予想問題vol.6 問1

問1

SMTP-AUTH認証はどれか。
  • PASSコマンドの引数で用いられるパスワードをハッシュ値にして,その値でユーザ認証を行う。
  • SMTPサーバへ電子メールを送信する前に電子メールを受信し,そのパスワード認証が行われたクライアントのIPアドレスに対して,一定時間だけ電子メールの送信を可能にする。
  • クライアントがSMTPサーバにアクセスするときにユーザ認証を行い,許可されたユーザだけから電子メールを受け付ける。
  • サーバはCAの公開鍵証明書をもち,クライアントから送信されたCAの署名付きクライアント証明書の妥当性を確認する。
  • [出典]
  • ソフトウェア開発技術者 H18秋期 問74

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

電子メールを送信・転送するプロトコルであるSMTPには、
  1. 送信処理と転送処理を同一の仕組みで扱っている
  2. メールの投稿をするユーザを認証する仕組みがない
  3. 暗号化機能が標準で実装されていないため通信経路上を平文のメッセージが流れる
などの脆弱性があり、特に1,2の原因によって複数のメールサーバの第三者中継を利用した迷惑メールの温床となっていました。

SMTP-AUTH(SMTP-Authentication)は、メール投稿にあたってユーザ認証の仕組みがないSMTPにユーザ認証機能を追加した方式です。使用するにはメールサーバとクライアントの双方が対応していなければなりませんが、メール送信するときに「ユーザ名とパスワード」「チャレンジレスポンス」などで認証を行い、認証されたユーザのみからのメール送信を許可することで不正な送信要求を遮断することができます。
  • APOP(Authenticated POP)の説明です。
  • POP before SMTPの説明です。
  • 正しい。SMTP-AUTHの説明です。
  • DKIM(DomainKeys Identified Mail)の説明です。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop