SMTP(Simple Mail Transfer Protocol)サーバー間の接続のセキュリティを向上させるインターネット標準として、SMTP Mail Transfer Agent-Strict Transport Security(MTA-STS)が広く知られています。
1982年に初めて規格化されたSMTPには、メール転送エージェント間の通信を保護するトランスポートレベルのセキュリティを提供する仕組みはありませんでした。しかし、1999年にSMTPにSTARTTLSコマンドが追加され、サーバー間の電子メールの暗号化をサポートするようになり、非セキュアな接続をTLSプロトコルで暗号化されたセキュアな接続に変換する機能が提供されました。
では、SMTPがSTARTTLSを採用してサーバー間の安全な接続を実現したのなら、なぜMTA-STSへの移行が必要だったのか、気になりますよね。という疑問をお持ちの方もいらっしゃると思いますが、それは次のセクションでご紹介します。
MTA-STSへの移行の必要性
STARTTLSは完璧ではなく、2つの大きな問題に対処できませんでした。1つ目は、オプションの対策であるため、STARTTLSはMITM(man-in-the-middle)攻撃を防ぐことができません。これは、MITM攻撃者が簡単に接続を変更して、暗号化の更新が行われないようにすることができるからです。2つ目の問題点は、STARTTLSが実装されていたとしても、SMTPメールサーバーは証明書を検証しないため、送信サーバーのアイデンティティを認証する方法がないことです。
現在、ほとんどの送信メールは、消費者向けメールでも採用されている業界標準のTLS(Transport Layer Security)暗号化で保護されていますが、攻撃者は、メールが暗号化される前であっても、メールを妨害したり改ざんしたりすることができます。メールを安全な回線で転送した場合、サイバー攻撃者によってデータが漏洩したり、修正・改ざんされたりする可能性があります。ここでMTA-STSが登場してこの問題を解決し、メールの安全な転送を保証するとともに、MITM攻撃をうまく軽減します。さらに、MTAがMTA-STSのポリシーファイルを保存することで、攻撃者がDNSスプーフィング攻撃を行うことがより困難になります。
MTA-STSが提供するのは、...に対する保護です。
- ダウングレード・アタック
- MITM(Man-In-The-Middle)攻撃
- 期限切れのTLS証明書やセキュアなプロトコルのサポート不足など、複数のSMTPセキュリティ問題を解決します。
MTA-STSはどのように機能するのですか?
MTA-STSプロトコルは、メールサーバが特定のサブドメインからポリシーファイルを取得できることを指定するDNSレコードを持つことで展開されます。このポリシーファイルは、受信者のメールサーバの名前のリストとともに、HTTPS経由で取得され、証明書で認証されます。MTA-STSの実装は、メールサーバのソフトウェアでサポートされている必要があるため、送信側に比べて受信側で容易に行うことができます。PostFixなど一部のメールサーバはMTA-STSをサポートしていますが、すべてのメールサーバがサポートしているわけではありません。
Microsoft、Oath、Googleなどの主要なメールサービスプロバイダーは、MTA-STSをサポートしています。GoogleのGmailは、最近ではすでにMTA-STSのポリシーを採用しています。MTA-STSは、サポートされているメールサーバにおいて、接続を確保するプロセスを容易にし、アクセスしやすくすることで、メール接続セキュリティの欠点を解消しました。
ユーザーからメールサーバーへの接続は、通常、TLSプロトコルで保護・暗号化されていますが、MTA-STSが導入される以前は、メールサーバー間の接続にはセキュリティが欠けていました。昨今のメールセキュリティに対する意識の高まりや、世界中の主要なメールプロバイダーのサポートにより、近い将来、サーバー接続の大半が暗号化されると予想されています。さらに、MTA-STSは、ネットワーク上のサイバー犯罪者が電子メールの内容を読み取ることができないことを効果的に保証します。
PowerDMARCによるホスト型MTA-STSサービスの容易でスピーディな展開
MTA-STSには、有効な証明書を持つHTTPS対応のウェブサーバー、DNSレコード、および常時メンテナンスが必要です。PowerDMARCは、これらすべてをバックグラウンドで処理することにより、お客様の生活をより快適にします。PowerDMARCは、お客様に代わってこれらすべてをバックグラウンドで処理します。
PowerDMARCを使えば、手間をかけずにスピーディにホスト型MTA-STSを組織に導入することができます。これにより、TLS暗号化された接続でドメインにメールを送信するように強制することができ、接続を安全にしてMITM攻撃を防ぐことができます。
- メール送信者向けDMARC Reply-Toの実装について- 2022年8月9日
- DMARCによる電子メールのデータ損失防止- 2022年8月8日
- DMARC サブドメイン委任- 2022年8月5日