待ちに待ったロールアウトがついにやってきました。マイクロソフト社はDMARC RUA集計レポートをユーザーに送信していますが、あなたはそれに気づいていないかもしれません。マイクロソフトのDMARCレポートは、以下のメールアドレスから送信されます。 [email protected].生のMicrosoft DMARC集約ファイルは、標準的なXML形式で送信されます。MicrosoftはついにDMARCレポートを採用しました。これは本質的に、Hotmail、Outlook、Live、およびmsn.comのユーザーが、Microsoft DMARC集約データのさまざまなメリットを享受できるようになることを意味します。

Microsoft DMARC集合データの処理

PowerDMARCレポートアナライザーは、Microsoft DMARCの集計データを解析して、より効率的に処理できるように整理したフォーマットにします。  

マイクロソフトから送られてくるレポートデータを集約して利用できるように、PowerDMARCの DMARCレポートアナライザは、プラットフォーム上で直接レポートを受信できるようにあらかじめ設定されています。 ユーザーは、PowerDMARCプラットフォームにドメインを追加し、DMARCのDNSレコードを設定するだけで、簡単で分かりやすい方法でレポートを処理して表示します。 こちらをご覧ください。

  • Hotmail、Outlook、Live、およびmsn.comの受信者アドレスから送信されたDMARC集約データを、生のXMLファイル形式から解析し、シンプルで読みやすい情報にまとめて表にしたもの。
  • PowerDMARCはRFC違反を回避するように事前に設定されており、お客様が心配することなく、マイクロソフトのサーバーから送信されたDMARCデータを受信し、解析することができます。
  • 複数のドメインを登録したり、メールチャンネルを監視したり、DNSの変更をダッシュボードから直接行うことができ、すぐに実行可能なボタンが用意されています。
  • 検索結果を、結果ごと、送信元ごと、組織ごと、国ごと、地理的位置ごと、詳細な統計、ドメインごとの検索結果など、さまざまなカテゴリーに分類して検索バーに表示
  • メールのパフォーマンスをより深く洞察し、ドメインの偽装、なりすまし、またはマイクロソフトのビジネスドメインを使用して送信された偽のメールの試みを迅速に把握することができます。また、送信元からのSPFやDKIMの失敗を分析することもできます。

上に表示されているのは、マイクロソフト社から送られてきたDMARC RUAデータを表示した組織ごとのDMARC集計レポートのスクリーンショットです。

Microsoft DMARC Aggregate Reportsを自分で扱う際に直面するであろう問題点

Microsoft DMARCの集約メールはRFCに準拠していない

マイクロソフト社から送信されたこれらのレポートを含む電子メールについて、ユーザーが直面している主な問題は、インターネット電子メールのRFC仕様に適合していないことです。RFC 5322の第2.1.1章では、1行の文字数は78文字を超えてはならないと明記されていますが、これらのMicrosoft DMARC集約メールのBASE64添付データは、適切な改行のない連続した行で、78文字の制限を超えています。このようなRFC違反の結果、これらのメールのほとんどがユーザーの受信箱に届けられることなく、ユーザーの拒否ログに記録されているのです。 

生のXMLファイルは読みにくい

すべての報告組織から送られてくるDMARCデータと同様に、RUAの生ファイルは拡張可能なマークアップ言語(XML)で書かれており、読み取りや理解が困難です。

Microsoft DMARC RUAを受信するための前提条件

outlook.comでドメインの集計レポートを受信するには、DNSに有効なPowerDMARCレコードが発行されていること、および定義されたDMARCポリシーがあることを確認する必要があります。報告組織は、指定されたウェブサーバーまたは電子メールアドレスに集計レポートデータを送信します。これにより、他の方法では管理できないサードパーティのメールベンダーについて、可視性とDMARCコンプライアンスを得ることができます。 

Microsoft Office365などのドメインを保護するために、今すぐメール認証の導入を始めましょう。今すぐ無料の DMARCトライアルまたは DMARCデモ堅牢なメールセキュリティ対策を導入するメリットを実感してください。

