MailData

MTA-STSとは?正しいMTA-STSのポリシーを設定する

MTA-STSとは?正しいMTA-STSのポリシーを設定する

メール受信時の暗号化通信の強制化

2023年12月31日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 What is MTA-STS? Setup the Right MTA STS Policy の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

MTA-STSは、SMTPサーバー間の接続のセキュリティを強化することを目的とした、広く知られているインターネット標準です。
MTA-STSは、SMTPメールのセキュリティに存在する問題を解決し、転送中のTLS暗号化を強制することにより、その実現を目指しています。

MTA-STSの歴史と起源

1982年にSMTPが初めて規定された際、メール転送エージェント間の通信を保護するためのトランスポートレベルのセキュリティを提供するメカニズムは含まれていませんでした。
しかし、1999年にSMTPにSTARTTLSコマンドが追加され、これによりサーバー間のメールの暗号化がサポートされ、TLSプロトコルを使用して非セキュアな接続をセキュアなものに変換する能力が提供されました。

その場合、SMTPがサーバー間の接続を保護するためにSTARTTLSを採用したにもかかわらず、なぜMTA-STSへの移行が必要とされ、MTA-STSが何を行ったのか疑問に思うかもしれません。
このブログの次のセクションでその点について詳しく説明します!

MTA-STS(Mail Transfer Agent Strict Transport Security)とは?

MTA-STS(メール転送エージェントStrict Transport Security)とは、暗号化されたSMTP接続を介してメールの安全な送信を保証するセキュリティ標準です。
MTAとはメッセージ転送エージェントを指し、これはコンピュータ間でメールメッセージを転送するプログラムです。
STSとはStrict Transport Securityの略で、この標準を実装するために使用されるプロトコルです。

MTA-STSを認識するメール転送エージェント(MTA)またはセキュアメッセージ転送エージェント(SMTA)は、この仕様に従って動作し、保護されていないネットワーク上でメールを送信するための安全なエンドツーエンドチャネルを提供します。

MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイク中にサーバーがその証明書のフィンガープリントを提供することを要求することによって、偽装者に接続していないことを保証します。
その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。

MTA-STSメールセキュリティの導入

MTA-STSは、SMTP通信中のセキュリティのギャップを埋めるために導入されました。
セキュリティ標準として、MTA-STSは暗号化されたSMTP接続を介したメールの安全な送信を保証します。

MTAとはメッセージ転送エージェントを指し、これはコンピュータ間でメールメッセージを転送するプログラムです。
STSとはStrict Transport Securityの略で、この標準を実装するために使用されるプロトコルです。
MTA-STSを認識するメール転送エージェント(MTA)またはセキュアメッセージ転送エージェント(SMTA)は、この仕様に従って動作し、保護されていないネットワーク上でメールを送信するための安全なエンドツーエンドチャネルを提供します。

MTA-STSプロトコルは、SMTPクライアントがサーバーの身元を確認し、TLSハンドシェイク中にサーバーがその証明書のフィンガープリントを提供することを要求することによって、偽装者に接続していないことを保証します。
その後、クライアントは、既知のサーバーの証明書を含むトラストストアに対して証明書を検証します。

強制TLS暗号化への移行の必要性

STARTTLSは完璧ではなく、2つの大きな問題に対処できませんでした。

第一に、これは任意の措置であるため、STARTTLSは中間者攻撃(MITM攻撃)を防止することができません。
これは、MITM攻撃者が接続を容易に改変し、暗号化の更新を防ぐことができるからです。

第二に、STARTTLSが実装されていても、SMTPメールサーバーは証明書を検証しないため、送信サーバーの身元を認証する方法がありません。

現在、ほとんどの送信メールはTLS(Transport Layer Security)暗号化で保護されており、消費者向けメールでも業界標準として採用されていますが、攻撃者はメールが暗号化される前にそれを妨害し、改竄する可能性があります。
もしも安全な接続でメールをやりとりしたくても、データはサイバー攻撃者によって妨害されたり、改変されたりする可能性があります。

ここでMTA-STSが登場し、この問題を解決し、メールの安全な転送を保証し、MITM攻撃を成功裏に軽減します。
さらに、MTAはMTA-STSポリシーファイルを保存することで、攻撃者がDNSスプーフィング攻撃を行うことをより困難にします。

MTA-STSはどのように機能するのか?

