フォーム読み込み中
Google Workspaceのメールセキュリティ向上 MTA-STSを設定してみる 1/4(概論編)
Microsoft365/Google Workspaceエンジニア
和田 敏志
Google Workspace & Microsoft 365のエンジニア。
ソフトバンクにて、数千〜数万ユーザー規模の導入支援をPM/SEとして担当。
現在はソフトバンクにおける Google Workspace初代エバンジェリストとして、「え、そんな使い方アリ!?」や「面白い使い方」を探しては発信する毎日。
社内のGoogle系エンジニア育成にも力を入れており、布教活動は家庭内にも及ぶ
- 受賞歴
- Google Cloud Partner Top Engineer 2024/2025 Google Workspace
- Google Cloud Partner Tech Influencer Challenge 2025 Solution部門
2023年3月30日掲載
こんにちは!
本ページを見ていただきありがとうございます。
MTA-STSという言葉/仕組みをご存知でしょうか?
実はGoogle Workspaceには数年前からある機能ではあるのですが、Google Workspaceに限らず世界全体で見てもMTA-STSを実装したという事例は非常に少ない状況でした。
昨年Microsoft 365(Exchange Online)でも機能が追加され、いよいよ2大クラウドがMTA-STSをサポートするようになり、いよいよ普及期に入ってきたかなということで今回Google WorkspaceでのMTA-STSの設定をやってみました。
今回はそもそもMTA-STSって何なのさ?というところをお話しさせていただき、今後の記事で具体的な実装と結果をお伝えできればと思います。
本記事がメールシステムを管理されている皆様のGoogle Workspace環境の改善の一助になれば幸いです。
MTA-STSとは?
MTA-STSはSMTP MTA Strict Transport Security の略称です。
STARTTLSをサポートするホスト間のメールを傍受または改ざんしようとする攻撃者からの保護を目的としています。
この仕組みは rfc8461で規定されており、原文では以下の通り記述されています。
SMTP MTA Strict Transport Security (MTA-STS) is a mechanism enabling mail service providers (SPs) to declare their ability to receive Transport Layer Security (TLS) secure SMTP connections and to specify whether sending SMTP servers should refuse to deliver to MX hosts that do not offer TLS with a trusted server certificate.
参考訳)
SMTP MTA Strict Transport Security (MTA-STS) は、メールサービスプロバイダ (SP) が Transport Layer Security (TLS) の安全なSMTP接続を受信する能力を宣言し、送信SMTPサーバーが信頼できるサーバー証明書でTLSを提供しないMXホストへの配信を拒否すべきか指定できるメカニズムである。
誤解を恐れず申し上げると「我々にメールを送るときには必ず有効な証明書とともにTLSを使って送ってください、そうじゃない場合は受け取りません!」というように送り元に対して自ドメインへの送信方法を指定することができる仕組みとなります。ざっくり絵にするとこのようなイメージです。
現在主流となっているSTARTTLSの弱点である「MTA同士でお互いTLSを使えたら使う(使えない場合は平文でOK)」を強化するものとなります。
MTA-STSを採用すると何が嬉しいのか?
メール中継ホスト間のメールの盗聴/改ざんリスクを軽減することができます。
特に受信者にとってのセキュリティ強化の意味合いが強いものとなります。
MTS-STSを導入すると自ドメイン宛てに送信されたメールに対する認証チェックや暗号化を必須とすることができます。
メールの発信から受信までの一連の経路において、発信時はSMTPs、受信時は IMAPs/POP3sと通信の安全性は利用者がコントロールでき、保護できるようになっていますし実際されている方も多いかと思います。
しかしながら送信ボタンを押した後〜受信者のメールボックスへ配送される間のメール中継部分は、必ずしも安全性を保証されていない仕組みで成り立っており、両端はしっかり守っているが間がブラックボックスという状態となっています。
この中継部分の暗号化送信は送信者、受信者ともコントロールができませんでした。
例えば、現実の世界で荷物を送る場合を想定します。
- 発送する人は荷物を送る際に箱に入れてきちんと封をして運送会社に預けます。
- 運送会社が荷物を預かった後、封を勝手に開けて全開の状態で配達店に輸送します。
- 受け取る人は、配達店で再度封をされたものを受け取りますので実際に中身が見られたかどうかは気づくことができません。
なんてことが行われていたらどう思うでしょうか?
送る側も受け取る側も気持ち悪くないでしょうか?
こんなことが現実世界で実際に行われていたら大問題ですよね?
これと同じことが今のメールの世界では正しい動作として認められており、
- 荷物を送る際に箱に入れてきちんと封をして運送会社に預けます。(=送信時暗号化)
- 運送会社が荷物を預かった後、封を勝手に開けて全開の状態で配達店に輸送します。(=転送中は平文)
- 配達店で再度封をしてお届けする(=受信時暗号化)
という状態になっている可能性があります。
メール中継における盗聴リスクを受信者側で守ることができる状態にすること、これこそがMTA-STSを適用することの最大のメリットだと考えています。
MTA-STSの実装はどのくらい大変なのか?
ただ安全になるとなったとしても適用が大変だったらやりたくないですよね。
次に気になるのがどのくらい導入が大変なのか、ではないでしょうか。
詳細は今後お伝えしますが、以下が概要となります。
準備するもの
ポリシーをホストするウェブサーバー
SSL/HTTPS に対応していること
サーバー証明書が第三者のルート認証局の署名入りで信頼されていること
https://mta-sts.<メールドメイン名>/.well-known/mta-sts.txt でアクセスできること。
MTA-STSポリシーファイル
実態はテキストファイルで、ポリシーを記述します。
ファイル名はmta-sts.txtである必要があります。
DNSサーバー
TXTレコードを記述します 2つ
実施する作業
ドメインの MTA-STS 設定を確認します。
MTA-STS ポリシーを作成します。
MTA-STS ポリシーを公開します。
DNS TXT レコードを追加して MTS-STA と TLS レポートを有効にします。
実際やってみた感想として、SPFレコードを記述するレベルで終わるという簡単さではありません。
ただ、思ったより大変ではないというのが印象です。
正直な話、今回の検証で一番大変だったのはWebサイトの準備でした。
Webサーバーの準備に困難がなければ比較的導入のハードルは高くないと考えています。
また管理者作業だけで完結しますので、ユーザー側での対応は必要ありません。
まとめ
MTA-STSはスパム・なりすまし対策として当たり前となっているSPF/DMARK/DKIMと違って、現状では知名度と普及率は低いですが、適用することで今まで守れていなかったメール中継部分の安全性を高めることができるようになります。
ご利用中のメール環境をより安全にするという意味ではオススメの設定です。
少なくともMicrosoft365、Google Workspaceは送信側の対応は完了しており、受け取り側が宣言すればMTA-STSを使って送信するようになっています。あとは受信者側が利用を宣言すれば良いだけです。本記事をきっかけに1社でもMTA-STSを採用される企業が増え、自社のメール環境がより安全になっていくとともに普及していくことでメールの世界全体がより安全になっていくことを願っております。
今後の記事にて具体的な実装をご紹介できればと思います。
最後まで読んでいただきありがとうございました。
関連サービス
Google Workspace
Gmail、Google カレンダー、Google Chat、Google ドライブ、Google Meet などのさまざまなサービスがあらゆる働き方に対応する業務効率化を実現します。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
