万が一、「」に出会ってしまったらMTA-STSポリシーがありません。STSFetchResult.NONE" コマンドに遭遇したことがある方は、適切な場所に来たと言えます。本日は、このエラーメッセージを修正し、ドメインにMTA-STSポリシーを組み込むことで解消する方法をご紹介します。

Simple Mail Transfer Protocol、通称SMTPは、多くのメールサービスプロバイダーで使用されている標準的なメール転送プロトコルです。SMTPが有史以来、セキュリティ上の課題に直面してきたことは、決して異質なことではありません。これは、電子メールに下位互換性を持たせるために、SMTPがSTARTTLSコマンドの形で日和見的な暗号化を導入したためです。 これは基本的に、通信している2つのSMTPサーバー間で暗号化された接続がネゴシエートできない場合、接続は暗号化されていないものにロールバックされ、メッセージは平文で送信されることを意味します。 

このため、SMTP経由で転送された電子メールは、広汎な監視やMan-in-the-middleのようなサイバー盗聴攻撃を受けやすくなります。これは、送信者と受信者の両方にとって危険であり、機密データの漏洩につながる可能性があります。そこで、MTA-STSが登場し、SMTPにTLS暗号化を必須化することで、安全性の低い接続でのメール配信を阻止します。 

MTA-STSポリシーとは何ですか?

SMTPメールのセキュリティを向上させ、MTA-STSなどの認証プロトコルを最大限に活用するためには、送信サーバがプロトコルをサポートし、メール受信サーバがDNSにMTA-STSポリシーを定義する必要があります。また、セキュリティ基準をさらに強化するために、強制ポリシーモードが推奨されます。MTA-STSポリシーは、受信者のドメインでMTA-STSを使用するメールサーバを定義します。 

お客様のドメインをメール受信者としてMTA-STSを有効にするためには、DNSにMTA-STSポリシーファイルをホストする必要があります。これにより、外部のメール送信者は、認証され、最新バージョンのTLS(1.2以上)でTLS暗号化されたメールをお客様のドメインに送信することができます。 

ドメインのポリシーファイルが公開されていない、または更新されていないことが、「MTA-STS policy missing」などのエラーメッセージが表示される主な原因となります。MTA-STSポリシーが見つかりません。STSFetchResult.NONE「これは、送信者のサーバーが受信者のDNSに問い合わせた際に、MTA-STSポリシーファイルを取得できず、見つからなかったことを意味しています。

MTA-STSの前提条件です。

MTA-STSを有効にするメールサーバは、TLSバージョン1.2以上を使用し、現在のRFC標準および仕様に準拠し、有効期限が切れていないTLS証明書、および信頼できるルート認証局によって署名されたサーバ証明書を持つ必要があります。

MTA-STS Policy is Missing "の修正方法

1.MTA-STSのDNS TXTレコードの作成と公開 

最初のステップは、お客様のドメインのMTA-STSレコードを作成することです。MTA-STSレコードジェネレーターを使用すれば、すぐにレコードを作成することができ、ドメイン用のカスタムメイドのDNSレコードを提供することができます。 

2.MTA-STSポリシーモードの定義

MTA-STSには、ユーザーが操作するための2つのポリシーモードがあります。

  • テストモード:このモードは、プロトコルを設定したことのない初心者に最適です。MTA-STSテストモードでは、MTA-STSポリシーの問題、暗号化されたSMTP接続の確立の問題、またはメール配信の失敗に関するSMTP TLSレポートを受信することができます。これにより、TLS暗号化を実施していないドメインやサーバーに関する既存のセキュリティ問題に対応することができます。
  • エンフォースメントモード:TLSレポートを受信している間に、MTA-STSのポリシーを施行し、SMTPを使用して電子メールを受信する際に暗号化を必須にすることが最適です。これにより、送信中にメッセージが変更されたり、改ざんされたりするのを防ぐことができます。

3.MTA-STSポリシーファイルの作成

次のステップでは、ドメイン用のMTA-STSポリシーファイルをホストします。すべてのファイルの内容は同じでもよいが、別々のドメインに別々のポリシーをホストすることが必須であり、1つのドメインには1つのMTA-STSポリシーファイルしかないことに注意してほしい。1つのドメインに複数のMTA-STSポリシーファイルをホストすると、プロトコルの誤設定を引き起こす可能性があります。 

