メールのセキュアな接続を必須にする

特定のメールアドレスとドメインに TLS を設定する

Transport Layer Security(TLS)とは、プライバシーを保護するためにメールを暗号化するセキュリティ プロトコルのことです。TLS には、インターネット接続を介して通信されるメールへの不正アクセスを防ぐ効果があります。

Gmail からメールが送信される際、デフォルトでは常に TLS の使用が試みられますが、セキュアな TLS 接続を確立するには送信側と受信側の両方で TLS が使用されている必要があります。受信側のサーバーが TLS を使用していない場合でもメールは配信されますが、その接続はセキュアではありません。このため、[セキュア通信(TLS)への準拠] の設定のご利用をおすすめします。この設定を行うことで、指定したドメインおよびメールアドレスとの間のメールは常にセキュア接続でやり取りされるようになります。

Gmail で新しいメールを作成するときに受信者のアドレスの横に表示される南京錠の画像は、そのメールが TLS で送信されることを意味します。この南京錠が表示されるのは、送信者側のアカウントが S/MIME 暗号化に対応している Google Workspace サブスクリプションを使用している場合に限られます。

Google Workspace は TLS バージョン 1.0、1.1、1.2、1.3 に対応しています。

TLS を使用していないサーバーとの間で送受信されるメール

[セキュア通信(TLS)への準拠] の設定で指定したメールアドレスおよびドメインとのメールが非 TLS 接続で送受信される場合、次のように対処されます。

送信メール メールは配信されずバウンスされ、未配信レポートが届きます。非 TLS 接続でのメール送信は 1 回のみ試行され、再試行はされません。
受信メール 非 TLS 接続での受信メールは、受信者に通知されることなく拒否されます。送信者に未配信レポートが届きます。

TLS コンプライアンスを設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[アプリ] 次に [Google Workspace] 次に [Gmail] 次に [コンプライアンス] にアクセスします。

    注: この設定は [アプリ]次に Google Workspace次にGmail次に[詳細設定] でも確認できます。

  3. 左側で組織部門を選択します。
  4. [セキュア通信(TLS)への準拠] にカーソルを合わせて [設定] をクリックします。別の TLS 設定を追加するには、[他にも追加] をクリックします。
  5. 新しい設定を追加する場合は、説明を入力します。
  6. 設定の適用先として、受信メールまたは送信メールを選択します。これらのメールに TLS を適用するには、アドレスリストを使用する必要があります。

    別のセキュア接続設定を適用している送信メールに対してこの設定を行う場合は、[送信 - 別の設定でセキュア通信が必須とされているメール] をオンにします。たとえば、メールのルーティングを設定してセキュア接続でメールを送信したり、送信メールに安全な代替ルートを設定したりできます。

  7. TLS を必須にするドメインまたはメールアドレスのアドレスリストを作成します。アドレスリストの作成と使用について詳しくは、特定の送信者またはドメインに Gmail の設定を適用するをご覧ください。
    1. [既存のリストを使用するか、新しいリストを作成してください] をクリックします。
    2. 新しいリストの名前を入力し、[作成] をクリックします。既存のリストを承認済み送信者リストとして使用するには、リスト名をクリックします。
    3. リスト名にカーソルを合わせ、[編集] をクリックします。
    4. 追加アイコン "" をクリックします。
    5. メールアドレスまたはドメイン名を入力します。複数入力する場合は、スペースまたはカンマで区切ります。
    6. [保存] をクリックします。

      注: 受信メールについては [From] の送信者、送信メールについては宛先がアドレスリストと照合されます。受信メールの場合、[From] の送信者が、設定されたアドレスまたはドメインと完全に一致する必要があります。送信メールについては認証要件が確認されます。

  8. 手順 6 と 7 で選択した項目に対して、次のオプションを有効にすることをおすすめします。
    • ホストで MX ルックアップを実行する - 指定したドメイン名に関連付けられた MX ホストに配信します。
    • メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須とする(推奨) - 送信側および受信側のメールサーバー間で、メールが TLS によって暗号化されます。
    • CA の署名付き証明書を必須とする(推奨) - クライアント SMTP サーバーは、信頼できる認証局によって署名された証明書を提示する必要があります。
    • 証明書のホスト名を検証する(推奨) - 受信ホスト名が SMTP サーバーから提示された証明書と一致することを確認します。
  9. [TLS 接続をテスト] をクリックして、受信メールサーバーへの接続を確認します。
  10. [設定を追加] または [保存] をクリックします。
  11. [コンプライアンス] ページの下部にある [保存] をクリックします。

変更内容が反映されるまでには、最長で 24 時間ほどかかることがあります。行った変更は管理コンソールの監査ログで確認できます。

「証明書を検証できませんでした」というエラーが発生した場合

[TLS 接続をテスト] をクリックすると、「証明書を検証できませんでした」というエラーが表示されることがあります。このエラーが発生しても新しいメールのルートは保存できますが、組織から送信されたメールは返送されます。

エラーを解決するには、次の方法をお試しください。

  • メールサーバーに複数のホスト名がある場合は、サーバーの証明書に記載されたホスト名を使用していることを確認します。

  • ルート上のメールサーバーにアクセスできる場合は、信頼できる認証局からの新しい証明書をインストールします。新しい証明書に正しいホスト名が設定されていることを確認します。

  • サードパーティのメールリレー サービスを使用している場合は、このエラーについてサービス プロバイダに問い合わせます。

  • 次の 1 つ以上のオプションをオフにします。
    • セキュアなトランスポート(TLS)を使用する
    • CA 署名済み証明書を使用する
    • 証明書のホスト名を検証する

      重要: 接続を検証できるように、これらのオプションはできる限りオンにしておくことをおすすめします。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false