MTA-STSとは?正しいMTA STSポリシーの設定

ブログ

MTA-STSは、暗号化されたSMTP接続を介して電子メールの安全な送信を保証するセキュリティ標準です。

マイサム・アル・ラワティ

最終更新日:
10 読了時間:10分
MTA-STSとは?正しいMTA STSポリシーの設定
目次-

SMTP(Simple Mail Transfer Protocol)サーバー間の接続のセキュリティを向上させるインターネット標準として広く知られているのが、SMTP Mail Transfer Agent-Strict Transport Security(MTA-STS)である。MTA-STSはSMTPの既存の問題を解決する。 メールセキュリティの既存の問題を解決する。SMTPでは暗号化はオプションであるため、電子メールは平文で送信される可能性がある。MTA-STSは、メールサービスプロバイダがSMTP接続を保護するためにトランスポート・レイヤー・セキュリティ(TLS)を強制し、送信SMTPサーバが信頼できるサーバ証明書でTLSをサポートしていないMXホストへのメール配信を拒否するかどうかを指定できるようにします。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃を軽減することが実証されている。

主なポイント

  1. SMTPは当初セキュリティに欠け、STARTTLSによるオプションの暗号化を得たが、MITM攻撃やダウングレード攻撃に対して脆弱なままであった。
  2. MTA-STSは、サーバー間通信にTLS暗号化を義務付け、平文へのフォールバックを防ぐことで、電子メールのセキュリティを強化する。
  3. 実装には、HTTPS経由でホストされるポリシーファイルとDNSレコードが必要で、ルールと信頼できるメールサーバーを定義する。
  4. MTA-STSはモード(None、Testing、Enforce)で動作し、暗号化ポリシーを段階的に展開・実施できる。
  5. TLS-RPTはMTA-STSを補完し、TLS接続障害の診断レポートを提供することで、トラブルシューティングを支援し、配信性を向上させます。

MTA-STSの歴史と原点 

1982年に初めてSMTPが仕様化されたが、メール転送エージェント間の通信を保護するためにトランスポートレベルでセキュリティを提供する仕組みは含まれていなかった。しかし、1999年にSMTPにSTARTTLSコマンドが追加され、サーバー間の電子メールの暗号化をサポートし、非セキュアな接続をTLSプロトコルを使用して暗号化されたセキュアなものに変換する機能が提供された。

そうだとすれば、SMTPがサーバー間の接続を保護するためにSTARTTLSを採用しているのなら、なぜMTA-STSへの移行が必要だったのか、そしてそもそもMTA-STSにはどのような役割があるのか、と疑問に思われていることでしょう。このブログの次のセクションで、その点について詳しく見ていきましょう!

 

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

MTA-STSとは?(Mail Transfer Agent Strict Transport Security - Explained) の略。

MTA-STSは、Mail Transfer Agent - Strict Transport Securityの略です。これは、暗号化されたSMTP接続を介して電子メールの安全な送信を保証するセキュリティ規格です。MTAはMessage Transfer Agentの略で、コンピュータ間で電子メールメッセージを転送するプログラムです。頭字語のSTSは、Strict Transport Securityの略で、この規格を実装するために使用されるプロトコルです。MTA-STS対応メール転送エージェント(MTA)またはセキュアメッセージ転送エージェント(SMTA)は、この仕様に従って動作し、保護されていないネットワーク上で電子メールを送信するためのセキュアなエンドツーエンドチャネルを提供します。

MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイクでサーバーに証明書指紋を提供するよう要求することで、詐欺師に接続していないことを確認することを可能にします。その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。

MTA-STSメールセキュリティのご紹介 

MTA-STSは、SMTP通信中のセキュリティギャップを埋めるために導入された。セキュリティ標準として、MTA-STSは暗号化されたSMTP接続を介して電子メールの安全な送信を保証する。

頭字語のMTAはMessage Transfer Agentの略で、電子メールのメッセージをコンピュータ間で転送するプログラムである。頭字語のSTSはStrict Transport Securityの略で、この標準を実装するために使用されるプロトコルである。MTA-STS対応メール転送エージェント(MTA)またはセキュアメッセージ転送エージェント(SMTA)は、この仕様に従って動作し、安全でないネットワーク上で電子メールを送信するための安全なエンドツーエンドチャネルを提供します。

MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイクでサーバーに証明書指紋を提供するよう要求することで、詐欺師に接続していないことを確認することを可能にします。その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。

強制TLS暗号化への移行の必要性

STARTTLSは完璧ではなく、2つの大きな問題に対処できなかった。1つ目は、STARTTLSがオプションの対策であるため、STARTTLSは中間者(MITM)攻撃を防ぐことができないということだ。なぜなら、MITM攻撃者は簡単に接続を変更し、暗号化の更新が行われないようにすることができるからです。STARTTLSの2つ目の問題は、たとえSTARTTLSが実装されていても、送信サーバーの身元を認証する方法がないことです。 SMTPメールサーバーは証明書を検証しないからである。

今日、ほとんどの送信電子メールは以下の方法で保護されている。 トランスポート・レイヤー・セキュリティ(TLS)暗号化は消費者向け電子メールでも採用されている業界標準ですが、攻撃者は電子メールが暗号化される前であっても妨害したり改ざんしたりすることができます。TLS暗号化を開始するSTARTTLSコマンドを追加することで、下位互換性を確保するためにSMTPにセキュリティを後付けしなければならなかったため、クライアントがTLSをサポートしていない場合、通信は平文に戻る。サイバー犯罪者は、暗号化コマンド(STARTTLS)を置き換えたり削除したりすることで、あなたのメッセージを盗聴したり、情報を改ざんしたりすることができ、通信を平文に戻すことができます。MITM攻撃者は、STARTTLSをクライアントが識別できないゴミ文字列に置き換えることができます。そのため、クライアントは容易に平文でのメール送信に戻ってしまいます。安全な接続で電子メールを送信しないと、データが漏洩したり、サイバー攻撃者によって変更・改ざんされたりする可能性があります。

ここでMTA-STSが介入し、この問題を解決します。これによりメールの安全な転送が保証され、MITM攻撃の成功も防ぎます。MTA-STSはメールをTLS暗号化経路で転送することを強制し、暗号化接続が確立できない場合、メールは平文で配信される代わりに一切配信されません。さらに、MTAはMTA-STSポリシーファイルを保存するため、攻撃者がDNSスプーフィング攻撃を仕掛けることがより困難になります。 DNSスプーフィング攻撃を仕掛けることを困難にします。主な目的は、SMTP通信中のトランスポートレベルセキュリティを向上させ、メール通信のプライバシーを確保することです。加えて、送受信メッセージの暗号化は情報セキュリティを強化し、暗号技術を用いて電子情報を保護します。

PowerDMARCでMTA-STSをセットアップする!

15日間のトライアルデモを予約する

MTA-STSはどのように機能するのですか?

MTA-STSプロトコルは、メールサーバーが特定のサブドメインからポリシーファイルをフェッチできることを指定するDNSレコードを持つことによって展開される。このポリシーファイルはHTTPS経由で取得され、受信者のメールサーバー名のリストとともに証明書で認証される。MTA-STSの実装は、メールサーバーソフトウェアによってサポートされる必要があるため、送信側に比べて受信側の方が容易である。いくつかのメールサーバーはMTA-STSをサポートしているが、例えば PostFixなど、MTA-STSをサポートしているメールサーバーもあるが、すべてではない。MTA-STSにより、サーバーはTLSをサポートしていることを示すことができ、TLSアップグレードネゴシエーションが行われなかった場合にフェイルクローズ(電子メールを送信しないこと)ができるようになり、それによってTLSダウングレード攻撃ができなくなる。

ホスト MTA STS

Microsoft、Oath、Googleなどの主要メールサービスプロバイダーはMTA-STSをサポートしています。GoogleのGmailは近年すでにMTA-STSポリシーを採用しています。MTA-STSは、サポート対象のメールサーバーにおいて接続の保護プロセスを容易かつ利用可能にすることで、電子メール接続セキュリティにおける欠点を解消しました。

