10.クライアントセキュリティ > 10.2 電子メール

利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う仕組みは何か。（H23SC春午前2問5参照）

問12-1や12-2との違いをきちんと理解しよう。今回のプロトコルは認証時のセキュリティ対策のみです。メールそのものは暗号化しない。

今ではあまり考えられないのですが、POP3は、パスワードが平文（「ひらぶん」と読む。暗号化されていないという意味）で流れる。
だったらパケットキャプチャしたら、パスワードがばればれ。
※以下はPOP3のパケットをキャプチャーした。パスワードが「passwd」であることが分かる。

それを解決するための仕組み。答えはAPOP。
ですが、昔のOutlookやOutlookExpressがAPOPに未対応であるため、あまり普及していない。

設定方法
Windows Liveメールの場合、アカウントのプロパティにて「サーバー」のタブから設定をする。

過去問をみてみましょう。

〔　a　〕〔　c　〕〔　d　〕に入れる適切な字句を解答群の中から選び、記号で答えよ。（H23SC春PMⅡ問1設問1より） (2)社内メールサーバでのメールボックス保存 P社ドメイン名あてのメールは,メールボックス保存プログラムである[　b　]によって,従業員用メールアドレス又はサーバ管理用メールアドレスごとのメールボックスに保存される。 (3)PCでのメール送受信 ・メール送信 次の二つのどちらかを使用可能であるが, p社のPCでは(a)を使用している。 (a)　PCの〔　c　〕は、SMTPで25番ポートを使用し、社内メールサーバの〔　a　〕にメールを送信する。 (b)　PCの〔　c　〕はSMTPで587番ポートを使用し、社内メールサーバの〔　d　〕にメールを送信し、〔　d　〕は、〔　a　〕にメールを転送する。 ・メール受信 PCの〔　c　〕は,  P0P3を使用し,社内メールサーバのMRA (Mail Retrieval Agent)と通信し,従業員用メールアドレス又はサーバ管理用メールアドレスのメールボックスからメールを取り出す。 MRAのメール取り出し中に,ウイルス対策ソフトのウイルススキャン(以下, P0P3スキャンという)を行うことも可能である。POP3スキャンでウイルスを検知した場合,メール本文をウイルス検知通知に置き換える。しかし, PCのウイルス対策ソフトに同等機能があるのでPOP3スキャンを使用していない。 解答群 （ア） MDA（Mail Delivery Agent）（イ）MSA（Mail Submission Agent） （ウ） MTA （Mail Transfer Agent）（エ）MUA（Mail User Agent）

セキュリティというより、用語の問題でした。

答えは以下
a　ウ　b　ア　ｃ　エ　ｄ　イ

整理しましょう。
(a)　PCのMUA（Mail User Agent）は、SMTPで25番ポートを使用し、社内メールサーバのMTA （Mail Transfer Agent）にメールを送信する。
(b)　PCのMUA（Mail User Agent）はSMTPで587番ポートを使用し、社内メールサーバのMSA（Mail Submission Agent）にメールを送信し、MSA（Mail Submission Agent）は、MTA （Mail Transfer Agent）にメールを転送する。

①MUA（Mail User Agent）
PCのメールソフトです。Outlookであったり、Thunderbirdと思えばいいでしょう
②MTA （Mail Transfer Agent）
メールサーバと考えていいでしょう。SMTPによるメール通信をします。別の過去問（H29春SC午後Ⅱ問2）では、「メールの転送を行うMTAプログラム」とあります。
③MSA（Mail Submission Agent）
SMTP-AUTHなどで認証するときなどに利用されます。この場合、問題文にあるように、PC（MUA)⇒MSA⇒MTAという流れでメールが転送されます。ただ、MSAとMTAは同じ筐体のメールサーバです。
④MDA（Mail Delivery Agent）
問題文に「メールボックス保存プログラムであるMDAによって,従業員用メールアドレス又はサーバ管理用メールアドレスごとのメールボックスに保存される。」とあるように、メール保存のプログラムです。別の過去問（H29春SC午後Ⅱ問2）では、メールをメールボックスに格納するMDAプログラム」とあります。
LinuxでいうDovecotのプログラムと考えるとなるほどと思う人もいるでしょう。

通常、MSA,MTA、MDAは一つのメールサーバで提供されます。

同様の問題は、H29春SC午後Ⅱ問2でも問われています。このときも、MDAとMTAが問われました。

オープンリレーとは、オープンにリレー（中継）することです。メールサーバは本来、自社からまたは自社宛のメールのみを転送するためにあります。他社から他社へのメールを転送する必要はありません。それを可能にしてしまっているのがオープンリレーで、SPAMメールの踏み台になってしまいます。
過去問（H29春SC午後Ⅱ問2）には「外部メールサーバの転送機能の設定を表３に示す。この設定によって、オープンリレーが防止されている。」とあります。

まず、正解ですが、空欄cは内部メールサーバが入ります。
それぞれの項番を簡単に解説します。
■項番１
外部からA社に届くメールを表しています。よって、【　c：内部メールサーバ　】に転送します。

■項番２
社内から外部にメールを送る設定を意味しています。たとえば、宛先メールアドレスのドメインがb-sha.co.jpであれば、このドメインのメールサーバにメールを転送します。
まず、MXレコードを問い合わせ、メールサーバのFQDNを調べます。仮にmx.b-sha.co.jpという結果が返って来たら、次はこのFQDNのAレコードを問い合わせ、転送先のメールサーバのIPアドレスを調査します。

■項番３
この設定によって、第三者による不正なメールを中継を防ぎます。これは、外部ドメインから外部ドメイン宛のメールです。

-----------
H25春SC午後Ⅱ問２では違う表現をしているので、参考まで。

オープンリレー対策では，SMTPの転送元又は送信元と，エンベロープの受信者ドメイン名の組合せで，転送と送信の許可又は拒否を判定する。


エンベローブの解説は以下です。
http://nw.seeeko.com/archives/50248527.html

ここまでは、比較的技術的なセキュリティ対策の問題を出題してきた。
ここでは、「運用面」の対策を考えよう。
過去問にて、メールに関するセキュリティ要件が掲載されている。

・スパムと判断されたメールは、できるだけ管理負荷の少ない方法で削除する。 ・社外から社内、又は社内から社外へのメールでは、特定の拡張子が付いた添付ファイルを削除する。 ・添付ファイルのウイルス検査を行う。 ・添付ファイルがパスワード付きファイル又は暗号化ファイルの場合は、内容を確認できないので、そのまま転送する。 ・PCのウイルス対策ソフトとゲートウェイ型のウイルス対策ソフトを導入する。二つの製造元は別にする。 図4　メールに関するセキュリティ要件（H20SU午後Ⅱ問1より引用）

Question
内部メールサーバと外部メールサーバを分ける理由を、セキュリティの観点で述べよ。

Answer
外部からのメールを受信する必要があるので、DMZに設置する外部メールサーバは必須である（図の①）。
このとき、外部メールサーバしかないと、自社に送られたメールがDMZ（外部）に保存される。つまり、攻撃されるリスクがある。そこで、内部メールサーバを設置し、送られてきたメールを内部に保存するのである（図の②）。
また、社内間のメールは機密メールが多いと思う。それらの通信は内部メールサーバだけで完結できる。不用意に外部を経由しないことにより、メールの機密性を高めるメリットもある（図の③）。