重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む
PowerDMARC

MTA-STSとは?正しいMTA STSポリシーの設定

マイサム・アル・ラワティ
MTA STSブログ

MTA STSブログ

読書時間 5

SMTP(Simple Mail Transfer Protocol)サーバー間の接続のセキュリティを向上させるインターネット標準として広く知られているのが、SMTP Mail Transfer Agent-Strict Transport Security(MTA-STS)である。MTA-STSはSMTPの既存の問題を解決する。 メールセキュリティの既存の問題を解決する。

MTA-STSの歴史と原点 

1982年に初めてSMTPが仕様化されたが、メール転送エージェント間の通信を保護するためにトランスポートレベルでセキュリティを提供する仕組みは含まれていなかった。しかし、1999年にSMTPにSTARTTLSコマンドが追加され、サーバー間の電子メールの暗号化をサポートし、非セキュアな接続をTLSプロトコルを使用して暗号化されたセキュアなものに変換する機能が提供された。

その場合、SMTPがサーバー間の接続を保護するためにSTARTTLSを採用したのか、なぜMTA-STSへの移行が必要だったのか、そしてMTA-STSが何をするのかが気になるはずです。このブログの以下のセクションで、そのことに飛び込んでみましょう!

MTA-STSとは?(Mail Transfer Agent Strict Transport Security - Explained) の略。

MTA-STSは、暗号化されたSMTP接続で電子メールを安全に送信するためのセキュリティ規格である。MTAはMessage Transfer Agentの略で、コンピュータ間で電子メールのメッセージを転送するプログラムです。STSはStrict Transport Securityの略で、この規格を実装するために使用されるプロトコルです。MTA-STS 対応のメール転送エージェント (MTA) またはセキュアメッセージ転送エージェント (SMTA) は、この仕様に従って動作し、安全でないネットワーク上で電子メールを送信するための安全なエンドツーエンドチャンネルを提供します。

MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイクでサーバーに証明書指紋を提供するよう要求することで、詐欺師に接続していないことを確認することを可能にします。その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。

MTA-STSメールセキュリティのご紹介 

MTA-STSは、SMTP通信中のセキュリティギャップを埋めるために導入された。セキュリティ標準として、MTA-STSは暗号化されたSMTP接続を介して電子メールの安全な送信を保証する。

頭字語のMTAはMessage Transfer Agentの略で、電子メールのメッセージをコンピュータ間で転送するプログラムである。頭字語のSTSはStrict Transport Securityの略で、この標準を実装するために使用されるプロトコルである。MTA-STS対応メール転送エージェント(MTA)またはセキュアメッセージ転送エージェント(SMTA)は、この仕様に従って動作し、安全でないネットワーク上で電子メールを送信するための安全なエンドツーエンドチャネルを提供します。

MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイクでサーバーに証明書指紋を提供するよう要求することで、詐欺師に接続していないことを確認することを可能にします。その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。

強制TLS暗号化への移行の必要性

STARTTLSは完璧ではなく、2つの大きな問題に対処できなかった。1つ目は、STARTTLSがオプションの対策であるため、STARTTLSは中間者攻撃(MITM)を防ぐことができないということだ。なぜなら、MITM攻撃者は簡単に接続を変更し、暗号化の更新が行われないようにすることができるからです。STARTTLSの2つ目の問題は、たとえSTARTTLSが実装されていても、送信サーバーの身元を認証する方法がないことです。 SMTPメールサーバーは証明書を検証しないからである。

今日、ほとんどの送信電子メールは以下の方法で保護されている。 トランスポート・レイヤー・セキュリティ(TLS)暗号化は消費者向け電子メールでも採用されている業界標準ですが、攻撃者は電子メールが暗号化される前であっても、あなたの電子メールを妨害したり、改ざんしたりすることができます。安全な接続で電子メールを転送するために電子メールを送信した場合、サイバー攻撃者によってデータが危険にさらされたり、修正・改ざんされたりする可能性があります。

そこでMTA-STSがこの問題を解決し、電子メールの安全な転送を保証するとともに、MITM攻撃を軽減することに成功しました。さらに、MTAはMTA-STSポリシーファイルを保存することで、攻撃者による DNSスプーフィング攻撃.

MTA-STSはどのように機能するのですか?

MTA-STSプロトコルは、メールサーバーが特定のサブドメインからポリシーファイルをフェッチできることを指定するDNSレコードを持つことによって展開される。このポリシーファイルはHTTPS経由で取得され、受信者のメールサーバー名のリストとともに証明書で認証される。MTA-STSの実装は、メールサーバーソフトウェアによってサポートされる必要があるため、送信側に比べて受信側の方が容易である。いくつかのメールサーバーはMTA-STSをサポートしているが、例えば PostFixなど、MTA-STSをサポートしているメールサーバーもありますが、すべてではありません。

Microsoft、Oath、Googleなどの主要なメールサービスプロバイダーは、MTA-STSをサポートしています。GoogleのGmailは、最近ではすでにMTA-STSのポリシーを採用しています。MTA-STSは、サポートされているメールサーバにおいて、接続を確保するプロセスを容易にし、アクセスしやすくすることで、メール接続セキュリティの欠点を解消しました。

ユーザーからメールサーバーへの接続は通常、TLSプロトコルで保護され暗号化されているが、それにもかかわらず、MTA-STSが実装される以前は、メールサーバー間の接続にセキュリティの欠如が存在していた。最近の電子メールセキュリティに対する意識の高まりと、世界中の主要なメールプロバイダーからのサポートにより、近い将来、サーバー接続の大半が暗号化されると予想される。さらに、MTA-STSは、ネットワーク上のサイバー犯罪者が電子メールのコンテンツを読むことができないように、効果的に保証します。

ドメインにMTA-STSを設定する手順

ドメインにMTA-STSを設定するには、以下の手順に従ってください: 

アクティブなポリシーファイルを設定すると、外部のメールサーバーは、セキュアな接続なしに電子メールへのアクセスを許可しなくなります。 

3 MTA-STS ポリシーモード:なし、テスト、実施

MTA-STSポリシーモードで使用可能な3つの値は以下の通り: 

  1. なし:このポリシーは、外部サーバーがドメインのプロトコルを無効とみなすため、MTA-STSの設定を無効にします。
  2. テスト:このポリシーでは、暗号化されていない接続で転送されたメールは拒否されません。代わりに、TLS-RPTを有効にすると、配信パスとメールの動作に関するTLSレポートを引き続き受信できます。
  3. 施行:最後に、ポリシーを強制する場合、暗号化されていないSMTP接続を介して転送された電子メールは、サーバーによって拒否されます。

MTA-STSが提供するのは、...に対する保護です。

PowerDMARCによる容易なMTA-STS導入

MTA-STSは、有効な証明書、DNSレコード、および常時メンテナンスを備えたHTTPS対応ウェブサーバーを必要とする。PowerDMARCの DMARCアナライザーツールは、完全にバックグラウンドでそのすべてを処理することにより、あなたの生活をより簡単にします。一度セットアップをお手伝いすれば、もう二度と考える必要はありません。

PowerDMARCを使用することで、以下のことが可能になります。 ホスト型MTA-STSを導入することができます。私たちがお手伝いします:

サインアップ今すぐサインアップして、TLS暗号化接続でお客様のドメインにメールを送信し、MITMやその他のサイバー攻撃からお客様の接続を保護しましょう。

最新記事 by Maitham Al Lawati(全て見る)
モバイル版を終了する