10.クライアントセキュリティ > 10.2 電子メール

利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う仕組みは何か。（H23SC春午前2問5参照）

問12-1や12-2との違いをきちんと理解しよう。今回のプロトコルは認証時のセキュリティ対策のみです。メールそのものは暗号化しない。

今ではあまり考えられないのですが、POP3は、パスワードが平文（「ひらぶん」と読む。暗号化されていないという意味）で流れる。
だったらパケットキャプチャしたら、パスワードがばればれ。
※以下はPOP3のパケットをキャプチャーした。パスワードが「passwd」であることが分かる。

それを解決するための仕組み。答えはAPOP。
ですが、昔のOutlookやOutlookExpressがAPOPに未対応であるため、あまり普及していない。

設定方法
Windows Liveメールの場合、アカウントのプロパティにて「サーバー」のタブから設定をする。

〔　a　〕〔　c　〕〔　d　〕に入れる適切な字句を解答群の中から選び、記号で答えよ。（H23SC春PMⅡ問1設問1より） (a)　PCの〔　c　〕は、SMTPで25番ポートを使用し、社内メールサーバの〔　a　〕にメールを送信する。 (b)　PCの〔　c　〕はSMTPで587番ポートを使用し、社内メールサーバの〔　d　〕にメールを送信し、〔　d　〕は、〔　a　〕にメールを転送する。 解答群 （ア） MDA（Mail Delivery Agent）（イ）MSA（Mail Submission Agent） （ウ） MTA （Mail Transfer Agent）（エ）MUA（Mail User Agent）

セキュリティというより、用語の問題でした。
結構難しいと思いますが、4択なので、正解したい。

答えは以下
a　ウ　ｃ　エ　ｄ　イ

ここまでは、比較的技術的なセキュリティ対策の問題を出題してきた。
ここでは、「運用面」の対策を考えよう。
過去問にて、メールに関するセキュリティ要件が掲載されている。

・スパムと判断されたメールは、できるだけ管理負荷の少ない方法で削除する。 ・社外から社内、又は社内から社外へのメールでは、特定の拡張子が付いた添付ファイルを削除する。 ・添付ファイルのウイルス検査を行う。 ・添付ファイルがパスワード付きファイル又は暗号化ファイルの場合は、内容を確認できないので、そのまま転送する。 ・PCのウイルス対策ソフトとゲートウェイ型のウイルス対策ソフトを導入する。二つの製造元は別にする。 図4　メールに関するセキュリティ要件（H20SU午後Ⅱ問1より引用）

Question
内部メールサーバと外部メールサーバを分ける理由を、セキュリティの観点で述べよ。

Answer
外部からのメールを受信する必要があるので、DMZに設置する外部メールサーバは必須である（図の①）。
このとき、外部メールサーバしかないと、自社に送られたメールがDMZ（外部）に保存される。つまり、攻撃されるリスクがある。そこで、内部メールサーバを設置し、送られてきたメールを内部に保存するのである（図の②）。
また、社内間のメールは機密メールが多いと思う。それらの通信は内部メールサーバだけで完結できる。不用意に外部を経由しないことにより、メールの機密性を高めるメリットもある（図の③）。