ユーザーからメールサーバーへの接続は通常、TLSプロトコルで保護・暗号化されています。しかしMTA-STS導入前は、メールサーバー間の接続にセキュリティ上の脆弱性が存在していました。近年、メールセキュリティへの意識が高まり、世界中の主要メールプロバイダーの支援も受け、組織は脅威検知の自動化とメール基盤強化のため、最新のセキュリティソリューションやAIツールの導入を加速させています。したがって近い将来、サーバー接続の大半が暗号化される見込みです。 さらにMTA-STSは、ネットワーク上のサイバー犯罪者がメール内容を閲覧できないことを効果的に保証します。

MTA-STSポリシーファイル

MTA-STSポリシーファイルはプレーンテキストのMTA-STS設定ファイルであり、ドメインのウェブサーバー上のHTTPS URLでホストされる:メールサーバー間のセキュアな接続の確立、TLS暗号化の実施、およびセキュアな接続が確立できない場合に実行するアクションを指定するためのルールを定義します。 

https://mta-sts.<domain>//.well-known/mta-sts.txt

MTA-STSポリシーファイルの構造 

フィールド 説明
バージョン MTA-STSポリシーフォーマットのバージョン STS1
モード ポリシーの実施レベルは、「なし」、「テスト」、「実施」の3つのオプションから選択できます。 テスト
エムオーエス ドメインの有効なMail Exchange(MX)サーバーのリスト メールドメインドットコム
最高年齢 ポリシーが外部のメールサーバによってキャッシュされる期間を秒単位で指定します。 86400

MTA-STSポリシーの例

バージョンである。STSv1 

モード:強制 

mx: mail.example.com 

mx: backupmail.example.com 

最大年齢:86400

MTA-STS導入の前提条件

MTA-STSのセットアップを始める前に、以下のものが必要です: 

  1. 登録ドメイン名 
  2. 有効なTLS証明書
  • TLS証明書は、信頼できるCAによって発行されなければならない。
  • 証明書は最新かつ期限切れでないこと
  • 少なくともTLSバージョン1.2以上であること。 
  1. MTA-STSのDNS TXTレコード 
  2. HTTPSウェブサーバー 
  3. TLSを使用するように設定されたメールサーバー 
  4. ポリシーファイルのmxフィールドのエントリと一致するメールサーバーホスト名
  5. ログを監視し、必要に応じて調整するためのテスト環境またはホスト型MTA-STSサービス

MTA-STSを実装する前に、ドメインに堅牢なメール認証基盤が構築されていることを確認してください。これには適切に設定された SPFレコードとDKIMレコードが含まれます MTA-STSの実装を進める前に、弊社の無料SPFレコード検索ツールを使用してSPF設定を検証し、エラーがないことを確認できます。

ドメインにMTA-STSを設定する手順

ドメインにMTA-STSを設定するには、以下の手順に従ってください: 

  • ドメインに既存のMTA-STS設定があるかどうか確認してください。Google Workspaceをメールに使用している場合は、次のガイドを参考にしてください。 ガイド.
  • ドメインごとに個別に設定されたMTA-STSポリシーを作成し、公開する。MTA-STSポリシーファイルは、そのドメインが使用するMTA-STS対応メールサーバーを定義する。 
  • ポリシーファイルを作成したら、このファイルをリモートサーバーから簡単にアクセスできる公開ウェブサーバーにアップロードする必要があります。 
  • 最後に、MTA-STS DNSレコード("_mta-sts" TXTレコード)を作成して公開し、受信サーバーに、メールがTLS暗号化されていなければ認証されないこと、また、前者が真である場合にのみ受信者の受信トレイへのアクセスを許可することを指示します。

アクティブなポリシーファイルを設定すると、外部のメールサーバーは、セキュアな接続なしに電子メールへのアクセスを許可しなくなります。 

3 MTA-STS ポリシーモード:なし、テスト、実施

MTA-STSポリシーモードで使用可能な3つの値は以下の通り: 

  1. なし:このポリシーは、外部サーバーがドメインのプロトコルを無効とみなすため、MTA-STSの設定を無効にします。
  2. テスト:このポリシーでは、暗号化されていない接続で転送されたメールは拒否されません。代わりに、TLS-RPTを有効にすると、配信パスとメールの動作に関するTLSレポートを引き続き受信できます。
  3. 施行:最後に、ポリシーを強制する場合、暗号化されていないSMTP接続を介して転送された電子メールは、サーバーによって拒否されます。

