令和6年春期ネットワークスペシャリスト(NW)試験の午後Ⅱ問2の解説をしていきます。
解答はIPAが公表している解答を引用しています。
解説には間違いが含まれる可能性があるため、その際は指摘していただけると幸いです。
設問1
(1)
下線①、②
解答:mail.y-sha.lan
図3より、社内DNSサーバYでy-mail1およびy-mail2に「mail.y-sha.lan」というFQDNでDNSラウンドロビンの設定がされていることが分かります。
(2)
解答:TTLを60秒と短い値にしている。
図3より、DNSラウンドロビンの設定がされているレコードに「60」と記載されています。
これはTTLと言い、キャッシュの保存時間を秒単位で表しています。
つまり、この値を短くするほどキャッシュの保存時間が減少し、再問合せする必要があります。
結果的に振り分けの偏りを小さくすることができます。
(3)-a
空欄a、b
解答:Preference
MXレコードにおいて優先度を設定する項目を「Preference」と言います。
(3)-b
解答:y-mail2
Preference値は小さいほど優先度が高くなります。
図2より、y-mail1のPreference値は20、y-mail2のPreference値は1であるため、平常時はy-mail2が選択されます。
(3)-c
空欄c
解答:逆引き
「送信元メールサーバのIPアドレスからメールサーバのFQDNを取得」とあるため、逆引きであることが分かります。
(4)
表1
解答:ア)200.a.b.1
イ)192.168.0.1
FWでインターネットからDMZのサーバ宛ての通信に対して設定されている静的NATの内容を回答します。
つまり、宛先IPアドレスはグローバルIPアドレス、変換後のIPアドレスはプライベートIPアドレスが入ります。
y-mail1のグローバルIPアドレスは200.a.b.1、プライベートIPアドレスは192.168.0.1です。
(5)
下線③
解答:メールサーバのFQDNに、詐称したメールアドレスのドメイン名を登録する。
送信元メールサーバのIPアドレスからメールサーバのFQDNを取得して検査するため、攻撃者が詐称したメールサーバのFQDNを登録するだけで詐称できてしまいます。
設問2
(1)
図4
解答:ウ)200.a.b.1
エ)200.a.b.2
SPFでは送信元メールサーバのIPアドレスの正当性を確認します。
そのため、SPFレコードにはメールサーバのグローバルIPアドレスを登録する必要があります。
よって200.a.b.1および200.a.b.2が入ります。
(2)
空欄d、e、f
解答:d)SMTP
e)MAIL FROM
f)y-sha.com
空欄dのメール転送プロトコルには「SMTP」が入ります。
空欄eのSMTPで送信元メールアドレスのドメイン名が設定されるコマンドは「MAIL FROM」です。
空欄fにはSPFレコードで設定しているドメインの「y-sha.com」が入ります。
(3)
下線④
解答:送信元のメールサーバのIPアドレスが、SPFレコードの中に登録されていること
SPFでは送信元メールサーバのIPアドレスとSPFレコードから取得したIPアドレスが一致していることを確認します。
設問3
(1)
空欄g、h、i
解答:g)ヘッダー
h)UDP
i)512
電子署名データはメールのヘッダーおよび本文を基に生成されます。
DNSでは原則トランスポートプロトコルとしてUDPが利用されますが、UDPの場合DNSメッセージの最大長が512バイトという制限があります。
(2)
図5
表2
解答:アルゴリズム名)RSA
オ)公開鍵
図5のDKIMレコードで指定されている暗号化方式は、「k=rsa」の箇所からRSAであることが分かります。
文中に「DKIMでは、送信者のドメインのゾーン情報を管理する権威DNSサーバを利用して、電子署名の真正性の検証に使用する鍵を公開する。」とあります。
従って、空欄オに入る適切な用語は「公開鍵」となります。
(3)
下線⑤
解答:受信したメールが正規のメールサーバから送信されたものかどうかが分かるから
真正性とは、「正しいこと」や「本物であること」を表す用語で、今回の場合は送信元のメールサーバが正しいことを表します。
DKIMではメールに付与された電子署名をDKIMレコードから得られる公開鍵によって検証することで電子署名の真正性を検査します。
これにより、受信したメールが正規のメールサーバから送信されたものであることが分かります。
設問4
(1)
下線⑥
解答:DNSサーバ名)外部DNSサーバY または y-ns1
登録する情報)メール中継サーバZのIPアドレス または z-mail1のIPアドレス
文中に「・サポートチームYのサポート担当者は、送信元メールアドレスがsupport@y-sha.comにセットされたサポートメールを、社内メールサーバZを使用してY社の顧客宛てに送信する。」とあります。
つまり、Z社のメールサーバから送信されたメールでも、図4で登録したSPFレコードと同様にY社のDNSサーバに登録する必要があります。
よって、登録するDNSサーバ名は「外部DNSサーバY」、登録する情報は「メール中継サーバZのIPアドレス」となります。
※「~中の字句を用いて答えよ。」という表現はよく使われますが、図や表中の用語を完全に引用する必要はないようです。
(2)-j
空欄j、下線⑦
解答:y-sha.com
図5より、外部DNSサーバYには「y-sha.com」のドメイン名が指定されたレコードがあるため、ここではDKIM-Signatureにも同じドメイン名を登録すれば良いということになります。
(3)
解答:メール中継サーバZから鍵が漏えいしても、Y社で実施中のDKIMの処理は影響を受けない。
Y社とZ社で異なる鍵を利用することにより、鍵が漏えいした場合の影響範囲を限定することができます。
(4)
下線⑧
解答:なりすましメールも、メール中継サーバZから社外に転送されるから
Z社のサポートチームY以外の部署の従業員がサポート担当者に成りすました場合、メールは正規のメールサーバから社外に転送されることになります。
よって、SPFによるIPアドレス検証でも、DKIMによる電子署名検証でもなりすましを検知することができません。
設問5
※設問5については、設問不備により成立していないようです。
詳しい解説については以下のQiita記事が非常に参考になりましたのでご参照ください。
ネットワークスペシャリスト(NW)試験の対策にオススメな参考書はこちら
試験範囲を網羅的に学習できます!
午後試験の直前対策にオススメな一冊です!