MTA-STSプロトコルは、特定のサブドメインからポリシーファイルを取得できることを指定するDNSレコードを持って展開されます。
このポリシーファイルはHTTPS経由で取得され、証明書で認証され、受信者のメールサーバーの名前のリストとともに行われます。
MTA-STSの実装は、メールサーバーソフトウェアによってサポートされる必要があるため、送信側と比較して受信側では容易です。

PostFixのようにMTA-STSをサポートするメールサーバーもありますが、すべてがそうではありません。

Microsoft、Oath、Googleなどの主要なメールサービスプロバイダーはMTA-STSをサポートしています。
GoogleのGmailは最近、MTA-STSポリシーを採用しました。
MTA-STSは、サポートされているメールサーバーの接続を容易かつアクセス可能にすることで、メール接続のセキュリティにおける欠点を取り除きました。

ユーザーからメールサーバーへの接続は通常、TLSプロトコルで保護され暗号化されていますが、MTA-STSの実装前はメールサーバー間の接続にセキュリティの不足がありました。
近年、メールセキュリティに対する意識の高まりと世界中の主要なメールプロバイダーからのサポートにより、近い将来、サーバー接続の大部分が暗号化されることが期待されています。
さらに、MTA-STSは効果的にネットワーク上のサイバー犯罪者がメールの内容を読むことができないように保証します。

ドメインにMTA-STSを設定する手順

ドメインにMTA-STSを設定するには、以下の手順に従ってください。

  1. ドメインに既存のMTA-STS構成があるかどうかを確認します。
    Google Workspaceをメールに使用している場合、このガイドを参考に簡単に行うことができます。
  2. 各ドメインごとに別々に設定されたMTA-STSポリシーを作成し、公開します。
    MTA-STSポリシーファイルは、そのドメインが使用するMTA-STS対応メールサーバーを定義します。
  3. ポリシーファイルを作成したら、リモートサーバーから簡単にアクセスできる公開Webサーバーにこのファイルをアップロードする必要があります。
  4. 最後に、MTA-STS DNSレコード(「_mta-sts」TXTレコード)を作成し公開して、受信サーバーにあなたのメールがTLSで暗号化されるべきであり、前述の条件が真である場合のみ受信者の受信トレイにアクセスを許可するよう指示します。

アクティブなポリシーファイルがある場合、外部メールサーバーは安全な接続なしにメールへのアクセスを許可しません。

3つのMTA-STSポリシーモード: None、Testing、Enforce

MTA-STSポリシーモードには以下の3つの利用可能な値があります。

None
このポリシーはMTA-STS構成を無効化します。
外部サーバーはドメインに対してプロトコルが非アクティブであるとみなします。
Testing
このポリシーでは、暗号化されていない接続を介して転送されたメールは拒否されません。
代わりに、TLS-RPTが有効になっていると、配信経路とメールの振る舞いに関するTLSレポートを引き続き受け取ります。
Enforce
最終的に、Enforceポリシーでは、暗号化されていないSMTP接続を介して転送されたメールはサーバーによって拒否されます。

MTA-STSは以下に対する保護を提供します

期限切れのTLS証明書や、安全なプロトコルに対するサポートの欠如を含む、複数のSMTPセキュリティ問題を解決します。

PowerDMARCによる簡単なMTA-STSの展開

MTA-STSは、有効な証明書があるHTTPS対応のWebサーバー、DNSレコード、そして常にメンテナンスが必要です。
PowerDMARCのDMARCアナライザーツールは、それらすべてを完全にバックグラウンドで処理することで、あなたの生活を大幅に楽にします。
私たちが設定を手伝った後、それについて再び考える必要さえありません。

PowerDMARCの助けを借りて、公開証明書の取り扱いの煩わしさなしに、あなたの組織でホストされたMTA-STSを展開することができます。
私たちが皆さんを支援します。

  1. DNS設定にアクセスすることなく、レコードのワンクリックポリシー更新と最適化を行います。
  2. ポリシーバージョンと証明書の検証を確認します。
  3. MTA-STSポリシーの適用失敗を検出します。
  4. MTA-STSポリシーテキストファイルをホストします。
  5. 簡略化されたレポートで接続失敗、接続成功、接続問題をより迅速に検出します。

今日サインアップして、あなたのドメインへのメールがTLS暗号化接続を介して送信されるようにすぐに強制し、MITMやその他のサイバー攻撃に対して接続を安全に保ちましょう。