メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にする

Transport Layer Security(TLS)とは、メールを暗号化してプライバシーを保護するセキュリティ プロトコルで、セキュア ソケット レイヤ(SSL)を基にしています。Gmail では、常にデフォルトで TLS が使用されます。

注: S/MIME 対応のサブスクリプションを使用している G Suite ユーザーがメールを作成するときには、受信者のアドレスの右側に灰色の施錠アイコン(TLS で暗号化されていることを意味する)が表示されます。

接続を保護するには、送信者と受信者の両方が TLS を使用している必要があります。接続を保護できない場合、Gmail は保護されていない接続を通じてメールを配信します。ただし、TLS の設定を追加し、特定のドメインまたはメールアドレスとメールをやりとりする場合は保護された接続を必須とすることができます。

重要: 特定のドメインとメールアドレスとの間でメールを送受信する場合は、常に保護された接続の使用を必須とする TLS 設定を有効にすることをおすすめします。

TLS を使用していないドメインからメールを送受信した場合
送信メール メールは配信されず、自分の元に戻ってきます。その際は未配信レポート(NDR)も届きます。送信の試みは 1 回限りで、再試行されません。
受信メール メールの受信が拒否されます。差出人には未配信レポートが届きますが、自分にはメールの受信が拒否されたことは通知されません。

TLS コンプライアンスを設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[アプリ] 次に [Google Workspace] 次に [Gmail] 次に [コンプライアンス] にアクセスします。

    注: この設定は [アプリ] 次に [G Suite] 次に [Gmail] 次に [詳細設定] でも確認できます。

  3. 左側で組織を選択します。
  4. [コンプライアンス] で [セキュアなトランスポート(TLS)に準拠] にカーソルを合わせて [設定] をクリックします。すでに設定されている場合は、[編集] または [他にも追加] をクリックします。
  5. 新しく設定する場合は、説明を入力します。
  6. 受信メールまたは送信メールを選択します。

    [送信 - 別の設定でセキュアなトランスポートを必要とするメール] を選択し、指定した送信メールに別の接続設定を適用します。たとえば、保護された接続を通じてメールが送信されるようにメールのルーティングを設定したり、送信メールに安全な代替ルートを設定したりできます。受信メールと送信メールで TLS コンプライアンスを必須にするには、ドメインまたはメールアドレスのリストを作成する必要があります。

  7. セキュアなトランスポートに TLS を使用することを必須にするドメインやメールアドレスのリストを作成します。

    : 受信メールまたは送信メールで TLS コンプライアンスを必須にするには、ドメインまたはメールアドレスのリストを作成します。

    : G Suite では、受信メールの場合は [From] の送信者、送信メールの場合は宛先がアドレスリストと一致するかどうかを判断します。送信者については、認証要件の確認も行います。そのため、受信メールで TLS コンプライアンスを必須にするには、入力するメールアドレスまたはドメインが [From] の送信者と正確に一致する必要があります。

    詳しくは、アドレスリストについて、検索方法、リスト内のすべてのエントリを表示する方法、アドレスリストに対してアドレスを照合する仕組みなどをご確認ください。

    1. [既存のリストを使用するか、新しいリストを作成してください] をクリックします。
    2. 新しいリストの名前を入力し、[作成] をクリックします。

      ヒント: 既存のリストを承認済み送信者リストとして使用するには、リスト名をクリックします。

    3. リスト名にカーソルを合わせ、[編集] をクリックします。
    4. 追加アイコン "" をクリックします。
    5. メールアドレスまたはドメイン名を入力します。複数入力する場合は、スペースまたはカンマで区切ります。

    6. [保存] をクリックします。

  8. 手順 6 と 7 で設定した条件に対して、次のオプションを有効にすることをおすすめします。
    • ホストで MX ルックアップを実行する - 指定したドメイン名に関連付けられた MX ホストに配信します。
    • セキュアなトランスポート(TLS)を使用する(推奨) - 送信側のメールサーバーと受信側のメールサーバーの間で、Transport Layer Security(TLS)を使用してメールを暗号化します。
    • CA 署名済み証明書を使用する(推奨) - クライアント SMTP サーバーは、Google が信頼する認証局によって署名された証明書を提示する必要があります。
    • 証明書のホスト名を検証する(推奨) - 受信ホスト名が SMTP サーバーから提示された証明書と一致することを確認します。
  9. [TLS 接続をテスト] をクリックして、受信メールサーバーへの接続を確認します。
  10. [設定を追加] または [保存] をクリックします。
  11. Gmail の [コンプライアンス] 設定ページの下部にある [保存] をクリックします。

変更内容が反映されるまでには、最長で 24 時間ほどかかることがあります。行った変更は管理コンソールの監査ログで確認できます。

「証明書を検証できませんでした」というエラーが発生した場合

[TLS 接続をテスト] をクリックすると、「証明書を検証できませんでした」というエラーが表示されることがあります。このエラーが発生しても新しいメールのルートは保存できますが、組織から送信されたメールは返送されます。

エラーを解決するには、次の方法をお試しください。

  • メールサーバーに複数のホスト名がある場合は、サーバーの証明書に記載されたホスト名を使用していることを確認します。

  • ルート上のメールサーバーにアクセスできる場合は、信頼できる認証局からの新しい証明書をインストールします。新しい証明書に正しいホスト名が設定されていることを確認します。

  • サードパーティのメールリレー サービスを使用している場合は、このエラーについてサービス プロバイダに問い合わせます。

  • 次の 1 つ以上のオプションをオフにします。
    • セキュアなトランスポート(TLS)を使用する
    • CA 署名済み証明書を使用する
    • 証明書のホスト名を検証する

      重要: 接続を検証できるように、これらのオプションはできる限りオンにしておくことをおすすめします。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。