MTA-STS Policy is Missing」を修正する方法を教えてください。

ブログ

MTA-STSポリシーがありません」というメッセージを表示させない方法をご紹介します。MTA-STSポリシーファイルを正しく実装してホストすることで、プロンプト「MTA-STSポリシーが見つかりません:STSFetchResult.NONE」を解消する方法をご紹介します。

byユネス・タラダ

読書時間 5
MTA-STS Policy is Missing」を修正する方法を教えてください。
目次-

万が一、"MTA-STSポリシーがありません:STSFetchResult.NONE"コマンドに遭遇した場合、あなたは正しい場所に来ています。今日は、このエラーメッセージを修正し、ドメインにMTA-STSポリシーを組み込むことでこのエラーメッセージを取り除く方法について説明します。

Simple Mail Transfer Protocol、通称SMTPは、多くのメールサービスプロバイダーで使用されている標準的なメール転送プロトコルです。SMTPが有史以来、セキュリティ上の課題に直面してきたことは、決して異質なことではありません。これは、電子メールに下位互換性を持たせるために、SMTPがSTARTTLSコマンドの形で日和見的な暗号化を導入したためです。 これは基本的に、通信している2つのSMTPサーバー間で暗号化された接続がネゴシエートできない場合、接続は暗号化されていないものにロールバックされ、メッセージは平文で送信されることを意味します。 

このため、SMTP経由で転送された電子メールは、広汎な監視やMan-in-the-middleのようなサイバー盗聴攻撃を受けやすくなります。これは、送信者と受信者の両方にとって危険であり、機密データの漏洩につながる可能性があります。そこで、MTA-STSが登場し、SMTPにTLS暗号化を必須化することで、安全性の低い接続でのメール配信を阻止します。 

主なポイント

  1. MTA-STSは、必須のTLS暗号化を実施し、送信中の電子メールの脆弱性を減らすために不可欠です。
  2. MTA-STS DNS TXTレコードの作成と公開は、お客様のドメインでこの標準を有効にする最初のステップです。
  3. テストモードでMTA-STSポリシーを実装すると、すぐに強制しなくても、潜在的なSMTP TLS接続の問題を監視し、対処することができます。
  4. 各ドメインは固有のMTA-STSポリシーファイルを持つ必要がある。複数のファイルがあると、設定ミスやエラーにつながる可能性があるからだ。
  5. ホスティングされたMTA-STSサービスを利用することで、展開プロセスを合理化し、最新のTLS標準へのコンプライアンスを確保することができます。

MTA-STSポリシーとは何ですか?

SMTPメールセキュリティを向上させ、MTA-STSのような認証プロトコルを最大限に活用するには、送信サーバーはプロトコルをサポートし、メール受信サーバーはDNSで定義されたMTA-STSポリシーを持つ必要があります。セキュリティ標準をさらに強化するために、強制ポリシーモードも推奨される。MTA-STSポリシーは、受信者のドメインでMTA-STSを使用する電子メールサーバーを定義する。 

お客様のドメインをメール受信者としてMTA-STSを有効にするためには、DNSにMTA-STSポリシーファイルをホストする必要があります。これにより、外部のメール送信者は、認証され、最新バージョンのTLS(1.2以上)でTLS暗号化されたメールをお客様のドメインに送信することができます。 

ドメインのポリシーファイルが公開されていない、または更新されていないことが、「MTA-STS policy missing」などのエラーメッセージが表示される主な原因となります。MTA-STSポリシーが見つかりません。STSFetchResult.NONE「これは、送信者のサーバーが受信者のDNSに問い合わせた際に、MTA-STSポリシーファイルを取得できず、見つからなかったことを意味しています。

MTA-STSの前提条件です。

MTA-STSを有効にするメールサーバは、TLSバージョン1.2以上を使用し、現在のRFC標準および仕様に準拠し、有効期限が切れていないTLS証明書、および信頼できるルート認証局によって署名されたサーバ証明書を持つ必要があります。

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

MTA-STS Policy is Missing "の修正方法

1.MTA-STSのDNS TXTレコードの作成と公開 

最初のステップは、お客様のドメインのMTA-STSレコードを作成することです。MTA-STSレコードジェネレーターを使用すれば、すぐにレコードを作成することができ、ドメイン用のカスタムメイドのDNSレコードを提供することができます。 

2.MTA-STSポリシーモードの定義

MTA-STSには、ユーザーが操作するための2つのポリシーモードがあります。

  • テストモード:このモードは、プロトコルを設定したことのない初心者に最適です。MTA-STSテストモードでは、MTA-STSポリシーの問題、暗号化されたSMTP接続の確立の問題、またはメール配信の失敗に関するSMTP TLSレポートを受信することができます。これにより、TLS暗号化を実施していないドメインやサーバーに関する既存のセキュリティ問題に対応することができます。
  • エンフォースメントモード:TLSレポートを受信している間に、MTA-STSのポリシーを施行し、SMTPを使用して電子メールを受信する際に暗号化を必須にすることが最適です。これにより、送信中にメッセージが変更されたり、改ざんされたりするのを防ぐことができます。

