DMARC Manager

日本語

English
Español
Deutsch
Français
Italiano
한국어
Português (BR)
繁體中文

日本語

English
Español
Deutsch
Français
Italiano
한국어
Português (BR)
繁體中文

MTA-STS 概要

MTA-STSドキュメントへようこそ。サイドバーまたは以下のリンクを使用してナビゲートしてください:

MTA-STSとは?

MTA-STSは、メールサーバーが他のサーバーにメールを送信する際に、Transport Layer Security (TLS) 暗号化と証明書の検証を強制することを可能にするセキュリティプロトコルです。MTA-STSはMail Transfer Agent Strict Transport Security over TLSの略で、RFC 8461で定義されています。

MTA-STSの動作原理

MTA-STSは、メールサーバーが他のサーバーに接続する方法を指定するポリシーを公開することで機能します。ポリシーには以下の情報が含まれます:

  • ポリシーの有効期間
  • TLS暗号化が必須かオプションか
  • サーバーの証明書がドメイン名と一致する必要があるか、信頼できる機関によって署名されている必要があるか
  • 接続の失敗やポリシー違反を報告する方法

ポリシーは、DNS TXTレコードとウェブサーバーにホストされたファイルの2つの方法で公開されます。DNS TXTレコードには、ポリシーファイルが配置されているウェブサーバーへのポインタが含まれています。ポリシーファイルは .well-known/mta-sts.txt という名前で、キーと値のペアで構成されたプレーンテキストファイルとしてフォーマットされています。

メールサーバーがMTA-STSをサポートする他のサーバーにメールを送信したい場合、まず受信ドメインのDNS TXTレコードをクエリしてポリシーが利用可能かどうかを確認します。利用可能な場合、ウェブサーバーからポリシーファイルを取得し、ポリシーの指示に従います。ポリシーがTLS暗号化と証明書の検証を要求する場合、メールサーバーは受信サーバーとの安全で認証された接続を確立できた場合にのみメールを配信します。ポリシーがオプションの場合、メールサーバーはTLS暗号化と証明書の検証を試みますが、失敗した場合はプレーンテキスト接続にフォールバックします。ポリシーが利用できないか期限切れの場合、メールサーバーはメール配信のためのデフォルト設定を使用します。

MTA-STS max-age 設定

MTA-STSポリシーの max_age ディレクティブは、ポリシーの最大有効期間を秒単位で指定します。以下はその主なポイントです:

  • 受け入れ可能な値: 31,557,600秒(1年に相当)までの任意の正の整数。
  • : max_age604,800秒(1週間)に設定できます。

max_age の目的は、サーバーが新しいポリシーを確認する前にMTA-STSポリシーをキャッシュする期間を決定することです。例えば、Googleは 86,400秒(1日)以上の max_age を持つポリシーを処理します。max_age の最大値は 31,557,600秒 です。

適切な max_age 値を選択することは重要です。以下の点を考慮してください:

  1. 短い max_age:
    • 相互運用性の問題が発生した場合にMTA-STSを容易に削除または変更できます。
    • まだMTA-STSをサポートしていないが将来的にサポートする予定の大規模な統合者にとって有用です。
  2. 長い max_age:
    • ポリシーチェックの頻度を減らします。
    • 頻繁なポリシー更新の必要性を最小限に抑えることで、より良いパフォーマンスを提供します。
    • しかし、必要なポリシー変更の伝播に時間がかかることも意味します。

MTA-STSとDMARCの連携

MTA-STSとDMARCは、メール通信のセキュリティとプライバシーを向上させるためにお互いを補完します。MTA-STSはメールサーバー間の接続を傍受や改ざんから保護し、DMARCはメールの内容とヘッダーをなりすましやフィッシングから保護します。両方のプロトコルを使用することで、メールサーバーとユーザーはメール通信における信頼性と安心感を高めることができます。

MTA-STSの重要性

MTA-STSは、メール通信のセキュリティとプライバシーを強化するために重要です。TLS暗号化と証明書の検証を強制することで、MTA-STSは攻撃者がメールを傍受、改ざん、またはなりすますことを防ぎます。

これにより、フィッシング、マルウェア、スパム、アイデンティティ盗難のリスクが軽減されます。MTA-STSはまた、メールサーバーが業界や地域のセキュリティ標準や規制に準拠するのを助けます。

MTA-STSの制限

MTA-STSには、メールサーバーやユーザーが認識しておくべきいくつかの制限があります。その一部を以下に示します:

  • 範囲: MTA-STSはメールサーバー間の接続にのみ適用され、メールクライアントとサーバー間には適用されません。したがって、メールクライアントとユーザーは、メールを不正アクセスや改ざんから保護するために、エンドツーエンドの暗号化などの他のセキュリティ対策を使用する必要があります。
  • DNSおよびウェブサーバーへの依存: MTA-STSは、ポリシーをホストするDNSおよびウェブサーバーの可用性と整合性に依存しています。これらのサーバーが侵害されたり、オフラインになったり、誤って構成されたりすると、ポリシーがアクセスできなくなったり、正確でなくなったりし、メール配信に影響を与える可能性があります。
  • ポリシーの強制: MTA-STSは、ポリシーに準拠していないメールを受け入れたり送信したりすることを防ぎません。例えば、TLS暗号化や証明書の検証を使用しない送信者からのメールを受け入れたり、MTA-STSをサポートしていない受信者にメールを送信したりすることがあります。したがって、メールサーバーとユーザーは、SPF、DKIM、DMARCなどの他のセキュリティメカニズムを使用して、メール送信者と受信者の身元と信頼性を確認する必要があります。

関連トピック