HOME»ネットワークスペシャリスト掲示板»2016(H28) PM1 問1 設問3(2)
投稿する
[0154] 2016(H28) PM1 問1 設問3(2)
TKYさん(No.1)
スレッド失礼いたします。
タイトルにある問題「SPFレコードと照合される情報」の回答ですが、
「送信元メールサーバのIPアドレス」となっておりますが、
「メール転送元メールサーバのIPアドレス」では不適切でしょうか。
SPFのチェックは、あくまで転送してきたメールサーバのIPアドレスをチェックするものだと理解しておりました。
タイトルにある問題「SPFレコードと照合される情報」の回答ですが、
「送信元メールサーバのIPアドレス」となっておりますが、
「メール転送元メールサーバのIPアドレス」では不適切でしょうか。
SPFのチェックは、あくまで転送してきたメールサーバのIPアドレスをチェックするものだと理解しておりました。
2021.02.14 10:31
関数従属さん(No.2)
SPFはエンベロープFROMのドメインと
送信元メールサーバのIPアドレスが合致しているかの認証となります。
「送信元メールサーバのIPアドレス」の方が正しいように思います。
SPF認証の例を以下に記載します。
----------------------------------------------------------------------
メールサーバとIPアドレスの対応と以下とします。
送信メールサーバ example1.com xxx.xxx.xxx.xx1
受信メールサーバ example3.com xxx.xxx.xxx.xx3
この時、SPFではDNSサーバに
example1.comとxxx.xxx.xxx.xx1を対応付けするSPFレコードを登録します。
aaa@example1.com→zzz@example3.comにメールを送る際
受信メールサーバには
エンベロープFROM aaa@example1.com
送信元IPアドレス xxx.xxx.xxx.xx1
のメールが来ます。
エンベロープFROMのドメインexample1.comをDNSで問い合わせ
DNSサーバのSPFレコードによりxxx.xxx.xxx.xx1を取得し、合っている事を確認します。
----------------------------------------------------------------------
また、上記の都合上、メールサーバを中継されるメールとSPFの相性は悪いです。
中継の例を以下に記載します。
----------------------------------------------------------------------
さらに中継メールサーバとIPアドレスの対応と以下とします。
中継メールサーバ example2.com xxx.xxx.xxx.xx2
aaa@example1.com→zzz@example3.comにメールを送る際に
example1.com→example2.com→example3.comと中継されたとします。
この時、受信メールサーバには
エンベロープFROM aaa@example1.com
送信元IPアドレス xxx.xxx.xxx.xx2
のメールが来ます。
同じようにエンベロープFROMのドメインexample1.comをDNSで問い合わせ
DNSサーバのSPFレコードによりxxx.xxx.xxx.xx1を取得しますが
送信元IPアドレスと違い、SPF認証に失敗します。
----------------------------------------------------------------------
※SRS(Sender Rewriting Scheme)という回避技術はあるようです。
送信元メールサーバのIPアドレスが合致しているかの認証となります。
「送信元メールサーバのIPアドレス」の方が正しいように思います。
SPF認証の例を以下に記載します。
----------------------------------------------------------------------
メールサーバとIPアドレスの対応と以下とします。
送信メールサーバ example1.com xxx.xxx.xxx.xx1
受信メールサーバ example3.com xxx.xxx.xxx.xx3
この時、SPFではDNSサーバに
example1.comとxxx.xxx.xxx.xx1を対応付けするSPFレコードを登録します。
aaa@example1.com→zzz@example3.comにメールを送る際
受信メールサーバには
エンベロープFROM aaa@example1.com
送信元IPアドレス xxx.xxx.xxx.xx1
のメールが来ます。
エンベロープFROMのドメインexample1.comをDNSで問い合わせ
DNSサーバのSPFレコードによりxxx.xxx.xxx.xx1を取得し、合っている事を確認します。
