主要なMTA-STSプロバイダーの比較とメール暗号化強制の仕組み

メール保護に最適なMTA-STSプロバイダーの選定

MTA-STS導入でメール配信の暗号化と安全性を強化する


著者: Milena Baghdasaryan
翻訳: 古川 綾乃

この記事はPowerDMARCのブログ記事 Best MTA-STS Providers to Secure Your Emailsの翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

MTA-STS(Mail Transfer Agent Strict Transport Security)は、TLSを使用してメールサーバー間の暗号化通信を強制するセキュリティプロトコルです。
これにより、お客様のドメイン宛てのメールは、安全な経路でのみ配信されるようになります。
暗号化通信を確立できない場合、そのメールは配信されなくなります。

MTA-STSは2019年にGoogleによって提唱されました。
それ以来、特にダウングレード攻撃やSMTP通信の盗聴を懸念する組織にとって、重要なメールセキュリティ対策の一つとなっています。

現在、多くのMTA-STSポリシーは外部のサービス事業者によって運用されています。
では、どの事業者を選べばよいのでしょうか。
以下では、お客様のドメインを保護するために、信頼性の高い運用基盤や自動化機能、レポート機能を提供する代表的なMTA-STSプロバイダーをご紹介します。

主なポイント

  1. MTA-STSは、受信メールの配信においてTLS暗号化を強制します。
  2. 中間者攻撃(MITM攻撃)を防ぎ、SMTPにおけるセキュリティ上の課題に対応します。また、転送中の暗号化を必須とします。
  3. 技術的なハードルが高いため、MTA-STSの導入率は依然として高くありません。しかし、ホスト型MTA-STSサービスを利用することで、これらの課題を解消できます。
  4. 代表的なMTA-STSプロバイダーとしては、PowerDMARC、URIports、Mailhardener、OnDMARCなどがあります。
  5. どの事業者を選ぶべきかは、予算、機能の充実度、操作性などの要素によって異なります。

なぜ企業にMTA-STSが必要なのでしょうか。

MTA-STSは、TLSによる暗号化通信をSMTP配信において強制し、ダウングレード攻撃を防止します。
このプロトコルには、主に以下のような利点があります。

ポリシーに基づくTLS接続の強制
MTA-STSは、有効なTLS接続の使用を強制することで、SMTPダウングレード攻撃やDNSなりすましといった中間者攻撃(MITM攻撃)から保護します。
SMTP通信の安全性を高める
MTA-STSは、TLS暗号化をサポートするサーバーにのみメールが配信されることを保証することで、SMTPにおける既知の脆弱性のリスクを軽減します。
受信側サーバーが暗号化をサポートしていない場合や無効な証明書を提示した場合、メッセージは配信されません。
これにより、暗号化されていない通信への切り替え(フォールバック)を防止できます。
メールの安全な転送
MTA-STSは、メールがTLSを介して安全に送信されることを保証し、転送中のメッセージデータの傍受や改竄を防ぎます。
これにより、SMTP配信中の不正アクセスのリスクが低減されます。
ただし、MTA-STSはエンドツーエンド暗号化を提供するものではありません。
SMTP通信でTLS暗号化を必須にする仕組み
送信側および受信側のドメインの双方がMTA-STSをサポートしている場合、SMTP送信時の暗号化通信が必須となります。
これにより、メッセージが平文やダウングレードされた接続で送信されることを防止します。
ただし、MTA-STSは転送中のメールのみを保護する仕組みであり、配信後や保存時のメールまでは保護しない点には注意が必要です。

主要なMTA-STSプロバイダー

以下に、代表的なMTA-STSプロバイダーと、それぞれの主な特長をご紹介します。

1. PowerDMARC

PowerDMARC

PowerDMARCは、導入しやすく使いやすい設計と、視覚的にわかりやすいTLSレポートを提供する主要なMTA-STSプロバイダーの一つです。
PowerDMARCのホスト型MTA-STS機能を利用すれば、MTA-STSの設定を自動化し、ポリシーファイルを管理し、ポータル上から直接ドメインのTLS-RPTを有効化できます。
これにより手動作業を削減でき、設定ミスのリスクを抑えられるほか、高度な専門知識がなくても導入可能です。