MTA-STSポリシーファイルの標準的なフォーマットを以下に示します。 

ファイル名:mta-sts.txt

最大ファイルサイズ:64KB

バージョンである。STSv1

モード:テスト

mx: mail.yourdomain.com

mx:*.yourdomain.com

max_age:806400 

ご注意ください。 上記に表示されているポリシーファイルは単なる例です。

4.MTA-STSポリシーファイルの公開

次に、MTA-STSポリシーファイルを、外部のサーバからアクセス可能なパブリックウェブサーバに公開する必要があります。ファイルをホストするサーバーがHTTPSまたはSSLに対応していることを確認してください。このための手順は簡単です。あなたのドメインにパブリックWebサーバーがあらかじめ設定されていると仮定します。

  • 既存のドメインに、「mta-sts」というテキストで始まるサブドメインを追加する(例:mta-sts.domain.com)。 
  • ポリシーファイルは、作成したこのサブドメインを指しており、このサブドメインは「.well-known」に保存する必要があります。 .well-knownディレクトリに保存しなければなりません。
  • MTA-STSのDNSレコードを公開する際に、ポリシーファイルのURLをDNSエントリに追加し、メール転送時にサーバがDNSに問い合わせてポリシーファイルを取得できるようにする。

5.MTA-STSとTLS-RPTの起動

最後に、MTA-STSとTLS-RPTを公開する必要があります。 TLS-RPTDNSレコードをドメインのDNSで公開する必要があります。リソースタイプとしてTXTを使用し、2つの別々のサブドメイン(_smtp._tlsと_mta-sts)に配置します。 _mta-sts)に配置します。これにより、TLSで暗号化されたメッセージのみが、検証され、改ざんされずにお客様の受信箱に届きます。さらに、お客様が設定されたメールアドレスやウェブサーバーへの配信や暗号化の問題について、外部サーバーから毎日レポートが送られてきます。

DNSレコードの有効性は、レコードが公開されてライブになった後、MTA-STSレコードルックアップを実行することで確認できます。  

注意してください。 MTA-STSポリシーファイルの内容を変更するたびに、ファイルをホスティングしているパブリックウェブサーバと、ポリシーのURLを含むDNSエントリの両方を更新する必要があります。また、ドメインやサーバを更新・追加するたびにも同様のことが言えます。

ホスト型MTA-STSサービスは、「MTA-STSポリシーがない」という問題の解決にどのように役立ちますか?

MTA-STSを手動で実装することは、手間と困難が伴い、エラーの余地があります。PowerDMARCの ホスト型MTA-STSサービスは、ドメイン所有者のプロセスを飛躍的に向上させ、プロトコルの導入を簡単かつ迅速に行うことができます。できるようになります。

  • 数回のクリックでMTA-STS用のCNAMEレコードを発行することができます。
  • MTA-STSのポリシーファイルやウェブサーバーの維持・ホスティングに関わる大変な作業を外部に委託
  • DNSにアクセスすることなく、カスタマイズされたダッシュボードからいつでもポリシーモードを変更することができます。
  • SMTP TLSレポートのJSONファイルを、技術者にも非技術者にも便利で理解しやすいように、整理された人間が読める形式で表示します。

一番いいのは?当社はRFCに準拠し、最新のTLS規格をサポートしています。これにより、お客様のドメインでエラーのないMTA-STSの設定を開始し、そのメリットを享受しながら、面倒な作業や複雑な作業はお客様に代わって当社が処理します。 

この記事が、「MTA-STSポリシーが見つかりません。STSFetchResult.NONE」というプロンプトが表示されないようにしたり、SMTPセキュリティの抜け穴や課題を軽減するために、ドメインに合わせて適切にプロトコルを設定したりするのに役立てば幸いです。 

MTA-STSを使用するには、無料のメール認証システムを利用します。 電子メール認証 DMARCトライアルMITMやその他のサイバー盗聴攻撃に対する防御力を向上させるために!

企業でも新興企業でも、ビジネスやマーケティング用のEメールをアウトソーシングすることがよくあります。これには、リストの管理からイベントのトラッキング、配信状況のモニタリングまで、すべてを処理するサードパーティサービスが必要です。しかし、これらのサードパーティサービスは、悪意のあるアクターがドメインスプーフィングによってブランドになりすまし、無防備な受信者にフィッシング攻撃を仕掛ける機会を与えることで、リスクを増大させています。

インターネット上で流通しているスパムメールの約3分の1には、ビジネス関連の内容が含まれていると報告されています。企業や組織が適切な保護措置を講じていない場合、これらのメッセージの犠牲になる可能性があり、メール送信にサードパーティ・ベンダーを利用していることが大きな要因となっていると考えられます。

インテグレーション DMARCポリシーを統合することで、ドメインに侵入するスプーフィング、フィッシング、マルウェアなどの攻撃を防ぐことができます。

なぜメール送信元を揃えることが重要なのでしょうか?

