MTA-STSとは

SMTPS、POPS、IMAPSと共に、メール配送経路の暗号化を完成させる

MTA-STSエムティーエーエスティ―エスとは、SMNTP MTA Strict Transport Securityの略で、メールサービスプロバイダがTLS(Transport Layer Security)によるセキュアなSMTP接続を受信できる能力を宣言し、送信側SMTPサーバが信頼できるサーバ証明書によるTLSを提供していないMXホストへの配信を拒否するかどうかを指定することができる仕組みです。

STARTTLSの問題点

メールの配送経路の暗号化は、長年、企業にとって大きな悩みの種でした。
メール送信時はSMTPS、メール受信時はPOPSやIMAPSを使う事で暗号化が可能です。
企業間のMTA同士の通信経路の暗号化はSTARTTLSが担いましたが、問題がありました。

• 通信の全ての暗号化は担保されない。
  特にコネクションを確立するはじめのハンドシェイクは、平文で行われる。
• プロトコルが証明書の検証を行わない。
• 中間者攻撃を防ぐ事ができない

メールの配送経路のエンドツーエンドの暗号化は、企業にとって、情報保護で必須です。
暗号化を担保するために使われたのが、主に以下の2つです。

S/MIME

ユーザ単位で行うMIMEでカプセル化した電子メールの公開鍵方式による暗号化とデジタル署名に関する標準規格。
メールソフトでS/MIMEを使う際には、組織内認証局（CA: Certificate Authority）もしくは公的な認証局（パブリックCA）から、個別の鍵ペア/証明書を発行してもらってインストールしなければならない。
エンドツーエンドの暗号化であるが故に、マルウェアについても暗号化される。

PPAP

特に添付ファイルについての暗号化を目的とし、添付ファイルをパスワード付ZIPファイルにして、メールで添付して送り、後からそのZIPファイルのパスワードを送るやり方。

1. Password付きZIPファイルを送ります
2. Passwordを送ります
3. Angoka（暗号化）
4. Protocol（プロトコル）

の略号。
「添付ファイルがあるメールを盗めるなら、パスワードのメールも盗める」という根本的な欠陥があり、セキュリティ対策になっていない。
また、パスワード付ZIPファイルは、アンチウィルスソフトでの検査が出来ないため、PPAPで送られた添付ファイルがコンピュータウィルスに感染していると、受信先が感染する危険がある。

MTA-STSの仕組み

MTA-STSの特長は、以下の点です。

• どのMTA からの配送でもTLS が利用される
• ドメインのMX ホストが正当性を提示する
• TLS が利用できなかった際の振る舞いを送信側が定義する
• SMTPS、MTA間のMTA-STS、POPS/IMAPSによって全メール配送経路の暗号化が可能に
• 添付ファイルを送るのに、パスワード付ZIPファイルを送らなくて良い
• S/MIMEのようにメールの暗号化を個人で設定・運用せず、組織で透過的に設定・運用可能に

MTA-STSは、以下の攻撃を防ぐ事ができます。

• ダウングレード攻撃
• 中間者攻撃
• 期限切れのTLS証明書やセキュアなプロトコルの未対応

SPF/DKIM/DMARCのドメイン認証を補助

MTA-STSは、Webサーバにアップロードしたポリシーファイルに、自社のMXレコードを記載して参照します。
DNSのMXレコードや、SPFレコードだけではなく、正しいMTAをHTTPSという別プロトコルによって担保し、ドメイン認証を補助する効果もあります。