MTA-STS

SMTPS、POPS、IMAPSと共に、メール配送経路の暗号化を完成させる

MTA-STSエムティーエーエスティ―エス(SMTP MTA Strict Transport Security)は、メールサービスプロバイダがTLS（Transport Layer Security）を使用した安全なSMTP接続のサポートを宣言する仕組みです。
この機能により、送信側のSMTPサーバは、信頼できるサーバ証明書を持つTLS接続を提供しないMXホストへのメール配信を拒否することができます。
結果として、SMTPによるメール配送経路の暗号化が保証され、メールのセキュリティが向上します。

STARTTLSの問題点

メールの配送経路の暗号化は、長年、企業にとって大きな悩みの種でした。
メール送信時はSMTPS、メール受信時はPOPSやIMAPSを使う事で暗号化が可能です。
企業間のMTA同士の通信経路の暗号化はSTARTTLSが担いましたが、問題がありました。

• 通信の全ての暗号化は担保されない。
  特にコネクションを確立するはじめのハンドシェイクは、平文で行われる。
• プロトコルが証明書の検証を行わない。
• 中間者攻撃を防ぐ事ができない

メールの配送経路のエンドツーエンドの暗号化は、企業にとって、情報保護で必須です。
暗号化を担保するために使われたのが、主に以下の2つです。

S/MIME

ユーザ単位で行うMIMEでカプセル化した電子メールの公開鍵方式による暗号化とデジタル署名に関する標準規格。
メールソフトでS/MIMEを使う際には、組織内認証局（CA: Certificate Authority）もしくは公的な認証局（パブリックCA）から、個別の鍵ペア/証明書を発行してもらってインストールしなければならない。
エンドツーエンドの暗号化であるが故に、マルウェアについても暗号化される。

PPAP

特に添付ファイルについての暗号化を目的とし、添付ファイルをパスワード付ZIPファイルにして、メールで添付して送り、後からそのZIPファイルのパスワードを送るやり方。

1. Password付きZIPファイルを送ります
2. Passwordを送ります
3. Angoka（暗号化）
4. Protocol（プロトコル）

の略号。
「添付ファイルがあるメールを盗めるなら、パスワードのメールも盗める」という根本的な欠陥があり、セキュリティ対策になっていない。
また、パスワード付ZIPファイルは、アンチウィルスソフトでの検査が出来ないため、PPAPで送られた添付ファイルがコンピュータウィルスに感染していると、受信先が感染する危険がある。

MTA-STSの仕組み

MTA-STSの特長は、以下の点です。

• どのMTA からの配送でもTLS が利用される
• ドメインのMX ホストが正当性を提示する
• TLS が利用できなかった際の振る舞いを送信側が定義する
• SMTPS、MTA間のMTA-STS、POPS/IMAPSによって全メール配送経路の暗号化が可能に
• 添付ファイルを送るのに、パスワード付ZIPファイルを送らなくて良い
• S/MIMEのようにメールの暗号化を個人で設定・運用せず、組織で透過的に設定・運用可能に

MTA-STSは、以下の攻撃を防ぐ事ができます。

• ダウングレード攻撃
• 中間者攻撃
• 期限切れのTLS証明書やセキュアなプロトコルの未対応

SPF/DKIM/DMARCのドメイン認証を補助

MTA-STSは、Webサーバにアップロードしたポリシーファイルに、自社のMXレコードを記載して参照します。
DNSのMXレコードや、SPFレコードだけではなく、正しいMTAをHTTPSという別プロトコルによって担保し、ドメイン認証を補助する効果もあります。