[https://www.youtube.com/watch?v=r-hquyrtBWk:embed:cite]

今回は平成28年度秋期ネットワークスペシャリスト試験午後Ⅰ問1を解説します。この問題は、OP25B環境下での外部委託先からのメール送信構成がテーマです。サブミッションポート（587番）の活用、SMTP-AUTHによる認証、STARTTLSを用いた暗号化、そしてSPFによるなりすまし対策まで、現代のセキュアなメールシステム構築に不可欠な要素を実務的な視点で学べる良問です。 まずはISPが行う迷惑メール対策の基本であるOP25B（Outbound Port 25 Blocking）について理解する必要があります。これは動的IPアドレスからインターネットへ向けた25番ポート（SMTP）の通信をISP側のルータで遮断する仕組みであり、スパム業者が自宅サーバ等から大量の迷惑メールを直接送信することを防ぐ目的で導入されています。この制限がある環境下で、正規のユーザが外部のメールサーバを利用してメールを送信するために用いられるのがサブミッションポートと呼ばれるメール投稿専用のポートです。従来のサーバ間転送用の25番ポートの代わりに、クライアントからサーバへの送信（投稿）用として定義された587番ポートを使用することで、OP25Bの影響を受けずにメールサーバへアクセスすることが可能になります。しかし、単にポートを開放して誰でも送信できるようにしてしまうと、第三者に不正中継の踏み台（オープンリレー）として悪用され、自社のドメインがブラックリストに載ってしまうリスクが生じます。そこで必須となるのが送信時にユーザ認証を行うSMTP-AUTHです。これによりIDとパスワードで認証された正規のユーザのみにメールのリレー（転送）を許可するという制御が可能になります。さらに、通信経路上の盗聴を防ぐための暗号化技術としてSTARTTLSについても問われています。ここは試験において誤答が多いポイントですが、最初から暗号化専用のポートを使用するSMTPS（465番）やPOP3S（995番）とは異なり、STARTTLSは接続開始時には標準のポート番号（送信なら587番、受信なら110番）を使用して平文で通信を開始し、その後のコマンドによって途中で暗号化通信へと切り替える方式です。そのため、ファイアウォールで許可すべきポート番号は標準のポートのままとなる点に注意が必要です。最後に、送信元の正当性を証明する技術としてSPF（Sender Policy Framework）があります。これはDNSサーバのTXTレコードにあらかじめ「そのドメインのメールを送信してもよい正規のサーバのIPアドレス」を登録しておき、受信側のサーバがそれを参照して検証する仕組みです。この検証の際、受信側はメールヘッダに表示されるFromアドレスではなく、SMTP通信のエンベロープ情報であるMAIL FROMコマンドで指定されたドメインをもとにDNSへの問い合わせを行うというプロトコルレベルの挙動を理解しているかどうかが、実務および試験対策として非常に重要になります。