MTA-STSとは?正しいMTA STSポリシーの設定
読書時間 9 分
SMTP(Simple Mail Transfer Protocol)サーバー間の接続のセキュリティを向上させるインターネット標準として広く知られているのが、SMTP Mail Transfer Agent-Strict Transport Security(MTA-STS)である。MTA-STSはSMTPの既存の問題を解決する。 メールセキュリティの既存の問題を解決する。SMTPでは暗号化はオプションであるため、電子メールは平文で送信される可能性がある。MTA-STSは、メールサービスプロバイダがSMTP接続を保護するためにトランスポート・レイヤー・セキュリティ(TLS)を強制し、送信SMTPサーバが信頼できるサーバ証明書でTLSをサポートしていないMXホストへのメール配信を拒否するかどうかを指定できるようにします。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃を軽減することが実証されている。
主なポイント
- SMTPは当初セキュリティに欠け、STARTTLSによるオプションの暗号化を得たが、MITM攻撃やダウングレード攻撃に対して脆弱なままであった。
- MTA-STSは、サーバー間通信にTLS暗号化を義務付け、平文へのフォールバックを防ぐことで、電子メールのセキュリティを強化する。
- 実装には、HTTPS経由でホストされるポリシーファイルとDNSレコードが必要で、ルールと信頼できるメールサーバーを定義する。
- MTA-STSはモード(None、Testing、Enforce)で動作し、暗号化ポリシーを段階的に展開・実施できる。
- TLS-RPTはMTA-STSを補完し、TLS接続障害の診断レポートを提供することで、トラブルシューティングを支援し、配信性を向上させます。
MTA-STSの歴史と原点
1982年に初めてSMTPが仕様化されたが、メール転送エージェント間の通信を保護するためにトランスポートレベルでセキュリティを提供する仕組みは含まれていなかった。しかし、1999年にSMTPにSTARTTLSコマンドが追加され、サーバー間の電子メールの暗号化をサポートし、非セキュアな接続をTLSプロトコルを使用して暗号化されたセキュアなものに変換する機能が提供された。
その場合、SMTPがサーバー間の接続を保護するためにSTARTTLSを採用したのか、なぜMTA-STSへの移行が必要だったのか、そしてMTA-STSが何をするのかが気になるはずです。このブログの以下のセクションで、そのことに飛び込んでみましょう!
PowerDMARCでセキュリティを簡素化!
MTA-STSとは?(Mail Transfer Agent Strict Transport Security - Explained) の略。
MTA-STSは、Mail Transfer Agent - Strict Transport Securityの略です。これは、暗号化されたSMTP接続を介して電子メールの安全な送信を保証するセキュリティ規格です。MTAはMessage Transfer Agentの略で、コンピュータ間で電子メールメッセージを転送するプログラムです。頭字語のSTSは、Strict Transport Securityの略で、この規格を実装するために使用されるプロトコルです。MTA-STS対応メール転送エージェント(MTA)またはセキュアメッセージ転送エージェント(SMTA)は、この仕様に従って動作し、保護されていないネットワーク上で電子メールを送信するためのセキュアなエンドツーエンドチャネルを提供します。
MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイクでサーバーに証明書指紋を提供するよう要求することで、詐欺師に接続していないことを確認することを可能にします。その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。
MTA-STSメールセキュリティのご紹介
MTA-STSは、SMTP通信中のセキュリティギャップを埋めるために導入された。セキュリティ標準として、MTA-STSは暗号化されたSMTP接続を介して電子メールの安全な送信を保証する。