万が一、「」に出会ってしまったらMTA-STSポリシーがありません。STSFetchResult.NONE" コマンドに遭遇したことがある方は、適切な場所に来たと言えます。本日は、このエラーメッセージを修正し、ドメインにMTA-STSポリシーを組み込むことで解消する方法をご紹介します。

Simple Mail Transfer Protocol、通称SMTPは、多くのメールサービスプロバイダーで使用されている標準的なメール転送プロトコルです。SMTPが有史以来、セキュリティ上の課題に直面してきたことは、決して異質なことではありません。これは、電子メールに下位互換性を持たせるために、SMTPがSTARTTLSコマンドの形で日和見的な暗号化を導入したためです。 これは基本的に、通信している2つのSMTPサーバー間で暗号化された接続がネゴシエートできない場合、接続は暗号化されていないものにロールバックされ、メッセージは平文で送信されることを意味します。 

このため、SMTP経由で転送された電子メールは、広汎な監視やMan-in-the-middleのようなサイバー盗聴攻撃を受けやすくなります。これは、送信者と受信者の両方にとって危険であり、機密データの漏洩につながる可能性があります。そこで、MTA-STSが登場し、SMTPにTLS暗号化を必須化することで、安全性の低い接続でのメール配信を阻止します。 

MTA-STSポリシーとは何ですか?

SMTPメールのセキュリティを向上させ、MTA-STSなどの認証プロトコルを最大限に活用するためには、送信サーバがプロトコルをサポートし、メール受信サーバがDNSにMTA-STSポリシーを定義する必要があります。また、セキュリティ基準をさらに強化するために、強制ポリシーモードが推奨されます。MTA-STSポリシーは、受信者のドメインでMTA-STSを使用するメールサーバを定義します。 

お客様のドメインをメール受信者としてMTA-STSを有効にするためには、DNSにMTA-STSポリシーファイルをホストする必要があります。これにより、外部のメール送信者は、認証され、最新バージョンのTLS(1.2以上)でTLS暗号化されたメールをお客様のドメインに送信することができます。 

ドメインのポリシーファイルが公開されていない、または更新されていないことが、「MTA-STS policy missing」などのエラーメッセージが表示される主な原因となります。MTA-STSポリシーが見つかりません。STSFetchResult.NONE「これは、送信者のサーバーが受信者のDNSに問い合わせた際に、MTA-STSポリシーファイルを取得できず、見つからなかったことを意味しています。

MTA-STSの前提条件です。

MTA-STSを有効にするメールサーバは、TLSバージョン1.2以上を使用し、現在のRFC標準および仕様に準拠し、有効期限が切れていないTLS証明書、および信頼できるルート認証局によって署名されたサーバ証明書を持つ必要があります。

MTA-STS Policy is Missing "の修正方法

1.MTA-STSのDNS TXTレコードの作成と公開 

最初のステップは、お客様のドメインのMTA-STSレコードを作成することです。MTA-STSレコードジェネレーターを使用すれば、すぐにレコードを作成することができ、ドメイン用のカスタムメイドのDNSレコードを提供することができます。 

2.MTA-STSポリシーモードの定義

MTA-STSには、ユーザーが操作するための2つのポリシーモードがあります。

  • テストモード:このモードは、プロトコルを設定したことのない初心者に最適です。MTA-STSテストモードでは、MTA-STSポリシーの問題、暗号化されたSMTP接続の確立の問題、またはメール配信の失敗に関するSMTP TLSレポートを受信することができます。これにより、TLS暗号化を実施していないドメインやサーバーに関する既存のセキュリティ問題に対応することができます。
  • エンフォースメントモード:TLSレポートを受信している間に、MTA-STSのポリシーを施行し、SMTPを使用して電子メールを受信する際に暗号化を必須にすることが最適です。これにより、送信中にメッセージが変更されたり、改ざんされたりするのを防ぐことができます。

3.MTA-STSポリシーファイルの作成

次のステップでは、ドメイン用のMTA-STSポリシーファイルをホストします。すべてのファイルの内容は同じでもよいが、別々のドメインに別々のポリシーをホストすることが必須であり、1つのドメインには1つのMTA-STSポリシーファイルしかないことに注意してほしい。1つのドメインに複数のMTA-STSポリシーファイルをホストすると、プロトコルの誤設定を引き起こす可能性があります。 

