者ドメイン偽装、MX経路などで見かけが変わるため、接続元IPの割当やメールヘッダを総合的に確認することが重要です。
A3: IPのNATやプロキシ経由、送信者ドメイン偽装、MX経路などで見かけが変わるため、接続元IPの割当やメールヘッダを総合的に確認することが重要です。
関連キーワード: SMTP、メール中継、オープンリレー、メールサーバログ、SPF、DKIM、送信元IP、受信者ドメイン、ログ解析、MXレコード
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!