MTA-STS と TLS レポートについて

Gmail のセキュリティを強化するには、ご利用のドメインに対して MTA Strict Transport Security(MTA-STS)を有効にします。MTA-STS を有効にすると、ドメイン宛てに送信されたメールに対する認証チェックや暗号化が必須になり、Gmail のセキュリティ強化につながります。Transport Layer Security(TLS)レポートでは、ドメインへの外部サーバー接続に関する情報を把握できます。

Gmail はすべてのメール プロバイダと同様に、SMTP を使用してメッセージの送受信を行いますが、 SMTP だけでセキュリティを確保することはできません。多くの SMTP サーバーのセキュリティ レベルでは、悪意のある攻撃を防ぐことはできません。

たとえば、SMTP は中間者攻撃に対して脆弱です。中間者攻撃とは、2 つのサーバー間の通信が傍受され、検出されることなく変更される可能性がある攻撃です。MTA-STS を使用してメールサーバー接続のセキュリティを強化することで、こうした攻撃を防ぐことができます。

詳しくは、MTA-STS(RFC 8461)TLS レポート(RFC 8460)についてのページをご覧ください(英語)。

アカウントに DKIM、SPF、DMARC などの追加のメール認証方法を設定することをおすすめします。詳しくは、推奨されるメール認証方法についてのページをご覧ください。

MTA-STS のメール セキュリティ

送信側のサーバーが MTA-STS をサポートし、受信側のサーバーに自動適用モードの MTA-STS ポリシーが設定されている場合、メールの SMTP 接続の安全性は高まります。

メールの受信: ドメインで MTA-STS を有効にすると、外部のメールサーバーは SMTP 接続が次の両方に該当する場合にのみ、ドメインにメールを送信できます。

  • 有効な公開証明書で認証されている
  • TLS 1.2 以降で暗号化されている

MTA-STS をサポートするメールサーバーは、認証と暗号化の両方を備えた接続を介してのみ、ドメインにメールを送信します。

メールの送信: 外部サーバーに MTA-STS ポリシーが自動適用モードで設定されていて、そのサーバーにドメインから Gmail メッセージを送信する場合、MTA-STS に準拠します。

TLS レポート

TLS レポートを有効にすると、管理者はドメインに接続する外部メールサーバーに対して日次レポートをリクエストできます。レポートには、外部サーバーがドメインにメールを送信する際に検出した接続の問題に関する情報が含まれます。 レポートデータを使用して、メールサーバーのセキュリティの問題を特定して修正します。

MTA-STS と TLS レポートの設定手順

  1. ドメインの MTA-STS 設定を確認します。
  2. MTA-STS ポリシーを作成します。
  3. MTA-STS ポリシーを公開します。
  4. DNS TXT レコードを追加して MTA-STS と TLS レポートを有効にします。

使ってみる

MTA-STS と TLS レポートの詳細

MTA-STS によってメール セキュリティが強化される仕組み

SMTP のセキュリティについては取り決めがなく、インターネット標準では、SMTP はプレーン テキスト接続を許可することが求められています。SMTP を単独で使用する場合は、ベスト エフォート型のメール配信がサポートされ、メール配信や最低限のサービス品質の保証はありません。SMTP は TLS に対応していますが、多くの SMTP サーバーは TLS を使用しておらず、安全とはいえません。

SMTP サーバーに関する一般的なセキュリティの問題としては次のようなものがあります。

  • TLS 証明書の有効期限が切れている
  • 証明書がサーバー ドメイン名と一致しない
  • 証明書の発行元が、信頼できる第三者機関ではない
  • セキュアなプロトコルをサポートしていない

セキュリティが欠如しているということは、SMTP 接続が中間者攻撃やその他の悪意のある攻撃を受けるリスクがあることを意味します。ほとんどのメール プロバイダは、TLS を使用する SMTP 接続を介してメールを送信しようと試みます。しかし、TLS 接続が確立できなくてもメールは送信されます。

MTA-STS を有効にすると、次の条件に当てはまらない場合はメールを送信しないよう送信側のサーバーに通知されます。

  • 送信サーバーが MTA-STS をサポートしていること
  • 受信サーバーの MTA-STS ポリシーが自動適用モードで公開されていること。

関連情報

TLS レポートを使用する理由

TLS レポートを有効にすると、外部メールサーバーからドメインのメールサーバーとの接続に関するレポートが毎日送信されます。レポートをメールで受け取ることも、ウェブサーバーにアップロードされたレポートにアクセスすることもできます。レポートを使用して、外部サーバーがドメインにメールを送信する際に発生する可能性のある問題を把握します。

レポートには、次のようなドメインのメールサーバーの MTA-STS ステータスと接続ステータスに関する情報が含まれます。

  • 検出された MTA-STS ポリシー
  • トラフィック データ
  • 失敗した接続
  • 送信できなかったメッセージ

ドメインで MTA-STS の暗号化と認証を適用する前に、ポリシーをテストモード に設定します。日次レポートを確認して、ドメインの接続に関する問題を特定して修正します。次に、ポリシーを自動適用モード に変更します。詳しくは、MTA-STS ポリシーのモードについてのページをご覧ください。

メール プロバイダの間で TLS レポートの普及が進めば、多くのレポートを受信できるようになると考えられます。

関連情報

  • TLS レポートを有効にする手順をご覧ください。
  • TLS レポートの詳細については、RFC 8460 をご覧ください。