MTA-STSポリシーファイルの標準的なフォーマットを以下に示します。 

ファイル名:mta-sts.txt

最大ファイルサイズ:64KB

バージョンである。STSv1

モード:テスト

mx: mail.yourdomain.com

mx:*.yourdomain.com

max_age:806400 

ご注意ください。 上記に表示されているポリシーファイルは単なる例です。

4.MTA-STSポリシーファイルの公開

次に、MTA-STSポリシーファイルを、外部のサーバからアクセス可能なパブリックウェブサーバに公開する必要があります。ファイルをホストするサーバーがHTTPSまたはSSLに対応していることを確認してください。このための手順は簡単です。あなたのドメインにパブリックWebサーバーがあらかじめ設定されていると仮定します。

  • 既存のドメインに、「mta-sts」というテキストで始まるサブドメインを追加する(例:mta-sts.domain.com)。 
  • ポリシーファイルは、作成したこのサブドメインを指しており、このサブドメインは「.well-known」に保存する必要があります。 .well-knownディレクトリに保存しなければなりません。
  • MTA-STSのDNSレコードを公開する際に、ポリシーファイルのURLをDNSエントリに追加し、メール転送時にサーバがDNSに問い合わせてポリシーファイルを取得できるようにする。

5.MTA-STSとTLS-RPTの起動

最後に、MTA-STSとTLS-RPTを公開する必要があります。 TLS-RPTDNSレコードをドメインのDNSで公開する必要があります。リソースタイプとしてTXTを使用し、2つの別々のサブドメイン(_smtp._tlsと_mta-sts)に配置します。 _mta-sts)に配置します。これにより、TLSで暗号化されたメッセージのみが、検証され、改ざんされずにお客様の受信箱に届きます。さらに、お客様が設定されたメールアドレスやウェブサーバーへの配信や暗号化の問題について、外部サーバーから毎日レポートが送られてきます。

DNSレコードの有効性は、レコードが公開されてライブになった後、MTA-STSレコードルックアップを実行することで確認できます。  

注意してください。 MTA-STSポリシーファイルの内容を変更するたびに、ファイルをホスティングしているパブリックウェブサーバと、ポリシーのURLを含むDNSエントリの両方を更新する必要があります。また、ドメインやサーバを更新・追加するたびにも同様のことが言えます。

ホスト型MTA-STSサービスは、「MTA-STSポリシーがない」という問題の解決にどのように役立ちますか?

MTA-STSを手動で実装することは、手間と困難が伴い、エラーの余地があります。PowerDMARCの ホスト型MTA-STSサービスは、ドメイン所有者のプロセスを飛躍的に向上させ、プロトコルの導入を簡単かつ迅速に行うことができます。できるようになります。

  • 数回のクリックでMTA-STS用のCNAMEレコードを発行することができます。
  • MTA-STSのポリシーファイルやウェブサーバーの維持・ホスティングに関わる大変な作業を外部に委託
  • DNSにアクセスすることなく、カスタマイズされたダッシュボードからいつでもポリシーモードを変更することができます。
  • SMTP TLSレポートのJSONファイルを、技術者にも非技術者にも便利で理解しやすいように、整理された人間が読める形式で表示します。

一番いいのは?当社はRFCに準拠し、最新のTLS規格をサポートしています。これにより、お客様のドメインでエラーのないMTA-STSの設定を開始し、そのメリットを享受しながら、面倒な作業や複雑な作業はお客様に代わって当社が処理します。 

この記事が、「MTA-STSポリシーが見つかりません。STSFetchResult.NONE」というプロンプトが表示されないようにしたり、SMTPセキュリティの抜け穴や課題を軽減するために、ドメインに合わせて適切にプロトコルを設定したりするのに役立てば幸いです。 

MTA-STSを使用するには、無料のメール認証システムを利用します。 電子メール認証 DMARCトライアルMITMやその他のサイバー盗聴攻撃に対する防御力を向上させるために!