SC試験勉強メモ 20200311

令和元年秋季 午後１問１関連

DNSサーバへのメールサーバ登録

  取得したインターネットドメイン名n-sha.co.jpを使用してメールサーバホスト名mail.n-sha.co.jpをメールドメイン名として登録する。

メールドメイン名とグローバルIPアドレスの紐付け設定↓

• n-sha.co.jp.             IN MX    10    mail.n-sha.co.jp.
• mail.n-sha.co.jp.    IN A                x1.y1.z1.1  

SMTP Header-FROM Enverope-FROM

SMTPには以下２種類のメールアドレスがある

• Header-FROM

  • メーラーに表示される差出人アドレス。

• Envelope-FROM

  • 基本的なメーラーには表示されない。メールサーバーやMTA間でSMTPプロトコルによって、Envelope-FROMからEnvelope-TOに送られる。
  • 手紙が入った封筒に書いてある差出人のイメージ
  • メール送信失敗した際の通知メールはこのEnvelope-FROMに記載されたアドレスに送られる

3 エンベロープ（envelope）From/To とヘッダーのFrom/To

SPF使用時のDNSへの登録設定

送信ドメイン認証技術 SPF

ドメイン名n-sha.co.jpにメール受信サーバで検証するメールドメイン名に紐づくIPアドレス x1.y1.z1.1を登録

• n-sha.co.jp. IN TXT "v=spf1 + ip4: x1.y1.z1.1 -all"
  • 'IN TXT' TXTレコード＝ドメインに関連するテキスト情報を記載するレコード
  • 'v=spf1' SPFのバージョン１で
  • 'ip4:' IPv4アドレスで
  • '-all'は設定以外のアドレスは当該ドメインとして認証しない（ホワイトリスト的な）

SPFレコード -allと~allの違い

送信側サーバ、受信側サーバが共にSPFを導入している際に認証失敗する例

例：SPF対応の中間メールサーバがEnvelope-FROMを変えずにメール転送した

受信側メールサーバは送られてきたメールのEnvelope-FROMに指定されている元の送信側DNSサーバに認証を問い合わせるが、問い合わせを受けたDNSサーバは中間メールサーバの情報は未登録なので認証が失敗する。

DKIM

鍵認証、電子署名を利用

1. 秘密鍵でメールヘッダと本文を基にディジタル署名を作成して送るメール（のDKIM-Signatureヘッダ）に付与
2. 受信側メールサーバが（DKIM-Signatureのdタグに指定された）ディジタル署名のドメイン名を基に送信元側のDNSサーバに公開鍵を要求
3. 送信元側のDNSサーバは登録されている公開鍵を送信
4. 受信した公開鍵を用いてディジタル署名を検証する
5. メール送信元の正当性、及びメールヘッダと本文の完全性の検証が可能

DMARC

• SPF,DKIMで検証したメールの取り扱いのルールを設定する方法。
• pタグ（必須） : 受信側で届いたメールの取り扱いルールを送信側で設定する
  • none : 何もしない
  • quarantine : 検証に失敗したメールの隔離
  • reject : 検証に失敗したメールは拒否
• aspfタグ（任意） : SPF認証の調整パラメタ
  • r : Header-FROMとEnvelope-FROMのドメイン名の組織ドメインが一致していれば認証に成功
  • s : FQDNが一致していれば認証成功
• adkimタグ（任意） : DKIM認証の調整パラメタ
  • r : DKIM-SignatureヘッダのdタグとHeader-FROMのドメイン名の組織ドメインが一致していれば認証成功
  • s : FQDNが一致していれば認証成功
• ruaタグ（任意） : DMARCの集計レポートの送信先
  • URI形式で送信先を指定

DMARCについて