明日の復習をしていたら気になってしまったので挙げさせてもらいました。

そもそもSPFでTXTレコードの問い合わせを「C-DNSが」受けるためにFWの穴を通していて、この設定は変えられないということになっていると認識しています。
ですが、IPAでも出しているDNSキャッシュポイズニング対策や午前問題の解答の大原則からいくと、以下になるかと思います。

①DNSキャッシュサーバが問い合わせを受けるのはイントラネットのみで外部からの問い合わせは受けない。
②外部からの問い合わせはDNSコンテンツサーバーが受ける。

なので、通常、SPFでTXTレコードの問い合わせ先になるのはDNSコンテンツサーバーになっていると思います。

だとすれば、この問題と解答は間違っていると思いました。
FW-Aでは問い合わせPTを含めて拒否するべきであり、設定変更するべきだと思います。
FW-Bでこれが許可されるべきではないでしょうか。

試験は明日ですが、試験関係なく気になったので、私の認識が間違っていれば、指摘いただきたいです。

同意見の方を見つけてしまいまして、思わずレスしちゃいました。

出題者の肩を多少持った意見を述べますと、Ｂ社ネットワークの世界は神聖にして不可侵なので、全部Ａ社の今あるものでクローズしろってことなのでしょう。勿論、私がＡ社の担当なら、銭払ってるんだからオマエんところでやってくれ。でなきゃ契約はできるところへ変えるわ。なのですが。

どうもこの試験の出題者の中には浮世離れした世界にお住まいの方が若干いらっしゃるようで、確かに過去問をみていますと、たまに？？？と感じる場面に出くわすんですよね。


例えば、今日の午後２問２設問１（１）あたり

前回（いつの問題か忘れましたが）、ＨＴＴＰヘッダＵｓｅｒ－Ａｇｅｎｔにとんでもないデータをセットして通信するマルウェアを出題し、あんなマヌケな動作するマルウェアなんて絶対に世の中に無い！とさんざんツッコまれたかと勝手に想像しているのですが、その反論として、いやいやＣ＆Ｃサーバはこんな特殊な動きができるんだから、ありえるだろう？  とさらに墓穴を掘った出題をしたのが今日ではなかったかと。  

木を隠すには森に隠すのが原則。

私はマルウェアの通信ですと大声張り上げてるようなデータをＵｓｅｒ－Ａｇｅｎｔにぶちこんで何がしたいんですかね？  サーバ側もサーバ側で、どんなリクエストが来ようが一見は何も変わらない動作をしつつ、実はマルウェアからの通信に対してだけはちょい余分なデータを付けてくるとういうのが、良識あるマルウェアとＣ＆Ｃサーバの設計ではないでしょうか？

と、偉そうなことを書く私も前回は落とされた口で、今回も受かったかどうか分かりません。とにかく、先生に気に入られる解答を書くしかないってのが現実ですかね。