利点

2. URIports

URIports

URIportsは、ポリシー生成を自動化し、一般的なMTA-STS設定の問題を回避できるホスト型MTA-STSサービスを提供しています。
URIportsのホスト型MTA-STSは、複数のサブスクリプションプランで追加料金なしに利用できます。
また、HTTPS証明書の管理を行いながら、DNS設定のミス防止を支援します。

利点

3. Mailhardener

Mailhardener

Mailhardenerは、ポリシーホスティング、証明書管理、自動更新機能を含むホスト型MTA-STSサービスを提供しています。
ポリシー変更が発生した場合には、ID値が自動的に更新されます。
ユーザーは、DNSレコードを手動で編集したり専門的なツールを使用したりすることなく、MailhardenerのダッシュボードからMTA-STSポリシーを設定・変更できます。

利点

4. OnDMARC

OnDMARC

Red Sift OnDMARCのMTA-STS機能は、ポリシーファイルをホストし、SSL証明書の更新を管理します。
また、詳細なTLSレポートを通じてポリシー違反を検出し、不審な活動を早期に特定するのに役立ちます。
ドメインの成功・失敗の理由(例:証明書の未設定や有効期限切れ)に関する詳細かつ粒度の高い情報と洞察を提供します。

利点

MTA-STSレコード検証を提供するプロバイダー

上記4つの主要なMTA-STSプロバイダーに加えて、MTA-STSレコード検証を提供する追加のプロバイダーをご紹介します。

dmarcian
MTS-STS Inspector Toolを利用するには、dmarcianアカウントへのログインが必要です。
MxToolbox
MTA-STSルックアップツールでは、ドメインまたはホスト名の DNS TXTレコードおよび有効なMTA-STSポリシーを確認できます。
Thexyz
MTA-STSチェックツールにより、TXTレコードやTLSレポートなどの設定を迅速に確認できます。
Skysnag
MTA-STSチェッカーを使用して、ドメインに本プロトコルが正しく設定されているかを迅速に検証できます。

FAQs

MTA-STSとは何ですか。
MTA-STSは、暗号化されたSMTP接続を介してメールを安全に送信することを保証するメール転送時の暗号化を強制するセキュリティプロトコルです。
MTA-STSを導入することは、どのような利点がありますか。
MTA-STSは、ダウングレード攻撃、中間者による傍受、および安全でない接続での配信など、主要なSMTPセキュリティ問題のいくつかを解決するのに役立ちます。
手動でMTA-STSを設定できますか。
ご自身でMTA-STSを設定することは可能ですが、特に必要な技術的知識が不足している場合は推奨されません。
利便性と容易さを向上させるために、ホスト型MTA-STSサービスを利用することができます。
最適なMTA-STSプロバイダーはどれですか。
PowerDMARC、URIports、Mailhardener、およびOnDMARCは、市場における主要なMTA-STSプロバイダーの一部です。
MTA-STSプロバイダーを選択する際に注意すべき点は何ですか。
価格、使いやすさ、拡張性、機能の範囲、ユーザレビュー、およびその他の関連要因を考慮する必要があります。
なぜMTA-STSの利用者はTLSレポートを監視すべきなのですか。
MTA-STSのユーザは、メール配信に影響が出る前に、設定ミス、証明書の有効期限切れ、および安全な接続の失敗を検知するためにTLSレポートを監視すべきです。

まとめ

近年、MTA-STSの導入は着実に増加していますが、多くの業界や地域において全体的な実装率は依然として低い状況です。
主な障壁の一つは、MTA-STSを正しく設定および維持することの複雑さです。
幸いなことに、現在では複数のプロバイダーが、組み込みのMTA-STSチェッカーとともにホスト型MTA-STSソリューションを提供しており、プロトコルの導入および設定の検証をより容易に行えるようになっています。

PowerDMARCは、使いやすさや導入のしやすさ、直感的なレポート機能において高い評価を得ています。
MTA-STSの設定およびポリシーファイル管理の複雑さを解消します。
MTA-STSやTLS-RPTの導入をご検討の場合は、PowerDMARCにお問い合わせください。