2016(H28) PM1 問1 設問3(2)

TKYさん  
(No.1)
スレッド失礼いたします。

タイトルにある問題「SPFレコードと照合される情報」の回答ですが、
「送信元メールサーバのIPアドレス」となっておりますが、
「メール転送元メールサーバのIPアドレス」では不適切でしょうか。

SPFのチェックは、あくまで転送してきたメールサーバのIPアドレスをチェックするものだと理解しておりました。
2021.02.14 10:31
関数従属さん 
(No.2)
SPFはエンベロープFROMのドメインと
送信元メールサーバのIPアドレスが合致しているかの認証となります。
「送信元メールサーバのIPアドレス」の方が正しいように思います。

SPF認証の例を以下に記載します。
----------------------------------------------------------------------
メールサーバとIPアドレスの対応と以下とします。
送信メールサーバ example1.com xxx.xxx.xxx.xx1
受信メールサーバ example3.com xxx.xxx.xxx.xx3

この時、SPFではDNSサーバに
example1.comとxxx.xxx.xxx.xx1を対応付けするSPFレコードを登録します。

aaa@example1.com→zzz@example3.comにメールを送る際

受信メールサーバには
エンベロープFROM aaa@example1.com
送信元IPアドレス xxx.xxx.xxx.xx1
のメールが来ます。

エンベロープFROMのドメインexample1.comをDNSで問い合わせ
DNSサーバのSPFレコードによりxxx.xxx.xxx.xx1を取得し、合っている事を確認します。
----------------------------------------------------------------------

また、上記の都合上、メールサーバを中継されるメールとSPFの相性は悪いです。

中継の例を以下に記載します。
----------------------------------------------------------------------
さらに中継メールサーバとIPアドレスの対応と以下とします。
中継メールサーバ example2.com xxx.xxx.xxx.xx2

aaa@example1.com→zzz@example3.comにメールを送る際に
example1.com→example2.com→example3.comと中継されたとします。

この時、受信メールサーバには
エンベロープFROM aaa@example1.com
送信元IPアドレス xxx.xxx.xxx.xx2
のメールが来ます。

同じようにエンベロープFROMのドメインexample1.comをDNSで問い合わせ
DNSサーバのSPFレコードによりxxx.xxx.xxx.xx1を取得しますが
送信元IPアドレスと違い、SPF認証に失敗します。
----------------------------------------------------------------------

※SRS(Sender Rewriting Scheme)という回避技術はあるようです。
2021.02.14 13:03
TKYさん  
(No.3)
関数従属さん
ご回答ありがとうございます。

> メールサーバを中継されるメールとSPFの相性は悪いです。
こちらの印象が非常に強く、送信元というより、中継元(転送元)のIPアドレスを見るのだと考えてしまいました。

あくまでSPFでは「送信元IPアドレス」の認証を行う技術と覚えておきます。
2021.02.14 20:33
昭和62年さん 
(No.4)
メールの中継について
aaa@example1.com→zzz@example3.comにメールを送る際、
送信側は example3.com ドメインのDNSのMXレコードを参照して、
指定のメールサーバに直送するので通常中継サーバは登場しないのでは?

1)受信側が意図的に中継サーバを指定している
中継サーバにspf判定をおまかせすればよい
(判定結果はメールヘッダに追記される)

2)送信側が意図的に中継サーバを指定している
回避策1
example1.com ドメインのDNSのspfレコードに下記を登録しておく
ip4:xxx.xxx.xxx.xx2 ←中継メールサーバのipアドレス
を登録しておく。
ただしipアドレスが変更されると面倒
回避策2
example1.com ドメインのDNSのspfレコードに下記を登録しておく
a:smtp.example2.com ←中継メールサーバのFQDN
を登録しておく。
ただしホスト名が変更されたり、サーバが増えると面倒
回避策3
example1.com ドメインのDNSのspfレコードに下記を登録しておく
include:example2.com ←中継メールサーバのドメイン名
を登録しておく。

試験においては、中継される場合を考える必要はない気がします。
もちろん問題文に記載がある場合は除きます。
2021.03.08 19:33

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop