重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む

MTA-STSおよびTLS-RPT実装ガイド

MTA-STSとTLS-RPTに関する詳細なハンドブックにようこそ。

お問い合わせ デモを予約する

目次を見る

  1. Mail Transfer Agent-Strict Transport Security(MTA-STS)とは何ですか?
  2. MTA-STSはどのようにして転送中のメッセージの暗号化を保証するのですか?
  3. MITM攻撃の解剖学的な説明
  4. MTA-STSはどのようにしてTLSの暗号化を確保しているのですか?
  5. MTA-STSポリシーファイルとは何ですか?
  6. MTA-STSのポリシーファイルを公開するには?
  7. MTA-STSのDNSレコードとは何ですか?
  8. MTA-STSを導入するには?
  9. MTA-STSを手動でデプロイする際に直面する課題とは?MTA-STSを手動で導入する際に直面する課題は何ですか??
  10. PowerDMARCのホスト型MTA-STSサービス
  11. SMTP TLS Reporting(TLS-RPT)とは何ですか?
  12. 自分のドメインでTLS-RPTを有効にするには?
  13. よくあるご質問
暗号化 tls

MTA-STS(Mail Transfer Agent-Strict Transport Security)について

MTA-STSは、その名が示すように、2つのSMTPメールサーバ間でメッセージの暗号化伝送を可能にするプロトコルです。MTA-STSは、電子メールがTLS暗号化された接続でのみ送信され、STARTTLSコマンドによって安全な接続が確立されない場合には、一切配信されないことを送信サーバーに指定します。MTA-STSは、送信中の電子メールのセキュリティを強化することで、SMTPダウングレード攻撃やDNSスプーフィング攻撃などのMITM(Man-In-The-Middle Attack:中間者攻撃)の緩和に役立ちます。

続きを読む

MTA-STSはどのようにして転送中のメッセージの暗号化を確保するのですか?

簡単な例を挙げて、メールフロー中にメッセージがどのように暗号化されるかを理解しましょう。MTAが電子メールを送信する場合 [email protected]に電子メールを送信している場合、MTAはDNSクエリを実行して、電子メールを送信しなければならないMTAを見つけ出します。DNSリクエストは、powerdmarc.comのMXレコードをフェッチするために送信されます。続いて送信側MTAは、DNSクエリの結果で見つかった受信側MTAに接続し、この受信側サーバがTLS暗号化をサポートしているかどうかを問い合わせます。サポートしている場合は、電子メールは暗号化された接続で送信されますが、サポートしていない場合は、送信側MTAは安全な接続のネゴシエーションに失敗し、電子メールを平文で送信します。

暗号化されていない経路でメールを送信すると、MITMやSMTPダウングレードのような広汎なモニタリング攻撃に道を開くことになります。その方法を見てみましょう。