安全な TLS 接続でメールを送信する

Transport Layer Security(TLS)は、セキュリティとプライバシーを確保するためにメール メッセージを暗号化するプロトコルです。TLS は、インターネット接続を介して送信されるメールへの不正アクセスを防ぐことができます。

デフォルトでは、Gmail は常にセキュアな TLS 接続経由でメールを送信しようとします。安全なエンドツーエンドの TLS 接続では、送信側と受信側の両方のサーバーで TLS を使用することが必要とされます。受信側のサーバーが TLS を使用していない場合でもメールは送信されますが、その接続はセキュアではありません。

指定したドメインやアドレスとの間で送受信されるメールに TLS を使用するには、[セキュア通信(TLS)への準拠] 設定を使用します。この設定には、CA の署名付き証明書を必須とするオプション、証明書に関連付けられたホスト名を検証するオプション、TLS 接続をテストするオプションが含まれています。

Gmail で新しいメールを作成するときに受信者のアドレスの横に表示される南京錠の画像は、そのメールが TLS で送信されることを意味します。この南京錠が表示されるのは、送信者側のアカウントが S/MIME 暗号化に対応している Google Workspace サブスクリプションを使用している場合に限られます。

Google Workspace は TLS バージョン 1.0、1.1、1.2、1.3 に対応しています。

始める前に

組織で使用している基準に対応する TLS バージョンを確認する

Google 管理コンソールで TLS を設定する前に、組織で使用しているコンプライアンス、セキュリティ、その他の基準に対応する TLS バージョンを確認します。すべての基準が Google Workspace がサポートする TLS バージョンに対応しているわけではありません。
組織で使用される基準に TLS が必要な場合は、[セキュア通信(TLS)への準拠] の設定で有効にします。
TLS を使用していないサーバーとの間で送受信されるメール

[セキュア通信(TLS)への準拠] の設定は、設定で指定したアドレスとドメインに対し非 TLS 接続経由で送信されるメールの配信に影響します。

送信メール メールは配信されずバウンスされ、未配信レポートが届きます。非 TLS 接続でのメール送信は 1 回のみ試行され、再試行はされません。
受信メール 非 TLS 接続での受信メールは拒否されます。通知は行われません。送信者に未配信レポートが届きます。

TLS コンプライアンス設定を追加する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [Google Workspace] 次に [Gmail] 次に [コンプライアンス] にアクセスします。
  3. 左側で組織部門を選択します。
  4. [セキュア通信(TLS)への準拠] にカーソルを合わせて [設定] をクリックします。別の TLS 設定を追加するには、[別のルールを追加] をクリックします。
  5. [設定を追加] ボックスに設定の名前を入力し、次の手順を行います。
    設定 手順
    1. 影響を受けるメール

    [受信]、[送信]、またはその両方を選択します。 これらのメールに TLS を適用するには、アドレスリストを使用する必要があります。アドレスリストは次の手順で設定します。

    受信メールについては [From:] の送信者、送信メールについては宛先がアドレスリストと照合されます。受信メールの場合、[From:] の送信者が、設定されたアドレスまたはドメインと完全に一致する必要があります。送信メールについては認証要件が確認されます。

    別のセキュア接続設定を適用している送信メールに対してこの設定を行う場合は、[送信 - 別の設定でセキュア通信が必須とされているメール] をオンにします。たとえば、メールのルーティングを設定してセキュア接続でメールを送信したり、送信メールに安全な代替ルートを設定したりできます。

    2. これらのドメインおよびメールアドレスとのやり取りには、セキュアな通信のために TLS を使用します。

    TLS 接続を必要とするドメインまたはメールアドレスが含まれている既存のアドレスリストを選択するには、以下の操作を行います。

    1. [既存のリストを使用する] をクリックします。[アドレスリストの選択] ボックスが開きます。
    2. TLS 設定で使用するアドレスリストを 1 つ以上選択します。
    3. 左上の [X] をクリックして、[アドレスリストの選択] ボックスを閉じます。

    TLS 接続を必要とするドメインまたはメールアドレスを使用して新しいアドレスリストを作成するには、以下の操作を行います。

    1. [リストを作成または編集] をクリックします。新しいタブで [アドレスリストの管理] ページが開きます。
    2. [アドレスリストの管理] ページで、[アドレスリストを追加] をクリックします。[アドレスリストを追加] ボックスが開きます。
    3. [名前] に、アドレスリストの一意の名前を入力します。
    4. 新しいアドレスリストにアドレスまたはドメインを追加するには、[アドレスを一括追加] または [アドレスを追加] をクリックします。
    5. メールアドレスまたはドメイン名を入力してます。複数入力する場合は、スペースまたはカンマで区切ります。
    6. [保存] をクリックし、[コンプライアンス] タブに戻って TLS の設定を完了します。

    アドレスリストの作成と使用について詳しくは、特定の送信者またはドメインに Gmail の設定を適用するをご覧ください。

    3. オプション

    設定オプションを選択します。

    CA の署名がある証明書を必須とする(推奨) - クライアントの SMTP サーバーは、信頼できる認証局によって署名された証明書を提示する必要があります。

    証明書のホスト名を検証する(推奨) - 受信ホスト名が SMTP サーバーから提示された証明書と一致することを確認します。

    TLS 接続をテスト (省略可)[TLS 接続をテスト] をクリックして、受信メールサーバーへの接続を確認します。
  6. [設定を追加] ボックスの下部にある [保存] をクリックします。新しい設定が [セキュア通信(TLS)への準拠] の設定の表に表示されます。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

行った変更は管理コンソールの監査ログで確認できます。

TLS エラーのトラブルシューティング

TLS の設定中にエラーが発生した場合は、このセクションの推奨事項に沿って対処してください。

[TLS 接続をテスト] をクリックして証明書の検証エラーが発生した場合は、新しいメールルートを保存できたとしても、組織から送信されたメールは返送されます。

エラーを解決するには、次の方法をお試しください。

  • メールサーバーに複数のホスト名がある場合は、サーバーの証明書に記載されたホスト名を使用していることを確認します。
  • ルート上のメールサーバーにアクセスできる場合は、信頼できる認証局からの新しい証明書をインストールします。新しい証明書に正しいホスト名が設定されていることを確認します。
  • サードパーティのメールリレー サービスを使用している場合は、このエラーについてサービス プロバイダに問い合わせます。
  • 次の 1 つ以上のチェックボックスをオフにします。
    • セキュアなトランスポート(TLS)を使用する
    • CA の署名がある証明書を必須とする
    • 証明書のホスト名を検証する

    重要: 接続を検証できるように、これらのオプションはできる限りオンにしておくことをおすすめします。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
Google アプリ
メインメニュー