MTA-STSとは何か、なぜ必要なのか?メール転送エージェント ストリクト・トランスポート・セキュリティ

SMTP(Simple Mail Transfer Protocol)サーバー間の接続のセキュリティを向上させることで容易にするインターネット標準として、SMTP Mail Transfer Agent-Strict Transport Security(MTA-STS)が広く知られている。MTA-STSは、転送中のTLS暗号化を強制することで、SMTP電子メールセキュリティの既存の問題を解決する。

MTA-STSの歴史と原点

1982年に初めてSMTPが仕様化されたが、メール転送エージェント間の通信を保護するためにトランスポートレベルでセキュリティを提供する仕組みは含まれていなかった。しかし、1999年にSMTPにSTARTTLSコマンドが追加され、サーバー間の電子メールの暗号化をサポートし、非セキュアな接続をTLSプロトコルを使用して暗号化されたセキュアなものに変換する機能が提供された。

その際、SMTPがサーバー間の接続を保護するためにSTARTTLSを採用したのなら、なぜMTA-STSへの移行が必要だったのか、そしてMTA-STSは何をするものなのかが気になるはずです。このブログの次のセクションで、そのことに飛び込んでみましょう。

MTA-STSとは?(Mail Transfer Agent Strict Transport Security - Explained) の略。

MTA-STSは、暗号化されたSMTP接続で電子メールを安全に送信するためのセキュリティ規格である。MTAはMessage Transfer Agentの略で、コンピュータ間で電子メールのメッセージを転送するプログラムです。STSはStrict Transport Securityの略で、この規格を実装するために使用されるプロトコルです。MTA-STS 対応のメール転送エージェント (MTA) またはセキュアメッセージ転送エージェント (SMTA) は、この仕様に従って動作し、安全でないネットワーク上で電子メールを送信するための安全なエンドツーエンドチャンネルを提供します。

MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイクでサーバーに証明書指紋を提供するよう要求することで、詐欺師に接続していないことを確認することを可能にします。その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。

MTA-STSへの移行の必要性

STARTTLSは完璧ではなく、2つの大きな問題に対処できませんでした。1つ目は、オプションの対策であるため、STARTTLSはMITM(man-in-the-middle)攻撃を防ぐことができません。これは、MITM攻撃者が簡単に接続を変更して、暗号化の更新が行われないようにすることができるからです。2つ目の問題点は、STARTTLSが実装されていたとしても、SMTPメールサーバーは証明書を検証しないため、送信サーバーのアイデンティティを認証する方法がないことです。

今日、ほとんどの送信メールは、消費者向けメールでも採用されている業界標準のTLS(Transport Layer Security)暗号化で保護されていますが、攻撃者はメールが暗号化される前でも妨害や改ざんを行うことができます。安全な接続でメールを転送するためにメールをしていると、データが漏洩したり、サイバー攻撃者によって変更・改ざんされる可能性もあります。ここでMTA-STSが登場し、この問題を解決して、電子メールの安全な転送を保証するとともに、MITM攻撃をうまく緩和します。さらに、MTAはMTA-STSポリシーファイルを保存し、攻撃者がDNSスプーフィング攻撃を仕掛けることをより困難にしています。

MTA-STSが提供するのは、...に対する保護です。

  • ダウングレード・アタック
  • MITM(Man-In-The-Middle)攻撃
  • 期限切れのTLS証明書やセキュアなプロトコルのサポート不足など、複数のSMTPセキュリティ問題を解決します。

MTA-STSはどのように機能するのですか?

MTA-STSプロトコルは、メールサーバーが特定のサブドメインからポリシーファイルをフェッチできることを指定するDNSレコードを持つことによって展開される。このポリシーファイルはHTTPS経由で取得され、受信者のメールサーバーの名前のリストとともに証明書で認証される。MTA-STSの実装は、メールサーバーソフトウェアでサポートされる必要があるため、送信側と比較して受信側で容易です。メールサーバーの中にはPostFixのようにMTA-STSをサポートしているものもあるが、すべてがそうではない。

ホスト MTA STS

Microsoft、Oath、Googleなどの主要なメールサービスプロバイダーは、MTA-STSをサポートしています。GoogleのGmailは、最近ではすでにMTA-STSのポリシーを採用しています。MTA-STSは、サポートされているメールサーバにおいて、接続を確保するプロセスを容易にし、アクセスしやすくすることで、メール接続セキュリティの欠点を解消しました。

ユーザーからメールサーバーへの接続は、通常、TLSプロトコルで保護・暗号化されていますが、MTA-STSが導入される以前は、メールサーバー間の接続にはセキュリティが欠けていました。昨今のメールセキュリティに対する意識の高まりや、世界中の主要なメールプロバイダーのサポートにより、近い将来、サーバー接続の大半が暗号化されると予想されています。さらに、MTA-STSは、ネットワーク上のサイバー犯罪者が電子メールの内容を読み取ることができないことを効果的に保証します。

PowerDMARCによるホスト型MTA-STSサービスの容易でスピーディな展開

MTA-STS には、有効な証明書を持つ HTTPS 対応の Web サーバー、DNS レコード、および継続的なメンテナンスが必要です。PowerDMARC のDMARC アナライザーツールは、これらすべてを完全にバックグラウンドで処理し、お客様の生活をより快適なものにしてくれます。一度セットアップをお手伝いすれば、もうそれについて考える必要はありません。

PowerDMARCを使えば、手間をかけずにスピーディにホスト型MTA-STSを組織に導入することができます。これにより、TLS暗号化された接続でドメインにメールを送信するように強制することができ、接続を安全にしてMITM攻撃を防ぐことができます。