重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
暗号化 tls

MTA-STS(Mail Transfer Agent-Strict Transport Security)について

MTA-STSは、その名が示すように、2つのSMTPメールサーバ間でメッセージの暗号化伝送を可能にするプロトコルです。MTA-STSは、電子メールがTLS暗号化された接続でのみ送信され、STARTTLSコマンドによって安全な接続が確立されない場合には、一切配信されないことを送信サーバーに指定します。MTA-STSは、送信中の電子メールのセキュリティを強化することで、SMTPダウングレード攻撃やDNSスプーフィング攻撃などのMITM(Man-In-The-Middle Attack:中間者攻撃)の緩和に役立ちます。

MTA-STSはどのようにして転送中のメッセージの暗号化を確保するのですか?

簡単な例を挙げて、メールフロー中にメッセージがどのように暗号化されるかを理解しましょう。MTAが電子メールを送信する場合 [email protected]に電子メールを送信している場合、MTAはDNSクエリを実行して、電子メールを送信しなければならないMTAを見つけ出します。DNSリクエストは、powerdmarc.comのMXレコードをフェッチするために送信されます。続いて送信側MTAは、DNSクエリの結果で見つかった受信側MTAに接続し、この受信側サーバがTLS暗号化をサポートしているかどうかを問い合わせます。サポートしている場合は、電子メールは暗号化された接続で送信されますが、サポートしていない場合は、送信側MTAは安全な接続のネゴシエーションに失敗し、電子メールを平文で送信します。

暗号化されていない経路でメールを送信すると、MITMやSMTPダウングレードのような広汎なモニタリング攻撃に道を開くことになります。その方法を見てみましょう。

MITM攻撃の構造を解明する

基本的にMITM攻撃は、攻撃者がSTARTTLSコマンドを置き換えたり削除したりして、TLS暗号化なしで安全な接続を安全でない接続にロールバックさせることで起こります。これはダウングレード攻撃と呼ばれています。ダウングレード攻撃に成功すると、攻撃者はメールの内容に支障なくアクセスし、閲覧することができます。

また、MITM攻撃者は、DNSクエリ応答のMXレコードを、自分がアクセスしてコントロールしているメールサーバーに置き換えることができます。その場合のメール転送エージェントは、攻撃者のサーバーに電子メールを配信し、攻撃者が電子メールの内容にアクセスして改ざんできるようにします。その後、その電子メールは、検出されることなく、意図した受信者のサーバーに転送することができます。これは、DNSスプーフィング攻撃として知られています。

よくあるご質問

PowerDMARCのコントロールパネルでは、ドメインのDNSに3つのCNAMEレコードを発行するだけで、ドメインにMTA-STSとTLS-RPTを自動的に設定することができます。MTAS-STSのポリシーファイルや証明書のホスティングからWebサーバーのメンテナンスまで、お客様がDNSに変更を加えることなく、バックグラウンドですべての処理を行います。PowerDMARCを使用したMTA-STSの導入は、わずか数クリックで完了します。

PowerDMARCアカウントからすべてのドメインにMTA-STSを導入し、管理することができます。STARTTLSをサポートしていない受信メールサーバーを使用しているドメインがある場合、それらのドメインに対してTLS-RPTを有効にしていれば、TLSレポートに反映されます。

MTA-STSのポリシーモードをテストモードに設定することをお勧めします。 テストに設定することをお勧めします。これにより、「強制」のような積極的なポリシーに移行する前に、活動を監視し、メールエコシステムの可視性を得ることができます。これにより、TLS暗号化された接続でメールが送信されなくても、平文で送信されることになります。 ただし、その際にはTLS-RPTを有効にして、通知を受けるようにしてください。

TLS-RPTは、安全な接続が確立されず、電子メールの配信に失敗した場合に通知を受けることができる広範なレポートメカニズムです。これにより、メール配信やセキュリティ保護されていない接続で配信されたメールの問題を検出し、迅速に問題を軽減・解決することができます。

MTA-STSは、TLS暗号化された接続で電子メールを転送しますが、安全な接続がネゴシエートされていない場合は、電子メールの配信に失敗する可能性があることに注意してください。しかし、これは、電子メールが暗号化されていない経路で配信されないようにするために必要なことです。このような問題を回避するには、MTA-STSポリシーをテストモードで設定し、MTA-STS強制モードに移行する前に、まずドメインのTLS-RPTを有効にすることをお勧めします。 

MTA-STSモードの変更は、PowerMTA-STSダッシュボードから希望のポリシーモードを選択し、DNSに変更を加えることなく変更を保存することで簡単に行うことができます。

ドメインのMTA-STSをオフにするには、ポリシーモードをnoneに設定して、ドメインがプロトコルをサポートしていないことをMTAに指定するか、MTA-STSのDNS TXTレコードを削除します。 

MTA-STSポリシーファイルのMXレコードには、ドメインが利用するすべての受信メールサーバーのエントリを含める必要があります。