MTA-STSが提供するのは、...に対する保護です。

  • ダウングレード・アタック
  • 中間者攻撃(MITM)
  • 期限切れのTLS証明書、安全なプロトコルのサポート不足、信頼できるサードパーティが発行していない証明書など、SMTPセキュリティに関する複数の問題を解決する。

TLSレポート:MTA-STSセットアップ後のメール配信ギャップのモニタリング 

TLS-RPT(TransportLayer Security Reporting)は、ドメイン所有者が電子メール通信におけるTLS暗号化の失敗に関する詳細なレポートを受け取ることを可能にするプロトコルです。TLS ReportingはMTA-STSと連携して動作します。電子メールを送信するアプリケーションが経験するTLS接続の問題を報告し、設定ミスを検出することができます。電子メールがTLSで暗号化されていない場合に発生する電子メール配信の問題の報告を可能にします。2018年9月、この規格はRFC 8460で初めて文書化された。

主な特徴は以下の通り: 

  • エラーレポート:期限切れの証明書や古いTLSバージョン、TLS暗号化の失敗など、TLSの問題によって引き起こされる配信の問題や失敗に関する詳細なレポートを提供。TLS-RPTを有効にするとすぐに、準拠したメール転送エージェントは、通信するサーバー間のメール配信の問題に関する診断レポートを指定のメールドメインに送信し始めます。レポートは通常1日1回送信され、送信者が観察したMTA-STSポリシー、トラフィック統計、メール配信の失敗や問題に関する情報を網羅し、伝えます。
  • 可視性: MTA-STS実装とメール配信状況の問題を監視するのに役立ちます。TLS-RPTはすべてのメールチャネルの可視性を強化し、配信に失敗したメッセージを含め、ドメイン内で発生しているすべての事象に関する洞察を深めます。
  • メールセキュリティの強化:失敗したTLS暗号化ネゴシエーションのエラーをトラブルシューティングすることで、MTA-STSセットアップの全体的な有効性を向上させ、サイバー攻撃をより効果的に防ぐことができます。さらに、詳細な診断レポートを提供することで、メール配信の問題の根本を特定し、遅滞なく修正することができます。

PowerDMARCによる容易なMTA-STS導入

MTA-STSには、有効な証明書を持つHTTPS対応Webサーバー、DNSレコード、および継続的なメンテナンスが必要です。MTA-STSの導入は、導入時の複雑さを伴う大変な作業となる可能性がある。ポリシーファイルやレコードの生成から、ウェブサーバやホスティング証明書のメンテナンスまで、長い時間を要する作業です。PowerDMARCの DMARCアナライザーツールは、完全にバックグラウンドで、あなたのためにそのすべてを処理することによって、あなたの人生をはるかに容易にします。一度セットアップをお手伝いすれば、もう二度と考える必要はありません。

PowerDMARCを使用することで、以下のことが可能になります。 ホスト型MTA-STSを導入することができます。私たちがお手伝いします:

  • 数回のクリックでDNSのCNAMEレコードを発行できる
  • DNS設定にアクセスすることなく、ワンクリックでポリシーの更新やレコードの最適化を行うことができます。
  • ポリシーのバージョンと証明書の検証
  • MTA-STSポリシーアプリケーションの障害を検出する 
  • MTA-STSポリシーのテキストファイルをホストする
  • ポリシーのウェブ・サーバーの保守と証明書のホスティングを担当する。
  • 簡素化されたレポートにより、接続の失敗、接続の成功、接続の問題を迅速に検出
  • RFCに確実に準拠し、最新のTLS標準をサポートする。

PowerDMARC は、SMTP TLS Reporting (TLS-RPT) の実装プロセスを簡単かつスピーディーにします。メール配信問題のレポートを含む複雑な JSON ファイルを、お客様が理解しやすいシンプルで読みやすいドキュメント(結果ごと、送信元ごと)に変換します。
サインアップ今すぐサインアップして、TLS暗号化接続でお客様のドメインにメールを送信し、MITMやその他のサイバー攻撃からお客様の接続を保護しましょう。

"`

最新記事 by Maitham Al Lawati(全て見る)
最終更新日:
フィッシング攻撃強化における口実詐欺の台頭2026年に選ぶべきAutoSPFの代替ツール4選