電子メールは、顧客や見込み客と連絡を取り合うことができるため、あらゆるビジネスの成功に欠かせないものとなっています。電子メールは、コミュニケーションや市場調査の主要な手段として広く利用されており、その重要性は時代の進展とともにますます高まっています。電子メールの送信にどのようなメールベンダーを使用するにしても、そのベンダーがDMARC準拠の電子メールの送信を代行しているかどうかを必ず確認してください。 

DMARCは、フィッシング攻撃、ドメイン偽装、BECなどを防ぐための電子メールセキュリティプロトコルです。しかし、真の効果を発揮するためには、企業はすべてのサードパーティと緊密に連携し、すべての電子メールがDMARCに準拠するようにする必要があります。

サードパーティベンダーのDMARC対応について

効果的なDMARCポリシーを確立するためには、サードパーティ・プロバイダーに連絡を取り、検証に失敗した電子メールを処理するための最善の方法を一緒に考えるべきである。DMARCの利点を説明し、その仕組みについての質問に答え、DMARCを完全に実装するためのソリューションを推奨することが有益であることを証明することができる。

サードパーティによってSPFやDKIMの設定方法が異なるため、それに合わせて計画を立てる必要があります。最適な戦略を決定するためには、それぞれのパートナーがどのようにメールマーケティングキャンペーンを送信しているか、技術的な追跡能力、レポート機能、統合機能に加えて、注意する必要があります。このプロセスは煩雑で退屈に思えるかもしれませんが、お客様の側で簡単にスピードアップできる方法がいくつかあります。

  • メールベンダーごとにカスタムサブドメインを設定し、そのドメインのSPFおよびDKIM認証をベンダーに任せることができます。この場合、メールベンダーは自社のメールサーバを使用してお客様のメールを送信します。メールベンダーは、あなたのサブドメインのDNSに彼らのSPFおよびDKIMレコードを公開します。この委託されたサブドメインに個別のDMARCポリシーを設定しないと、メインドメインのDMARCポリシーがサブドメインに自動的に適用されてしまいます。
  • また、サードパーティベンダーは、お客様のドメインからお客様のクライアントにメールを送信する際に、お客様のメールサーバーを使用することもできます。これにより、お客様のドメインにDMARCポリシーが設定されている場合、送信されるメールは自動的にDMARCに準拠したものとなります。また、SPFレコードとDKIMレコードを更新して、サードパーティが許可された送信元として登録されていることを確認してください。 

サードパーティベンダーのSPF、DKIM、DMARCレコードの設定

  • 既存のSPFレコードを更新して、これらのメール送信元を含めるようにしてください。例えば、メールベンダーとしてMailChimpを使用し、組織を代表してマーケティングメールを送信している場合、既存のSPFレコードを更新するか、認可された送信者としてMailChimpを含む新しいレコードを作成する必要があります(まだ作成していない場合)。これは、include: メカニズムを追加するか、ベンダーがメール送信時に使用する特定のIPアドレスを追加することで行うことができます。
  • 次に、ベンダーにカスタムドメイン用のDKIMキーペアの生成を依頼する必要があります。ベンダーは、電子メールの送信時に秘密鍵を使って署名し、公開鍵はお客様が公開用DNSで公開する必要があります。秘密鍵は、受信者が検証する際に、DNSの公開鍵と照合されます。

をお読みください。 メール認証知識ベースの記事を読むと、使用しているさまざまなサードパーティベンダーのDMARC、SPF、DKIMの設定方法について、わかりやすいステップバイステップの説明が得られます。

PowerDMARCでは、DMARCコンプライアンスを最大限に確保するためのDMARC展開とモニタリングのソリューションを提供しています。当社は、市場で最も詳細な機能を備えたスケーラブルなDMARCモニタリングソリューションを提供しており、お客様の送信業務とベンダーの送信業務を連携させて管理することができます。 

当社のリソースと専門知識により、DMARC準拠の推測作業を排除し、準拠しているものと準拠していないものを識別する分析レポートを提供することができます。無料トライアルに申し込む DMARCトライアル今すぐ!

