平成28年度 春期試験 午後1
問2の設問4について
なぜ、ブラックリスト(3)に追加するのでしょうか。
個人的にはブラックリスト(5)でも同様の効果が得られるような気がします。

ご教授よろしくお願いいたします。

すみません。
間違えました。

なぜ、ブラックリスト3に追加するのでしょうか。
ブラックリスト1ではない理由を教えて頂けると幸いです。

以上、よろしくお願いいたします。

送信者メールアドレスを複合機メールアドレスに詐称する箇所は、エンベロープの送信者メールアドレスとメールヘッダの送信者メールアドレスがあります。

前者であれば、表2の(2)にあるSPFで拒否できますので、ブラックリスト1への登録は不要です。

後者であれば、そのSPFを通り抜けてしまうので、ブラックリスト3への登録が必要です。

※補足

通りすがりの者さんの言っているとおり、
SPFを通り抜けてしまうので、ブラックリスト3への登録が必要になります

SPFを通り抜けてしまうメールとはどのようなメールなのか？
攻撃者がドメインを用意した（DNSサーバを用意した）環境からの送信元メールは
外部メールサーバ（２）SPFの検証でパスされます（Received-SPF: pass）
（３）の条件では通り抜けてしまいます

なので（５）のブラックリスト3に登録、ヘッダFROMに詐称したメールアドレスと比較して
拒否します

では、本物の複合機からPCに送信されたメールはどうなるのか？
と疑問に思うかもしれませんが
図１を見るとL3SWを経由して内部メールサーバに接続され、
外部メールサーバの影響を受けないと考えられるのでは？

通りすがりの者さん、間違っていたらごめんなさい

OC2さんの通りです。

私の説明で、メールヘッダの送信者メールアドレスを詐称した場合の説明が不足していました。SPFをパスするために、攻撃者がドメインを取得してDNSサーバにSPFレコードを登録するという前提です。

午後Ⅰの過去問で、
【問】SPFを使って正しいと判定したサーバから送信された迷惑メールを防ぐことができなくなる迷惑メール送信者の行為は？
【解】迷惑メールの送信者がドメインを正当に取得
というのがありました。これは知識として持っていた方がいいです。

遅いけど気になりましたので。

なぜブラックリスト１ではなく３なのか、ですよね。
なお、この設問の場合、設定を変更する必要があるのですから、SPFは論点に
ならないと思います。SPFチェックはパスしてくる前提。

その上で複合機のメールアドレスを「詐称」しているメールを拒否するのですから、ブラックリスト１のエンベロープでは拒否できません。

エンベロープのMAILFROM: hoge＠example.jp
メールヘッダのfrom: scanner＠u-sha.co.jp

このようなメールを拒否するためには、ブラックリスト３でなければならない
と思います。