3.MTA-STSポリシーファイルの作成

次のステップでは、ドメイン用のMTA-STSポリシーファイルをホストします。すべてのファイルの内容は同じでもよいが、別々のドメインに別々のポリシーをホストすることが必須であり、1つのドメインには1つのMTA-STSポリシーファイルしかないことに注意してほしい。1つのドメインに複数のMTA-STSポリシーファイルをホストすると、プロトコルの誤設定を引き起こす可能性があります。 

MTA-STSポリシーファイルの標準的なフォーマットを以下に示します。 

ファイル名:mta-sts.txt

最大ファイルサイズ:64KB

バージョンである。STSv1

モード:テスト

mx: mail.yourdomain.com

mx:*.yourdomain.com

max_age:806400 

ご注意ください。 上記に表示されているポリシーファイルは単なる例です。

4.MTA-STSポリシーファイルの公開

次に、MTA-STSポリシーファイルを、外部のサーバからアクセス可能なパブリックウェブサーバに公開する必要があります。ファイルをホストするサーバーがHTTPSまたはSSLに対応していることを確認してください。このための手順は簡単です。あなたのドメインにパブリックWebサーバーがあらかじめ設定されていると仮定します。

  • 既存のドメインに、「mta-sts」というテキストで始まるサブドメインを追加する(例:mta-sts.domain.com)。 
  • ポリシーファイルは、作成したこのサブドメインを指しており、このサブドメインは「.well-known」に保存する必要があります。 .well-knownディレクトリに保存しなければなりません。
  • MTA-STSのDNSレコードを公開する際に、ポリシーファイルのURLをDNSエントリに追加し、メール転送時にサーバがDNSに問い合わせてポリシーファイルを取得できるようにする。

5.MTA-STSとTLS-RPTの起動

最後に、MTA-STSとTLS-RPTを公開する必要があります。 TLS-RPTDNSレコードをドメインのDNSで公開する必要があります。リソースタイプとしてTXTを使用し、2つの別々のサブドメイン(_smtp._tlsと_mta-sts)に配置します。 _mta-sts)に配置します。これにより、TLSで暗号化されたメッセージのみが、検証され、改ざんされずにお客様の受信箱に届きます。さらに、お客様が設定されたメールアドレスやウェブサーバーへの配信や暗号化の問題について、外部サーバーから毎日レポートが送られてきます。

DNSレコードの有効性は、レコードが公開されてライブになった後、MTA-STSレコードルックアップを実行することで確認できます。  

注意してください。 MTA-STSポリシーファイルの内容を変更するたびに、ファイルをホスティングしているパブリックウェブサーバと、ポリシーのURLを含むDNSエントリの両方を更新する必要があります。また、ドメインやサーバを更新・追加するたびにも同様のことが言えます。

ホスト型MTA-STSサービスは、「MTA-STSポリシーがない」という問題の解決にどのように役立ちますか?

MTA-STSを手動で実装することは、手間と困難が伴い、エラーの余地があります。PowerDMARCの ホスト型MTA-STSサービスは、ドメイン所有者のプロセスを飛躍的に向上させ、プロトコルの導入を簡単かつ迅速に行うことができます。できるようになります。

  • 数回のクリックでMTA-STS用のCNAMEレコードを発行することができます。
  • MTA-STSのポリシーファイルやウェブサーバーの維持・ホスティングに関わる大変な作業を外部に委託
  • DNSにアクセスすることなく、カスタマイズされたダッシュボードからいつでもポリシーモードを変更することができます。
  • SMTP TLSレポートのJSONファイルを、技術者にも非技術者にも便利で理解しやすいように、整理された人間が読める形式で表示します。

一番いいのは?当社はRFCに準拠し、最新のTLS規格をサポートしています。これにより、お客様のドメインでエラーのないMTA-STSの設定を開始し、そのメリットを享受しながら、面倒な作業や複雑な作業はお客様に代わって当社が処理します。 

この記事が、「MTA-STSポリシーが見つかりません。STSFetchResult.NONE」というプロンプトが表示されないようにしたり、SMTPセキュリティの抜け穴や課題を軽減するために、ドメインに合わせて適切にプロトコルを設定したりするのに役立てば幸いです。 

MTA-STSを使用するには、無料のメール認証システムを利用します。 電子メール認証 DMARCトライアルMITMやその他のサイバー盗聴攻撃に対する防御力を向上させるために!

最新記事 by Yunes Tarada(全て見る)
サードパーティベンダーをDMARCに対応させるには?サードパーティーベンダーをDMARCに対応させる方法2Microsoft DMARCMicrosoft DMARC Aggregate Reports