頭字語のMTAはMessage Transfer Agentの略で、電子メールのメッセージをコンピュータ間で転送するプログラムである。頭字語のSTSはStrict Transport Securityの略で、この標準を実装するために使用されるプロトコルである。MTA-STS対応メール転送エージェント(MTA)またはセキュアメッセージ転送エージェント(SMTA)は、この仕様に従って動作し、安全でないネットワーク上で電子メールを送信するための安全なエンドツーエンドチャネルを提供します。
MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイクでサーバーに証明書指紋を提供するよう要求することで、詐欺師に接続していないことを確認することを可能にします。その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。
強制TLS暗号化への移行の必要性
STARTTLSは完璧ではなく、2つの大きな問題に対処できなかった。1つ目は、STARTTLSがオプションの対策であるため、STARTTLSは中間者(MITM)攻撃を防ぐことができないということだ。なぜなら、MITM攻撃者は簡単に接続を変更し、暗号化の更新が行われないようにすることができるからです。STARTTLSの2つ目の問題は、たとえSTARTTLSが実装されていても、送信サーバーの身元を認証する方法がないことです。 SMTPメールサーバーは証明書を検証しないからである。
今日、ほとんどの送信電子メールは以下の方法で保護されている。 トランスポート・レイヤー・セキュリティ(TLS)暗号化は消費者向け電子メールでも採用されている業界標準ですが、攻撃者は電子メールが暗号化される前であっても妨害したり改ざんしたりすることができます。TLS暗号化を開始するSTARTTLSコマンドを追加することで、下位互換性を確保するためにSMTPにセキュリティを後付けしなければならなかったため、クライアントがTLSをサポートしていない場合、通信は平文に戻る。サイバー犯罪者は、暗号化コマンド(STARTTLS)を置き換えたり削除したりすることで、あなたのメッセージを盗聴したり、情報を改ざんしたりすることができ、通信を平文に戻すことができます。MITM攻撃者は、STARTTLSをクライアントが識別できないゴミ文字列に置き換えることができます。そのため、クライアントは容易に平文でのメール送信に戻ってしまいます。安全な接続で電子メールを送信しないと、データが漏洩したり、サイバー攻撃者によって変更・改ざんされたりする可能性があります。
そこでMTA-STSがこの問題を解決し、電子メールの安全な転送を保証するとともに、MITM攻撃を軽減することに成功しました。MTA-STSは、電子メールがTLS暗号化経路で転送されることを強制し、暗号化接続が確立できない場合、電子メールは平文で配信される代わりに、まったく配信されません。さらに、MTAはMTA-STSポリシーファイルを保存するため、攻撃者が DNSスプーフィング攻撃.主な目標は、SMTP通信中のトランスポートレベルのセキュリティを向上させ、電子メールトラフィックのプライバシーを確保することである。さらに、インバウンドおよびアウトバウンドメッセージの暗号化により、電子情報を保護するために暗号を使用して情報セキュリティを強化する。
PowerDMARCでMTA-STSをセットアップする!
MTA-STSはどのように機能するのですか?
MTA-STSプロトコルは、メールサーバーが特定のサブドメインからポリシーファイルをフェッチできることを指定するDNSレコードを持つことによって展開される。このポリシーファイルはHTTPS経由で取得され、受信者のメールサーバー名のリストとともに証明書で認証される。MTA-STSの実装は、メールサーバーソフトウェアによってサポートされる必要があるため、送信側に比べて受信側の方が容易である。いくつかのメールサーバーはMTA-STSをサポートしているが、例えば PostFixなど、MTA-STSをサポートしているメールサーバーもあるが、すべてではない。MTA-STSにより、サーバーはTLSをサポートしていることを示すことができ、TLSアップグレードネゴシエーションが行われなかった場合にフェイルクローズ(電子メールを送信しないこと)ができるようになり、それによってTLSダウングレード攻撃ができなくなる。
Microsoft、Oath、Googleなどの主要なメールサービスプロバイダーは、MTA-STSをサポートしています。GoogleのGmailは、最近ではすでにMTA-STSのポリシーを採用しています。MTA-STSは、サポートされているメールサーバにおいて、接続を確保するプロセスを容易にし、アクセスしやすくすることで、メール接続セキュリティの欠点を解消しました。
