HOME»情報処理安全確保支援士掲示板»SMTPS通信がスッキリしません
投稿する

SMTPS通信がスッキリしません [0601]

 こりんさん(No.1) 
どうしてもSMTPS通信がスッキリしません。スレNO600にも関連してます。どなたかお教えください。

令和2年秋PM1問2図1表1&2でも平成29年春PM2問2図1表2でも、
内部メールサーバと外部メールサーバがあり、外部メールサーバにSMTPSの機能が有りと書かれています。(ただし有効にしているとは書いてない)

質問1)このことは、外部メールサーバはサーバ証明書を所持していると同値だと思いますが、合っているでしょうか。

質問2)では有効にした場合、外部メールサーバはどことSMTPS通信するのでしょうか。
外部メールサーバは利用者端末とではないですよね。だって内部メールサーバが介在しているから。
SMTPセッションを張るのは隣接メールサーバのはずだから、内部メールサーバかインターネット側の隣の中継サーバか中継がない場合は本来の宛先の外部メールサーバかと思うのです。

質問3)ですが、これらメールサーバにSMTPSの機能を有していると書かれていない場合、SMTPS通信は可能なのでしょうか。
それとも、HTTPSのクライアントのようにクライアント証明書がなくてもHTTPS通信をWEBサーバと行えるように、
メールサーバがTLS機能を持つのは当たり前なので、サーバ証明書無く且つSMTPSの機能を有していると書かれていなくても、それは暗黙の了解なのでしょうか。

4)また、内部メールサーバと外部メールサーバ間でSMTPS通信するよりも、外部メールサーバがインターネット側とでSMTPS通信するする方が、本来のセキュリティ確保だと思うのですが。
2021.02.16 13:39
チョットいいですかさん(No.2) 
私もよく解らんのですが、
(以下多分誤り)
  PCのメーラーと外部メールサーバ間でSMTPSセッション張ると単純に思ってました。
  なぜならば、内部メールサーバはMDA,MRAを受け持ち、外部メールサーバはMTAを受け持
  ち、同じ社内なので機能を分散させているだけ、と思ってましたから。

しかし、実際のメールヘッダを見てみると、内部・外部メールサーバだと思われるReceivedがあります。ここから、もしかして内部メールサーバもMTAがあるんや、と思い込むようになりました。

そうすると、PCのメーラー<==>内部メールサーバ<==>外部メールサーバで2つSMTPSセッションを張ることになる。
その時の条件は、
    PCのメーラーはクライアント証明書なくてもよい、TLS機能あり。
    内部メールサーバはサーバ証明書あり、TLS機能あり。
    外部メールサーバはサーバ証明書あり、TLS機能あり。
と思いました。

なんら回答になっていませんが、私もよく解らんのです、・・
2021.02.20 11:50
ゲストさん(No.3) 
>> 質問1)
これは解答に直接関係無い部分のせいか、どうとでも読み取れる内容ですね
サーバーの機能として対応しているだけで、何の準備もしていないので証明書も用意できていないとも読み取れます。
Webサーバーを構築する際も、httpsに対応していないサーバーソフトなんてもう存在しませんが、最初から証明書がインストールされているわけではありません。それは管理者が別途用意する必要があります。

>> 質問2)
これは設問にも書いてある通り、インターネット越しの別のメールサーバと内部サーバかと思います。
質問者様の理解の通りで問題無いかと思います。

>> 質問3)
SMTPS通信非対応のメールサーバにSMTPS通信を送っても当然対応できません。証明書どうこうではなくそれを処理するためのプログラムが存在しないためSMTPS通信だということ自体認識できず、未知のプロトコルによる通信として処理されます。

>> これらメールサーバにSMTPSの機能を有していると書かれていない場合
今のメールサーバソフトならSMTPS通信を処理できるのは当然なので、未対応と明記されていない限りはできると思って対処した方がいいかもしれません(問題内容によるので安易にそう判断していいかは難しいところですが)

>>それとも、HTTPSのクライアントのようにクライアント証明書がなくてもHTTPS通信をWEBサーバと行えるように、
SMTPSもHTTPSも証明書や暗号化をサポートしているのはSMTPともHTTPとも全く無関係で別レイヤーのSSLの機能によるものなので、その辺りはHTTPSもSMTPSも同様の事が可能です。

>> メールサーバがTLS機能を持つのは当たり前なので、サーバ証明書無く且つSMTPSの機能を有していると書かれていなくても、それは暗黙の了解なのでしょうか。
上の方でも触れた通り、機能として対応しているか、証明書を用意しているかは別の話です。
機能があっても使う気がないなら証明書を用意する必要はありません。

>> 4)
設問中、特に片方だけやる(やらない)という話はなかったような気がしますが、
どうせやるならどっちも対応しておきたいところですね



2021.02.20 12:57
ゲストさん(No.4) 
一通り書いてて、やっぱり少し違うなと思ったので、少し訂正です。

外部メールサーバはSMTPSにも対応しているという記述についてですが、
機能として対応しているのは一つ前の回答で触れた通り、もはや常識なので、やはり運用上において対応していると読み取るのが自然な気がしてきました。

ただ結局、この設問の肝はいくら通信内容を暗号化したところでメールサーバーが受け取ったデータ自体が暗号化されてるわけじゃないので、自社と仕事相手に全く無関係の中継サーバーの管理者がメールの中身を見れてしまったり、社内のサーバー管理者が機密メールを見れてしまったりするのが問題という話かと思います(後はそれらのサーバーがハッキングされた場合等)
S/MIMEによってメールデータ自体を暗号化すれば、メールのやりとりを行った当人同士のPC内のメールソフトに入った鍵を使わない限り、メールの内容を確認することはできません。
2021.02.20 13:25
昭和62年さん(No.5) 
質問3)について
私は、問題にSMTPS対応と書いてない場合は、対応していない前提で解答すべきだと思います。

その理由は....
SMTPサーバに接続すると、まずEHLOコマンドを送信します。
EHLOコマンドは拡張ハローです。
サーバからエラーが返ったら拡張SMTPに対応していないので、
TLSには対応していないことになります。
改めてHELOコマンドを送ります。

拡張SMTPに対応していたら、どの拡張機能に対応しているかリスト形式で返ってきます。
TLS通信に対応している場合は、STARTTLSという文字列が返ってくるので、
STARTTLSコマンドを送信するとTLSのネゴシエーションが始まります。

というわけで、SMTP自体がTLSに対応していないことを前提にしているからです。
2021.02.20 16:14
 こりんさん(No.6) 
皆さん、回答ありがとうございます。
とても参考になり、より詳しい参考資料を読み解くことができると思います。
またその節はよろしくお願いします。
2021.02.21 11:53
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop