ネスペ過去問 午後Ⅰ①

以下の書籍に挙げられていたネスペ過去問（午後Ⅰ）について、分からなかったところなどを書いておく。

ネスペの基礎力 -プラス20点の午後対策 (情報処理技術者試験)

---

内容

問題文として書かれている内容をざっくりと要約して書いてみる。

ある企業（A社とする）が現在自社で行っている製品購入者へのサポート業務を別の企業（B社とする）へ委託したいと考えている。二つの企業はそれぞれ別のISPのインターネット接続サービスを利用している。

現在A社のメール転送は以下のように行われている。
・外部からA社へのメール：MXレコードを使って社内メールサーバへ転送
・A社から外部へのメール：社内メールサーバから外部へ転送

B社は現状以下のようにメールの送受信を行っている。
・送信：ISPが提供するメールサーバへ送信
・受信：ISPが提供するメールサーバから受信

サポート業務を行うにあたって、B社は今後A社のメールサーバを使ってA社のドメインを用いる必要があるが、ISPやA社メールサーバでブロックされる可能性があるとして一筋縄ではいかない。

ISPではOP25BによってISP内から外への25番ポートのUDP通信が利用できないようになっている。これは迷惑メールなどを送る踏み台にされないための対策となっている。（具体的には、UDPプロトコルの送信元IPアドレスが自社割り当てIP範囲、宛先IPアドレスもany、宛先ポート番号が25）

ではどうやってA社のメールサーバへ転送するかというと、SMTPプロトコル上でユーザ認証を行う方式のSMTP-AUTHを用いることで解決が出来る。SMTP-AUTHでは受け付けるポートを25番から587番に変えることでOP25Bの影響を受けずに認証のかかった通信を行うことができる。加えて、SMTP-AUTHであれば自社ドメイン以外に転送するような設定をすればB社からA社のメールサーバが使えるようになる。

外部への転送設定を許可したことでA社は迷惑メール対策としてSPFを導入することにした。SPFは送信メールサーバの正当性を受信メールサーバ側で確認する方式で、DNSにSPFレコードとしてグローバルIPを登録しそれを受信時に確認するというものだ。A社は自社のDNSにSPFレコードを追加し、SPFに対応するメールサーバで本当にA社から来たメールなのかを検証できるようにした。

問題

外部からA社へのメールが来る手順

A社のメールサーバに変更を加えたりする前の状態を答える。
外部からはA社のDNSのMXレコードに従ってA社のメールサーバ宛てにメールを転送する。そのメールサーバに届いたメールを社内からPOP3で取得する。

問題は「MXレコード」「A社メールサーバ」という単語を答えさせていた。

外部から来たB社へのメールの取得方法

こちらも初めの状態のB社のメール取得方法を答える。
B社は自社でメールサーバを持っておらず、ISPが提供するメールサーバを利用していた。そのため、自社ネットワーク内からISPのメールサーバへPOP3を利用してメールを取得する。

問題は「ISPのメールサーバ」を答えさせていた。

SMTP上で認証を行うプロトコル

SMTP上で認証を行うプロトコルの名前を答える。
答えはSMTP-AUTHで、思い出せなかった（こんな単純な名前だとは…）。

SMTP-AUTHではOP25Bに対応するため25番ではなく587番を利用する。

自社ドメイン以外への転送する場合のリスク

A社のメールサーバは自社ドメイン（a-sha.co.jp）以外への宛先へはメールを転送しないようになっている。この設定がなかった場合、A社のメールサーバが利用されて外部へ成りすましメールが送られる可能性があり、フィッシングメールなどの詐欺に利用されるリスクがある。

OP25Bの設定がされているルータと設定内容

B社からA社のメールサーバにSMTPでメールを送信することはOP25Bによってできなくなっている。これは、B社が契約するISP内のルータに設定がされており、ISP内部から外側に向けてTCPの宛先25番ポートの通信を遮断するように設定がされている。

具体的には、ISP内の割り当て範囲の送信元IPで、なおかつ、TCPの宛先ポートが25番であればすべて禁止するようになっている。

587番ポートの名前

587番ポートはサブミッションポートと呼ばれる。
これは分からなかった。サブミッションは提出・送信などの意味を持つ。

A社のメールサーバの外部からの通信許可

A社のメールサーバにSMTP-AUTHで認証したメールを許可する設定をしたため、A社のメールサーバがあるDMZのFWで以下の二つの外部からの通信を許可する必要がある。POP3はPOP3Sの995番ではなく、STARTTLS（初めは平文通信）のためPOP3の110番を開けておく必要があるらしい（難しい）。

1. 587番

2. 110番

送信元ドメインが得られるSMTPプロトコルのコマンド

コマンドは「MAIL FROM」だった。
これも分からなかった（暗記問題っぽく正答率は低かったらしい）。

SPFレコードと照合される情報

SPFレコードにはドメインと対応するグローバルIPが登録されている。
そのため、グローバルIPを取得した後はメールの送信元IPアドレス（メールサーバのIPアドレス）と照合を行う。

分からなかったところ

今回の問題で分からなかったのは以下の2点だと思う。

1. SMTPの具体的な通信手順・コマンド

2. STARTTLSによるPOP3の通信手順

解答できなかったのがSMTP-AUTHやサブミッションポートなどの用語問題以外だと、SMTPやSTARTTLS方式のPOP3の通信手順を具体的に知らなかった・イメージできなかったことが起因している。また、SPFについてもあやふやではあるので、その3つについてちゃんと通信手順から知る必要があると実感した。

---

次のネスペ対策は今回の過去問で分からなかったところを調べて書いてみる。