ユーザーからメールサーバーへの接続は通常、TLSプロトコルで保護され暗号化されているが、それにもかかわらず、MTA-STSが実装される以前は、メールサーバー間の接続にセキュリティの欠如が存在していた。最近の電子メールセキュリティに対する意識の高まりと、世界中の主要なメールプロバイダーからのサポートにより、近い将来、サーバー接続の大半が暗号化されると予想される。さらに、MTA-STSは、ネットワーク上のサイバー犯罪者が電子メールのコンテンツを読むことができないように、効果的に保証します。
MTA-STSポリシーファイル
MTA-STSポリシーファイルはプレーンテキストのMTA-STS設定ファイルであり、ドメインのウェブサーバー上のHTTPS URLでホストされる:メールサーバー間のセキュアな接続の確立、TLS暗号化の実施、およびセキュアな接続が確立できない場合に実行するアクションを指定するためのルールを定義します。
https://mta-sts.<domain>//.well-known/mta-sts.txt
MTA-STSポリシーファイルの構造
| フィールド | 説明 | 例 |
| バージョン | MTA-STSポリシーフォーマットのバージョン | STS1 |
| モード | ポリシーの実施レベルは、「なし」、「テスト」、「実施」の3つのオプションから選択できます。 | テスト |
| エムオーエス | ドメインの有効なMail Exchange(MX)サーバーのリスト | メールドメインドットコム |
| 最高年齢 | ポリシーが外部のメールサーバによってキャッシュされる期間を秒単位で指定します。 | 86400 |
MTA-STSポリシーの例
バージョンである。STSv1
モード:強制
mx: mail.example.com
mx: backupmail.example.com
最大年齢:86400
MTA-STS導入の前提条件
MTA-STSのセットアップを始める前に、以下のものが必要です:
- 登録ドメイン名
- 有効なTLS証明書
- TLS証明書は、信頼できるCAによって発行されなければならない。
- 証明書は最新かつ期限切れでないこと
- 少なくともTLSバージョン1.2以上であること。
- MTA-STSのDNS TXTレコード
- HTTPSウェブサーバー
- TLSを使用するように設定されたメールサーバー
- ポリシーファイルのmxフィールドのエントリと一致するメールサーバーホスト名
- ログを監視し、必要に応じて調整するためのテスト環境またはホスト型MTA-STSサービス
ドメインにMTA-STSを設定する手順
ドメインにMTA-STSを設定するには、以下の手順に従ってください:
- ドメインに既存のMTA-STS設定があるかどうか確認してください。Google Workspaceをメールに使用している場合は、次のガイドを参考にしてください。 ガイド.
- ドメインごとに個別に設定されたMTA-STSポリシーを作成し、公開する。MTA-STSポリシーファイルは、そのドメインが使用するMTA-STS対応メールサーバーを定義する。
- ポリシーファイルを作成したら、このファイルをリモートサーバーから簡単にアクセスできる公開ウェブサーバーにアップロードする必要があります。
- 最後に、MTA-STS DNSレコード("_mta-sts" TXTレコード)を作成して公開し、受信サーバーに、メールがTLS暗号化されていなければ認証されないこと、また、前者が真である場合にのみ受信者の受信トレイへのアクセスを許可することを指示します。
アクティブなポリシーファイルを設定すると、外部のメールサーバーは、セキュアな接続なしに電子メールへのアクセスを許可しなくなります。
3 MTA-STS ポリシーモード:なし、テスト、実施
MTA-STSポリシーモードで使用可能な3つの値は以下の通り:
- なし:このポリシーは、外部サーバーがドメインのプロトコルを無効とみなすため、MTA-STSの設定を無効にします。
- テスト:このポリシーでは、暗号化されていない接続で転送されたメールは拒否されません。代わりに、TLS-RPTを有効にすると、配信パスとメールの動作に関するTLSレポートを引き続き受信できます。
- 施行:最後に、ポリシーを強制する場合、暗号化されていないSMTP接続を介して転送された電子メールは、サーバーによって拒否されます。
MTA-STSが提供するのは、...に対する保護です。
- ダウングレード・アタック
- 中間者攻撃(MITM)