電子メールは、マーケティングやビジネスにおいて、メッセージを発信するための最も効果的なツールの一つです。しかし、電子メールには、セキュリティ上の脅威も存在します。DMARCは、あなたのドメイン名を使用するすべての電子メールを完全にコントロールすることで、この問題を解決します。DMARCは、誠実なメールが誠実であり続け、悪意のあるメールが受信箱に届かないようにするための大きな一歩となります。PowerDMARCは、この使命を常に信じ、我々のエコシステム全体でDMARC仕様が守られるように努力してきた。

なぜあなたのメールは安全でないのか?

メールスプーフィングとは、攻撃者が「From」アドレスを偽造して、メールを認可された正当な送信元からのものであるかのように見せかけることです。この用語は、電子メールクライアントとサーバーの両方に対する攻撃を指すことがあります。メールクライアントの詐称とは、特定のクライアントから送信されたメールの「From」、「To」、「Subject」のアドレスを偽装することです。サーバーへの攻撃とは、特定のサーバーから送信されたメールに含まれるこれらのアドレスを偽造することです。 

特に、メール登録フォームを持つ正規のウェブサイトを運営している場合、メールのなりすましは深刻な問題です。メールアドレスは、メールスプーフィング技術を利用するスパマーの主な標的となることが多いため、お客様のメールリストはすぐに危険にさらされます。そうなると、登録フォームを無効にしたり、ニュースレターやその他のリストからメンバーを手動で登録解除しなければならなくなったりして、大きな頭痛の種になります。

DMARCはどのように役立つのか?

A DMARCポリシーDMARCポリシーは、電子メールのなりすまし、フィッシング、その他の形態の電子メールやドメインの不正使用を制御することができます。SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)と組み合わせて使用されるこの強力なメカニズムにより、サイバー犯罪者がお客様のドメイン名を使って許可なくメールを送信することが非常に困難になります。

DMARCレコードを作成していない場合は、無料の DMARCレコードジェネレータを使用して、お客様のドメイン用にカスタムメイドのTXTレコードを作成し、プロトコルを実装することをお勧めします。なりすましの脅威からの保護を得るために、DMARC拒否ポリシーへの移行を忘れないでください。

メールの流れを把握し、安定した配信を実現

攻撃者の動向を常に把握しておきたいのであれば、今すぐDMARCレポートのメリットを享受する必要があります。DMARCレポートは、メールの送信元や配信失敗に関する豊富な情報を提供します。この情報を活用することで、脅威への迅速な対応が可能になるだけでなく、メールのパフォーマンスを監視して配信の一貫性を確保することもできます。 

ドメインのメールセキュリティの健全性を維持するためには、認証プロトコルに構文上のエラーや設定上のエラーがないことが不可欠です。以下を実施してください。 DMARCチェックを実施して、DMARCレコードが正しく機能していることを確認してください。

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)によるメール送信者のドメイン名を認証するためのメッセージ認証方法を統一するために策定された規格です。DMARCは、これらの電子メール認証メカニズムの作成者、運営者、消費者が、電子メールスパムを減らすために協力するための一貫したフレームワークを提供します。DMARCアナライザーは、不正な第三者が、正当なメールになりすましたり、フィッシングキャンペーンを行ったりして、あなたのドメインを悪用していることを検知するのに役立ちます。

DMARCは、電子メールの送信者と受信者の双方にメリットがあるとされている。それが何なのか、見ていきましょう。

メール送信者にとってのメリット

メール配信の強化

DMARCのような電子メール認証プロトコルがドメイン所有者(メール送信者)にもたらす主な利点の1つは、メール配信率の向上です。DMARCは、送信者の正当な電子メールが不必要にスパムとしてマークされたり、受信者の受信箱からブロックされたりしないことを保証します。これにより、あなたのマーケティングメールが読まれる可能性が高まり、潜在的な顧客があなたのことをもっと認識できるようになります。

なりすましの脅威の軽減

なりすまし攻撃は、既存の企業であれ、新興のベンチャー企業であれ、オンラインビジネスでは非常によくあることです。なりすましは、顧客の印象を悪くし、ブランドの信頼性に影響を与え、顧客の喪失につながります。DMARCは、身元確認のプロセスによって、悪意のある目的に使用されることからブランド名を保護します。これにより、長期的にはお客様の信用と評判を維持することができます。

DMARCレポートとモニタリング

DMARCには、アイデンティティ保護の他に、ドメイン所有者が自分のドメインで行われたあらゆる偽装行為を把握するのに役立つ報告メカニズムがある。ドメイン所有者は、認証チェックに失敗したために配信されなかった電子メールを追跡することができ、脅威への対応時間を短縮することができる。必要なのは、DMARCレポートアナライザを設定して、レポートを一枚のガラスに表示することだけです。

