MTA-STS と TLS レポートでメール セキュリティを強化

MTA-STS と TLS レポートについて

Gmail のセキュリティを強化するには、ご利用のドメインに対して MTA Strict Transport Security(MTA-STS)を有効にします。MTA-STS を有効にすると、ドメイン宛てに送信されたメールに対する認証チェックや暗号化が必須になり、Gmail のセキュリティ強化につながります。Transport Layer Security(TLS)レポートでは、ドメインへの外部サーバー接続に関する情報を把握できます。

Gmail はすべてのメール プロバイダと同様に、SMTP を使用してメッセージの送受信を行いますが、SMTP だけでセキュリティを確保することはできません。多くの SMTP サーバーのセキュリティ レベルでは、悪意のある攻撃を防ぐことはできません。

たとえば、SMTP は中間者攻撃に対して脆弱です。中間者攻撃とは、2 つのサーバー間で検出されずに通信が傍受、改ざんされる可能性がある攻撃です。MTA-STS を使用してメールサーバー接続を保護することで、こうした攻撃を防ぐことができます。

詳しくは、MTA-STS(RFC 8461)TLS レポート(RFC 8460)についてのページをご覧ください(英語)。

DKIM、SPF、DMARC など、アカウントに追加のメール認証方法を設定することをおすすめします。推奨されるメール認証方法の詳細

MTA-STS のメール セキュリティ

送信側のサーバーが MTA-STS をサポートし、受信側のサーバーに自動適用モードの MTA-STS ポリシーが設定されている場合、メールの SMTP 接続の安全性は高まります。

メールの受信: ドメインで MTA-STS を有効にすると、外部のメールサーバーは SMTP 接続が次の両方に該当する場合にのみ、ドメインにメールを送信できます。

  • 有効な公開証明書で認証されている
  • TLS 1.2 以降で暗号化されている

MTA-STS をサポートするメールサーバーは、認証と暗号化の両方を備えた接続を介してのみ、ドメインにメールを送信します。

メールの送信: 外部サーバーに MTA-STS ポリシーが自動適用モードで設定されていて、そのサーバーにドメインから Gmail メッセージを送信する場合、MTA-STS に準拠します。

TLS レポート

TLS レポートを有効にすると、管理者はドメインに接続する外部メールサーバーに対して日次レポートをリクエストできます。外部サーバーがドメインにメールを送信したときに接続に関する問題が検出された場合、その情報が TLS レポートに記述されます。メールサーバーのセキュリティの問題を特定、修正するには、レポートのデータが役立ちます。

MTA-STS と TLS レポートの設定手順

  1. ドメインの MTA-STS 設定を確認します。
  2. MTA-STS ポリシーを作成します。
  3. MTA-STS ポリシーを公開します。
  4. DNS TXT レコードを追加して MTA-STS と TLS レポートを有効にします。

使ってみる

MTA-STS と TLS レポートの詳細

MTA-STS によってメール セキュリティが強化される仕組み

SMTP のセキュリティについては取り決めがなく、インターネット標準では、SMTP はプレーン テキスト接続を許可することが求められています。SMTP を単独で使用する場合は、ベスト エフォート型のメール配信がサポートされ、メール配信や最低限のサービス品質の保証はありません。SMTP は TLS に対応していますが、多くの SMTP サーバーは TLS を使用しておらず、安全とはいえません。

SMTP サーバーに関する一般的なセキュリティの問題としては次のようなものがあります。

  • TLS 証明書の有効期限が切れている
  • 証明書がサーバー ドメイン名と一致しない
  • 証明書の発行元が、信頼できる第三者機関ではない
  • セキュアなプロトコルをサポートしていない

セキュリティが欠如しているということは、SMTP 接続が中間者攻撃やその他の悪意のある攻撃を受けるリスクがあることを意味します。ほとんどのメール プロバイダは、TLS を使用する SMTP 接続を介してメールを送信しようと試みます。しかし、TLS 接続が確立できなくてもメールは送信されます。

MTA-STS を有効にすると、次の条件に当てはまらない場合はメールを送信しないよう送信側のサーバーに通知されます。

  • 送信サーバーが MTA-STS をサポートしていること
  • 受信サーバーの MTA-STS ポリシーが自動適用モードで公開されていること。

関連情報

TLS レポートを使用する理由

TLS レポートを有効にすると、外部メールサーバーからドメインのメールサーバーとの接続に関するレポートが毎日送信されます。レポートをメールで受け取ることも、ウェブサーバーにアップロードされたレポートにアクセスすることもできます。レポートを使用して、外部サーバーがドメインにメールを送信する際に発生する可能性のある問題を把握します。

レポートには、次のようなドメインのメールサーバーの MTA-STS ステータスと接続ステータスに関する情報が含まれます。

  • 検出された MTA-STS ポリシー
  • トラフィック データ
  • 失敗した接続
  • 送信できなかったメッセージ。

ドメインで MTA-STS の暗号化と認証を適用する前に、ポリシーをテストモードに設定します。日次レポートでドメインの接続に関する問題を特定して修正します。次に、ポリシーを自動適用モードに変更します。詳しくは、MTA-STS ポリシーのモードについてのページをご覧ください。

メール プロバイダの間で TLS レポートの普及が進めば、多くのレポートを受信できるようになると考えられます。

関連情報

  • こちらの手順に沿って TLS レポートを有効にします。
  • TLS レポートの詳細については、RFC 8460 をご覧ください。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
4795473526704446339
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false