- 期限切れのTLS証明書、安全なプロトコルのサポート不足、信頼できるサードパーティが発行していない証明書など、SMTPセキュリティに関する複数の問題を解決する。
TLSレポート:MTA-STSセットアップ後のメール配信ギャップのモニタリング
TLS-RPT(TransportLayer Security Reporting)は、ドメイン所有者が電子メール通信におけるTLS暗号化の失敗に関する詳細なレポートを受け取ることを可能にするプロトコルです。TLS ReportingはMTA-STSと連携して動作します。電子メールを送信するアプリケーションが経験するTLS接続の問題を報告し、設定ミスを検出することができます。電子メールがTLSで暗号化されていない場合に発生する電子メール配信の問題の報告を可能にします。2018年9月、この規格はRFC 8460で初めて文書化された。
主な特徴は以下の通り:
- エラーレポート:期限切れの証明書や古いTLSバージョン、TLS暗号化の失敗など、TLSの問題によって引き起こされる配信の問題や失敗に関する詳細なレポートを提供。TLS-RPTを有効にするとすぐに、準拠したメール転送エージェントは、通信するサーバー間のメール配信の問題に関する診断レポートを指定のメールドメインに送信し始めます。レポートは通常1日1回送信され、送信者が観察したMTA-STSポリシー、トラフィック統計、メール配信の失敗や問題に関する情報を網羅し、伝えます。
- 可視性:MTA-STSの実装とメール配信の問題を監視するのに役立ちます。TLS-RPTは、すべてのメールチャネルの可視性を向上させ、配信に失敗したメッセージを含め、お客様のドメインで起こっているすべてのことをよりよく把握できるようにします。
- メールセキュリティの強化:失敗したTLS暗号化ネゴシエーションのエラーをトラブルシューティングすることで、MTA-STSセットアップの全体的な有効性を向上させ、サイバー攻撃をより効果的に防ぐことができます。さらに、詳細な診断レポートを提供することで、メール配信の問題の根本を特定し、遅滞なく修正することができます。
PowerDMARCによる容易なMTA-STS導入
MTA-STSには、有効な証明書を持つHTTPS対応Webサーバー、DNSレコード、および継続的なメンテナンスが必要です。MTA-STSの導入は、導入時の複雑さを伴う大変な作業となる可能性がある。ポリシーファイルやレコードの生成から、ウェブサーバやホスティング証明書のメンテナンスまで、長い時間を要する作業です。PowerDMARCの DMARCアナライザーツールは、完全にバックグラウンドで、あなたのためにそのすべてを処理することによって、あなたの人生をはるかに容易にします。一度セットアップをお手伝いすれば、もう二度と考える必要はありません。
PowerDMARCを使用することで、以下のことが可能になります。 ホスト型MTA-STSを導入することができます。私たちがお手伝いします:
- 数回のクリックでDNSのCNAMEレコードを発行できる
- DNS設定にアクセスすることなく、ワンクリックでポリシーの更新やレコードの最適化を行うことができます。
- ポリシーのバージョンと証明書の検証
- MTA-STSポリシーアプリケーションの障害を検出する
- MTA-STSポリシーのテキストファイルをホストする
- ポリシーのウェブ・サーバーの保守と証明書のホスティングを担当する。
- 簡素化されたレポートにより、接続の失敗、接続の成功、接続の問題を迅速に検出
- RFCに確実に準拠し、最新のTLS標準をサポートする。
PowerDMARC は、SMTP TLS Reporting (TLS-RPT) の実装プロセスを簡単かつスピーディーにします。メール配信問題のレポートを含む複雑な JSON ファイルを、お客様が理解しやすいシンプルで読みやすいドキュメント(結果ごと、送信元ごと)に変換します。
サインアップ今すぐサインアップして、TLS暗号化接続でお客様のドメインにメールを送信し、MITMやその他のサイバー攻撃からお客様の接続を保護しましょう。
"`
サイバーセキュリティ専門家PowerDMARC
メイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。
最新記事 by Maitham Al Lawati(全て見る)
- DMARCレコードの作成と公開方法- 2025年3月3日
- 2025年に「SPFレコードが見つかりません」を修正する方法- 2025年1月21日
- DMARCレポートの見方- 2025年1月19日