----------------------------------------------------------------------
また、上記の都合上、メールサーバを中継されるメールとSPFの相性は悪いです。
中継の例を以下に記載します。
----------------------------------------------------------------------
さらに中継メールサーバとIPアドレスの対応と以下とします。
中継メールサーバ example2.com xxx.xxx.xxx.xx2
aaa@example1.com→zzz@example3.comにメールを送る際に
example1.com→example2.com→example3.comと中継されたとします。
この時、受信メールサーバには
エンベロープFROM aaa@example1.com
送信元IPアドレス xxx.xxx.xxx.xx2
のメールが来ます。
同じようにエンベロープFROMのドメインexample1.comをDNSで問い合わせ
DNSサーバのSPFレコードによりxxx.xxx.xxx.xx1を取得しますが
送信元IPアドレスと違い、SPF認証に失敗します。
----------------------------------------------------------------------
※SRS(Sender Rewriting Scheme)という回避技術はあるようです。
2021.02.14 13:03
TKYさん(No.3)
関数従属さん
ご回答ありがとうございます。
こちらの印象が非常に強く、送信元というより、中継元(転送元)のIPアドレスを見るのだと考えてしまいました。
あくまでSPFでは「送信元IPアドレス」の認証を行う技術と覚えておきます。
ご回答ありがとうございます。
> メールサーバを中継されるメールとSPFの相性は悪いです。
こちらの印象が非常に強く、送信元というより、中継元(転送元)のIPアドレスを見るのだと考えてしまいました。
あくまでSPFでは「送信元IPアドレス」の認証を行う技術と覚えておきます。
2021.02.14 20:33
昭和62年さん(No.4)
メールの中継について
aaa@example1.com→zzz@example3.comにメールを送る際、
送信側は example3.com ドメインのDNSのMXレコードを参照して、
指定のメールサーバに直送するので通常中継サーバは登場しないのでは?
1)受信側が意図的に中継サーバを指定している
中継サーバにspf判定をおまかせすればよい
(判定結果はメールヘッダに追記される)
2)送信側が意図的に中継サーバを指定している
回避策1
example1.com ドメインのDNSのspfレコードに下記を登録しておく
ip4:xxx.xxx.xxx.xx2 ←中継メールサーバのipアドレス
を登録しておく。
ただしipアドレスが変更されると面倒
回避策2
example1.com ドメインのDNSのspfレコードに下記を登録しておく
a:smtp.example2.com ←中継メールサーバのFQDN
を登録しておく。
ただしホスト名が変更されたり、サーバが増えると面倒
回避策3
example1.com ドメインのDNSのspfレコードに下記を登録しておく
include:example2.com ←中継メールサーバのドメイン名
を登録しておく。
試験においては、中継される場合を考える必要はない気がします。
もちろん問題文に記載がある場合は除きます。
aaa@example1.com→zzz@example3.comにメールを送る際、
送信側は example3.com ドメインのDNSのMXレコードを参照して、
指定のメールサーバに直送するので通常中継サーバは登場しないのでは?
1)受信側が意図的に中継サーバを指定している
中継サーバにspf判定をおまかせすればよい
(判定結果はメールヘッダに追記される)
2)送信側が意図的に中継サーバを指定している
回避策1
example1.com ドメインのDNSのspfレコードに下記を登録しておく
ip4:xxx.xxx.xxx.xx2 ←中継メールサーバのipアドレス
を登録しておく。
ただしipアドレスが変更されると面倒
回避策2
example1.com ドメインのDNSのspfレコードに下記を登録しておく
a:smtp.example2.com ←中継メールサーバのFQDN
を登録しておく。
ただしホスト名が変更されたり、サーバが増えると面倒
回避策3
example1.com ドメインのDNSのspfレコードに下記を登録しておく
include:example2.com ←中継メールサーバのドメイン名
を登録しておく。
試験においては、中継される場合を考える必要はない気がします。
もちろん問題文に記載がある場合は除きます。
2021.03.08 19:33