【SC*勉強】送信ドメイン認証

IT

今回は、送信ドメイン認証について勉強していきたいと思います。送信ドメイン認証と言って思いつく単語といえば、SPF、DKIM、DMARCですよね。情報安全確保支援士の午前問題・午後問題どちらにも出てきます。特に令和元年秋期午後Ⅰの問1ではこの3つが出てくる問題でしたので、今回はこちらを活用して理解していきたいと思います。

1. SPFとDKIM

どちらも送信ドメイン認証の仕組み


最初に、SPFとDKIMについて見ていきたいと思います。この二つはどちらもメールを受け取った際に送信者の正当性を確認する仕組みで、なりすまし攻撃を防ぐことができます。

認証に使うものが異なる


ざっくりとSPF、DKIMの何が違うか述べると認証に使うものです。SPFではIPアドレスDKIMはディジタル署名を用います。
令和元年秋期午後Ⅰ問1の問題に沿ってみていきましょう。

SPFの流れ


p4の3行目、U主任の言葉に注目します。SPFに対応するには、事前に「社の外部DNSサーバに図4に示すTXTレコードを登録します。メールサーバでの対応は、当社の外部メールサーバの設定を変更します。」と述べています。
図4は、「a-sha.co.jp IN TXT “v=spf1+ip4:[j] -all」です。これを送信者側のDNSサーバに登録しておく必要があります。ちなみに[j]には送信者側のメールサーバのIPアドレスが入ります。このテキストレコードのことをSPFレコードと呼びます。

下図を使って流れを見ていきましょう。登場人物は過去問に合わせて、外部DNSサーバ、外部メールサーバ、受信側メールサーバです。

図. SPFの仕組み
  1. メールを送信する。
  2. 受信側メールサーバは、外部DNSサーバにSPFレコードを要求する。
  3. 要求を受けた外部DNSサーバは、登録されているSPFレコードを送信する。
  4. 受信したSPFレコードと受信したメールのIPアドレスが適合するかどうかを検証する。

SPF利用には注意点がある


p4の下から4行目のU主任の発言です。「メール送信側のDNSサーバ、メール受信側のメールサーバの両方がSPFに対応している状態であっても、その間でSPFに対応している別のメールサーバがEnvelope-FROMを変えずにメールをそのまま転送する場合、メール受信側のメールサーバにおいて、SPF認証が失敗してしまうという制約があります。」
すなわち、送信者をN社、メールを受け取って転送するのがA社、受信者をB社とすると、下図のようになり、上手くいきません。

図. SPFの仕組み(転送者がEnvelope-FROMの値を変えずに転送する場合)
  1. N社はメールをA社へ送信する。
  2. A社のメールサーバは送信元情報を変えずに(N社のまま)、B社へ転送。
  3. B社は送信元のDNSサーバ(A社のDNSサーバ)へSPFレコードを問い合わせ。
  4. A社のDNSサーバはSPFレコード(A社のもの)を送信する。
  5. 受信したSPFレコード(A社のもの)と受信したメールのIPアドレス(N社のもの)を検証し不適合と判断する。


DKIMの流れ


p5の3行目、U主任の言葉に注目します。DKIMに対応するには、事前に「公開鍵と秘密鍵のペアを生成し、そのうち公開鍵を当社の外部DNSサーバに登録し、当社の外部メールサーバの設定を変更します。」と述べています。下図を使って流れを見ていきましょう。DKIMは過去問の本文でガッツリ流れが説明してあったので、そのまま使わせていただきます。

図. DKIMの仕組み
出典:令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1

DKIMでは事前に鍵ペアを生成しておき、公開鍵を自身のDNSサーバに登録しておきます。4.で受信者は3.で受け取った公開鍵を使ってディジタル署名を復号化し、正当性を検証します。ディジタル署名の仕組みを使っていることがわかりますね。

DMARC  

SPFやDKIMと組み合わせて使う


p5の下から4行目のU主任の発言に注目すると、「DMARCは、メール受信側での、SPFとDKIMを利用した検証、検証したメールの取扱い、及び集計レポートについてのポリシを送信側が表明する方法です。DMARCのポリシの表明は、DNSサーバにTXTレコードを追加することによって行います。TXTレコードに指定するDMARCの主なタグを表2に示します。」とあります。

つまり、SPFやDKIMの流れの図の4.検証にて、認証が失敗した場合どうするかを送信者側で設定できます。それを設定するためには、表2のようなTXTレコードを追加する必要があります。

図. DMARCの主なタグ
出典:令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1


まとめ


いかがでしたでしょうか。午後問題は何か問題が起きる→とある仕組みを利用するにはどうすればいいのかという流れが多く、そのテーマを深く理解している必要があります。そのため、過去問を解くことは、問題の傾向を掴むだけではなく、そのテーマをしっかり理解することができ、一石二鳥ですね^^

冒頭にも述べましたが、送信ドメイン認証は午前・午後問題どちらにも出てくる可能性があるので、しっかり理解していきましょう!

ここまでお読みいただきありがとうございました!

コメント