MailData

Sender Policy Framework

MTA-STS

MTA-STSエムティーエーエスティ―エス(SMTP MTA Strict Transport Security)は、メールサービスプロバイダがTLS(Transport Layer Security)を使用した安全なSMTP接続のサポートを宣言する仕組みです。
この機能により、送信側のSMTPサーバは、信頼できるサーバ証明書を持つTLS接続を提供しないMXホストへのメール配信を拒否することができます。
結果として、SMTPによるメール配送経路の暗号化が保証され、メールのセキュリティが向上します。

STARTTLSの問題点

SMTPS→STARTTSL→POPS/IMAPSによるメール配送経路の暗号化

メールの配送経路の暗号化は、長年、企業にとって大きな悩みの種でした。
メール送信時はSMTPS、メール受信時はPOPSやIMAPSを使う事で暗号化が可能です。
企業間のMTA同士の通信経路の暗号化はSTARTTLSが担いましたが、問題がありました。

メールの配送経路のエンドツーエンドの暗号化は、企業にとって、情報保護で必須です。
暗号化を担保するために使われたのが、主に以下の2つです。

S/MIME
ユーザ単位で行うMIMEでカプセル化した電子メールの公開鍵方式による暗号化とデジタル署名に関する標準規格。
メールソフトでS/MIMEを使う際には、組織内認証局(CA: Certificate Authority)もしくは公的な認証局(パブリックCA)から、個別の鍵ペア/証明書を発行してもらってインストールしなければならない。
エンドツーエンドの暗号化であるが故に、マルウェアについても暗号化される。
PPAP
特に添付ファイルについての暗号化を目的とし、添付ファイルをパスワード付ZIPファイルにして、メールで添付して送り、後からそのZIPファイルのパスワードを送るやり方。
  1. Password付きZIPファイルを送ります
  2. Passwordを送ります
  3. Angoka(暗号化)
  4. Protocol(プロトコル)
の略号。
「添付ファイルがあるメールを盗めるなら、パスワードのメールも盗める」という根本的な欠陥があり、セキュリティ対策になっていない。
また、パスワード付ZIPファイルは、アンチウィルスソフトでの検査が出来ないため、PPAPで送られた添付ファイルがコンピュータウィルスに感染していると、受信先が感染する危険がある。

MTA-STSの仕組み

SMTPS→MTA-STS→POPS/IMAPSによるメール配送経路の暗号化

MTA-STSの特長は、以下の点です。

MTA-STSは、以下の攻撃を防ぐ事ができます。

SPF/DKIM/DMARCのドメイン認証を補助

MTA-STSは、Webサーバにアップロードしたポリシーファイルに、自社のMXレコードを記載して参照します。
DNSのMXレコードや、SPFレコードだけではなく、正しいMTAをHTTPSという別プロトコルによって担保し、ドメイン認証を補助する効果もあります。