ホーム > 情報処理安全確保支援士試験 > 2009年 秋期
情報処理安全確保支援士試験 2009年 秋期 午前2 問03
SMTP-AUTH認証はどれか。
ア:SMTPサーバに電子メールを送信する前に,電子メールを受信し、その際にパスワード認証が行われたクライアントのIPアドレスに対して,一定時間だけ電子メールの送信を許可する。
イ:クライアントがSMTPサーバにアクセスしたときに利用者認証を行い,許可された利用者だけから電子メールを受け付ける。(正解)
ウ:サーバはCAの公開鍵証明書をもち,クライアントから送信されたCAの署名付きクライアント証明書の妥当性を確認する。
エ:電子メールを受信する際の認証情報を秘匿できるように,パスワードからハッシュ値を計算して,その値で利用者認証を行う。
解説
SMTP-AUTH認証はどれか【午前2 解説】
要点まとめ
- 結論:SMTP-AUTH認証とは、SMTPサーバにアクセスした際に利用者認証を行い、許可された利用者だけがメール送信を行える仕組みです。
- 根拠:SMTPプロトコル自体は認証機能を持たず、SMTP-AUTHは拡張機能としてユーザ認証を追加し、不正送信を防止します。
- 差がつくポイント:SMTP-AUTHは送信時の認証であり、受信時の認証やIPアドレス制限、証明書認証とは異なる点を理解することが重要です。
正解の理由
選択肢イは「クライアントがSMTPサーバにアクセスしたときに利用者認証を行い、許可された利用者だけから電子メールを受け付ける」とあり、これはSMTP-AUTHの定義に合致します。SMTP-AUTHはメール送信時にユーザ名とパスワードなどで認証を行い、不正なメール送信を防止するための仕組みです。
よくある誤解
SMTP-AUTHはメール受信時の認証やIPアドレスによる送信許可とは異なり、送信時の利用者認証に特化しています。証明書認証やハッシュ値認証とも区別が必要です。
解法ステップ
- SMTPの基本機能を理解し、認証機能が標準でないことを確認する。
- SMTP-AUTHがSMTPの拡張で送信時に利用者認証を行う仕組みであることを把握する。
- 選択肢の内容を「送信時の認証か」「受信時の認証か」「IP制限か」「証明書認証か」で分類する。
- SMTP-AUTHの定義に合致する選択肢を選ぶ。
選択肢別の誤答解説
- ア: 送信前に受信してパスワード認証を行い、IPアドレスで送信許可する仕組みはSMTP-AUTHではなく、IP制限やスプーフィング対策の一種です。
- イ: 正解。SMTPサーバにアクセスした際に利用者認証を行い、許可された利用者だけがメール送信できる仕組みです。
- ウ: クライアント証明書の妥当性確認はTLSクライアント認証などであり、SMTP-AUTHの認証方式とは異なります。
- エ: パスワードのハッシュ値を使った認証はチャレンジレスポンス方式などに近いが、SMTP-AUTHの定義とは異なります。
補足コラム
SMTP-AUTHはメール送信時の認証を実現するためにRFC4954で規定されており、ユーザ名とパスワードを用いてSMTPセッション中に認証を行います。これにより、スパムメールやなりすましメールの送信を防止し、メールサーバのセキュリティを向上させます。多くのメールクライアントやサーバがこの認証方式をサポートしています。
FAQ
Q: SMTP-AUTHはメールの受信時にも使われますか?
A: いいえ。SMTP-AUTHはメール送信時の認証方式であり、メール受信にはPOP3やIMAPの認証が使われます。
A: いいえ。SMTP-AUTHはメール送信時の認証方式であり、メール受信にはPOP3やIMAPの認証が使われます。
Q: SMTP-AUTHはどのような認証情報を使いますか?
A: 一般的にはユーザ名とパスワードを使い、平文や暗号化された形で認証を行います。
A: 一般的にはユーザ名とパスワードを使い、平文や暗号化された形で認証を行います。
Q: SMTP-AUTHとTLSはどのように関係していますか?
A: SMTP-AUTHは認証方式で、TLSは通信の暗号化方式です。SMTP-AUTHはTLS上で安全に認証情報を送信することが推奨されます。
A: SMTP-AUTHは認証方式で、TLSは通信の暗号化方式です。SMTP-AUTHはTLS上で安全に認証情報を送信することが推奨されます。
関連キーワード: SMTP, SMTP-AUTH, 電子メール認証, メール送信認証, メールセキュリティ, 利用者認証, RFC4954