基本情報 2022 サンプル問題 問37：テクノロジ系に関する問題

答えは d SMTP-AUTH です。

メール送信のプロトコル SMTP には、もともと「あなた誰？」と確認する仕組みがありませんでした。だから昔は誰でも他人のサーバを踏み台にしてスパムが送れた…。

そこで生まれたのが SMTP-AUTH（SMTP認証）。メールを送る前にユーザ名とパスワードでログインさせて「本物の利用者か」を確認する仕組みです。

👉 覚え方：SMTP（送信） + AUTH（認証）＝ 送る人を確認

ほかの選択肢：a APOP は POP（受信） のパスワード保護／b POP3S は POP3＋SSL／TLS（受信を暗号化）／c S/MIME はメール本文の 暗号化と署名。全部「受信」か「中身」の話で、「送信時の認証」じゃないです。

なぜこれが正解か

正解は d。SMTP-AUTH（RFC 4954）は、SMTPセッション開始時にAUTHコマンドでユーザ名・パスワード等の認証情報を提示し、送信元メールサーバが利用者を認証する拡張仕様。第三者中継（オープンリレー）防止と送信者特定に有効。

各選択肢の解説

• a：APOPはPOP3でパスワードをMD5ハッシュ化して送る 受信 プロトコル拡張。
• b：POP3SはPOP3をSSL/TLSで暗号化した 受信 プロトコル。
• c：S/MIMEはメール本文の暗号化・電子署名（公開鍵基盤）。
• d：SMTPの送信時認証＝正解。

覚え方・ひっかけ注意

「SMTP＝送信／POP・IMAP＝受信」 をまず固定し、AUTHが付くもの＝認証拡張、Sが付くもの＝SSL/TLS暗号化、と分解。SPF/DKIM/DMARCは「受信側で送信元ドメインを検証」する別系統の 送信ドメイン認証 で混同注意。POP before SMTP（受信認証成功後一定時間SMTP許可）は古い方式で現在はSMTP-AUTHが主流。

理論的背景

SMTPは元々認証なしのため、第三者中継・なりすまし送信が容易だった。Submission Port（TCP/587、RFC6409） にSMTP-AUTHを必須化する構成が事実上標準。ESMTPのAUTH拡張ではSASL（RFC4422）フレームワーク経由でメカニズム（PLAIN／LOGIN／CRAM-MD5／SCRAM-SHA-256／XOAUTH2／GSSAPI）を選択する。AUTH PLAIN/LOGINは平文のため必ずSTARTTLS（RFC3207）またはImplicit TLS（465/SMTPS）と併用する。

送信ドメイン認証との関係

受信者側のなりすまし検証は別系統で、SPF（送信元IP登録、RFC7208）／DKIM（メール本文への電子署名、RFC6376）／DMARC（SPF/DKIM結果のポリシー判定、RFC7489）で構成。SMTP-AUTHはMUA→MSA間の 送信時のユーザ認証、SPF/DKIM/DMARCはMTA間／受信時のドメイン認証で、目的が異なる。BIMIはDMARC合格後にブランドロゴを表示する受信側UX拡張。

実務での運用・関連規格

M3AAWGガイドラインや日本のCAPI／JIPDECがOP25B（Outbound Port 25 Blocking）+ Port 587 + SMTP-AUTHのISPベストプラクティスを推奨。ガバナンス的にはISO/IEC 27001のA.13通信セキュリティに位置付け。クラウドメール（Microsoft 365、Google Workspace、Amazon SES）はOAuth2（XOAUTH2）でトークン認証に移行し、Basic認証廃止が進行中。

試験での位置づけ

基本情報ではメール関連プロトコルの 役割識別問題 が定番（SMTP/POP/IMAP/APOP/S/MIME/PGP/SPF/DKIM/DMARC）。応用情報・支援士ではSPF・DKIM・DMARCの相互関係、ARC（転送中の認証情報保全）、TLS-RPT/MTA-STSまで踏み込む。

選択肢の発展補足

S/MIMEとPGPはどちらもメール本文の暗号化・署名だが、S/MIMEはX.509証明書（認証局）ベース、PGPは信頼の輪（Web of Trust）ベースで運用思想が異なる点が頻出。