スカイスナッグ・ブログ
Mail Transfer Agent Strict Transport Security (MTA-STS)は、RFC 8461で規定されているSMTPサーバーのセキュリティポリシーである。このポリシーにより、SMTPサーバーはTLSをサポートすることを宣言し、クライアントがサーバーに接続する際に使用しなければならないセキュリティポリシーのセットを指定することができる。ポリシーは、クライアントが特定の暗号スイートのセットでTLSを使用することを要求したり、クライアントがサーバーの証明書を検証することを要求したり、クライアントが特定のDNSレコードをチェックすることでサーバーの身元を検証することを要求したりするために使用できる。
MTA-STSの目的
Mail Transfer Agent Strict Transport Security 標準は、セキュリ ティトークンサービス(STS)と依拠当事者との間でセキュリティトークンを安全に 交換する方法を提供することを意図している。この規格はまた、STS がセキュリティトークンを発行し交換するための一貫した方法を提供することで、セキュリティトークン全般の利用を促進することも意図している。
MTA-STSは電子メールのセキュリティをどのように向上させますか?
Mail Transfer Agent Strict Transport Securityは、SMTPセキュリティ問題を軽減するために提案された電子メール認証標準です。MTAが安全に電子メールを送信できるように、TLSを強制します。
その結果、TLS暗号化をサポートするMTAからのメールと、TLS暗号化をサポートするMXサイトへのメールのみが許可されます。
通信中の2つのSMTPサーバー間で暗号化された接続が確立できない場合、電子メールは送信されず、代わりに安全でない接続を介して送信される。
MTA-STSにはどのような条件が必要ですか?
このセキュリティ・プロトコルを導入する前に、以下の条件を満たす必要がある:
- 有効なSSL証明書がサーバーにインストールされている必要があります。
- サーバーは、TLS 1.2以上をサポートするように設定されていなければならない。
- サーバーはMTA-STSポリシーをサポートするように設定されていなければならない。
ドメインのパフォーマンスとMTA-STSポリシーの成功/失敗率を確認するには、TLSレポートを実装する必要があります。メールフローを中断させないための重要な洞察が得られます。
MTA-STSの仕組みは?
MTA-STSは、電子メール受信ドメインがDNSを介して、受信電子メールに対してSTARTTLSを実施することを宣言し、送信者がそのポリシーを発見するメカニズムを提供することを可能にするポリシー実施メカニズムである。標準的なTLS証明書検証プロセスとDNSレコード発見メカニズムを使用して、ポリシーを検証し、STARTTLSを実施します。
ドメインに対してMTA-STSを有効にする
ドメインでMTA-STSを有効にするには、以下のDNS TXTリソースレコードが必要です:
- "v" プロトコルのバージョンで、現時点ではSTSv1である。
- 「id は、ポリシーの変更を追跡するために使用される1~32文字の英数字文字列です。MTA-STSファイルに変更が加えられたときに、この文字列を変更します。
以下はそのような記録の一例である:
_mta-sts.example.org. IN TXT "v=STSv1; id=202104012135;"
無料のMTA-STSレコード・チェッカー・ツールを使用して、MTA-STSレコードを検証してください。
結論
Skysnagはバックグラウンドですべてを管理することで、お客様の生活をより快適なものにします。Skysnagの自動化ソフトウェアを使用することで、迅速かつ簡単にMTA-STSをセットアップすることができます。MITM攻撃を防止するTLS暗号化接続を介してお客様のドメインに送信される受信メールを許可することで、ビジネスメールを漏洩から保護します。このリンクからサインアップして無料トライアルをお試しください。