やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > 情報処理安全確保支援士 > DNSサーバのMXレコード・TXTレコード、DMARCのタグ設定【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3】

DNSサーバのMXレコード・TXTレコード、DMARCのタグ設定【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3】

情報処理安全確保支援士 情報処理安全確保支援士-午後解説

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「DNSサーバのMXレコード・TXTレコード、DMARCのタグ設定」を取り上げた「情報処理安全確保支援士試験 令和元年度 秋期 午後1問1設問3」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3

問1 電子メールのセキュリティ対策に関する次の記述を読んで、設問1〜4に答えよ。

(略)

U主任:DMARCは、メール受信側での、SPFとDKIMを利用した検証、検証したメールの取扱い、及び集計レポートについてのポリシを送信側が表明する方法です。DMARCのポリシの表明は、DNSサーバにTXTレコードを追加することによって行います。TXTレコードに指定するDMARCの主なタグを表2に示します。

f:id:aolaniengineer:20200530154109p:plain

(略)

【ニュースレターの配信】

 送信ドメイン認証技術の導入作業着手から1週間後、N社営業部で取引先宛てにニュースレターを配信する計画が持ち上がった。ニュースレターの配信には、X社のクラウド型メール配信サービス(以下、X配信サービスという)を利用する。ニュースレターは、X社のメールサーバから配信され、配送エラーの通知メールは、X社のメールサーバに届くようにする。Header-FROMには、N社ドメイン名のメールアドレス(例:letter@n-sha.co.jp)を設定する。Envelope-FROMには、N社のサブドメイン名a-sub.n-sha.co.jpのメールアドレス(例:letter@a-sub.n-sha.co.jp)を設定する。X社のメールサーバのホスト名は、mail.x-sha.co.jpであり、グローバルIPアドレスは、x2.y2.z2.1である。X社のDNSサーバのグローバルIPアドレスは、x2.y2.z2.2である。X配信サービスでは、SPF、DKIM、DMARCのいずれも利用が可能である。

 N社は、ニュースレターの配信についても、3種類の送信ドメイン認証技術を利用することにした。具体的には、N社の外部DNSサーバに図7のレコードを追加する。

f:id:aolaniengineer:20200531142313p:plain

k:mail.x-sha.co.jp

 DNSサーバに記述される「a-sub.n-sha.co.jp.IN MX 10 (k)」という形式は、MXレコードといい、ドメインについての情報の一つで、ドメイン(a-sub.n-sha.co.jp)宛ての電子メールをどのアドレス((k)の部分)に配送すればいいかを指定するものです。

 ここでアドレスには、IPアドレスかホスト名(FQDN:完全修飾ドメイン名)を指定します。

 問題文では、「a-sub.n-sha.co.jp」というドメインのメールサーバとして、ホスト名が「mail.x-sha.co.jp」のサーバを使用するため、MXレコードとして「mail.x-sha.co.jp」を登録します。

l:x2.y2.z2.1

 DNSサーバに記述される「a-sub.n-sha.co.jp.IN TXT "v=spf1 +ip4: (l) -all"」という形式は、TXTレコードといい、ドメインについての情報の一つで、ホスト名の付加情報を自由に定義するためのものです。

 ここでは前の設問であったように、SPF機能として「a-sub.n-sha.co.jp」というドメインからメール送信を許可するメールサーバのIPアドレスを登録することになります。

 メールサーバのIPアドレスは「x2.y2.z2.1」であるため、これを記述します。

 ここで、受信側で検証に失敗したメールは隔離するポリシとするため、DMARCのpタグとaspfタグの設定は表3のとおりとする。

f:id:aolaniengineer:20200531142453p:plain

m:quarantine

 「受信側で検証に失敗したメールは隔離するポリシ」にするため、表2(DMARCの主なタグ(概要))を参考に値を記述します。

 pタグは、「送信側が指定する受信側でのメールの取扱いに関するポリシ」であり、値:quarantine(検証に失敗したメールは隔離する)が該当します。

n:r

 aspfタグは、「SPF認証の調整パラメタ」であり、Header-FROMとEnvelope-FROMを比較して認証する際に、「ドメイン名の組織ドメイン」を比較対象とするか、「完全修飾ドメイン名」を比較対象とするかを指定します。

 N社のニュースレターでは、Header-FROMでは「n-sha.co.jp」、Envelope-FROMでは「a-sub.n-sha.co.jp」であり、組織ドメインは一致するが、完全修飾ドメイン名は一致しない。

 したがって、aspfタグには、組織ドメインが一致すれば認証成功とする、値:rを設定する必要があります。

 その後、N社と主要な取引先での送信ドメイン認証技術の導入が完了した。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1問1(一部、加工あり)】