メール受信者のメリット

フィッシング攻撃からの保護

DMARCは、メールの送信者だけでなく、受信者にとっても安全なバッチです。なりすまし攻撃は通常、フィッシングで終わることはすでに知っている。偽装メールの受信者は、銀行口座の認証情報やその他の機密情報を盗むことを目的としたフィッシング攻撃の餌食になる危険性が高い。DMARCは、電子メールによるフィッシングのリスクを大幅に軽減します。

ランサムウェアからの保護

偽装メールには、受信者のシステムにランサムウェアをダウンロードするためのリンクが含まれていることがあります。これにより、メールの受信者が人質となり、高額な身代金を要求する脅威のアクターの言いなりになってしまいます。受信者がなりすました組織の従業員である場合、企業にとってのリスクはさらに高くなります。DMARCは、ランサムウェアに対する主要な防御策として機能し、メール受信者が人質になるのを防ぎます。

安全な電子メールの利用を促進する

DMARCは、送信者と受信者の双方にとって、安全な電子メールの利用を促進します。DMARCは、サイバー攻撃者に騙されたり、偽装されたりする心配がなく、両者が明快かつ円滑に情報を交換できるようにします。

DMARCサービスをご利用いただくには、今すぐ無料のDMARCトライアルをご利用ください。

 

ここでは、ドメイン所有者から寄せられる最も一般的な懸念事項の一つを明確にします。DMARCの拒否ポリシーは、メールの配信に悪影響を及ぼしますか?DMARC拒否ポリシーがメールの配信に悪影響を及ぼすのは、お客様のドメインにDMARCを正しく設定していない場合、または、施行されたDMARCポリシーを軽視して、お客様のドメインのDMARCレポートを有効にしていない場合のみです。理想的には、DMARCは時間をかけてメール配信率を向上させるように設計されています

DMARC Reject Policyとは何ですか?

DMARC拒否ポリシーとは、DMARCを最大限に施行した状態のことです。つまり、DMARC認証に失敗した送信元からメールが送られてきた場合、そのメールは受信者のサーバーで拒否され、受信者に届けられないということです。DMARC拒否ポリシーは、ドメイン所有者がフィッシング攻撃、直接ドメインになりすまし、ビジネスメールの漏洩に終止符を打つのに役立つため、組織にとって有益である。

このポリシーはいつ設定すべきでしょうか?

DMARCのエキスパートであるPowerDMARCは、メール認証の初心者である間は、モニタリングのみのDMARCが最適であると推奨する。これにより、メールのパフォーマンスと配信能力を追跡しながら、プロトコルに慣れることができます。次のセクションでは、ドメインを簡単に監視する方法をご紹介します。

より厳しいポリシーを採用する自信がある場合は、p=reject/quarantineでドメインを設定することができる。DMARCユーザーとしての主な課題は、攻撃者があなたにうまくなりすましてクライアントを騙すのを阻止することであるが、これは「何もしないポリシー」では達成できない。攻撃者から身を守るためには、ポリシーを徹底することが必須です。

どこで間違えるのか?

DMARCは、SPFやDKIMといったプロトコルの上に構築されており、SPFやDKIMが正しく機能するためには、これらのプロトコルが事前に設定されている必要があります。 SPFのDNSレコードには、あなたに代わってメールを送信することを許可されたIPアドレスのリストが保存されています。ドメイン所有者は、送信ドメインをSPFの許可された送信者として誤って登録してしまうことがあります。これは、複数のサードパーティメールベンダーを利用している組織で比較的よく見られる現象です。これにより、その特定のドメインのSPFが失敗することがあります。その他にも、DNSレコードやプロトコルの設定ミスがあります。これらはすべて、ホスティングされたメール認証サービスを利用することで回避することができます。

DMARC Report Analyzerでメールを監視する方法

DMARCレポートアナライザーは、単一のインターフェイスでドメインを監視することができるオールインワンツールです。これは、様々な面でお客様の組織に利益をもたらします。

  • メールの流れを完全に可視化し、明確にする
  • 配信可能性の問題を心配することなく、拒否ポリシーに移行できる
  • 簡素化された人間が読めるフォーマットでDMARC XMLレポートを読む
  • お客様のDNSにアクセスすることなく、ボタンを使ってリアルタイムにDNSレコードを変更することができます。

DMARCアナライザーを使用して、組織内で安全かつ正確にDMARCを設定し、配信問題に関する不安を完全に解消してください。