フォーム読み込み中
Google Workspaceのメールセキュリティ向上 MTA-STSを設定してみる 3/4(環境準備編2)
Microsoft365/Google Workspaceエンジニア
和田 敏志
Google Workspace & Microsoft 365のエンジニア。
ソフトバンクにて、数千〜数万ユーザー規模の導入支援をPM/SEとして担当。
現在はソフトバンクにおける Google Workspace初代エバンジェリストとして、「え、そんな使い方アリ!?」や「面白い使い方」を探しては発信する毎日。
社内のGoogle系エンジニア育成にも力を入れており、布教活動は家庭内にも及ぶ
- 受賞歴
- Google Cloud Partner Top Engineer 2024/2025 Google Workspace
- Google Cloud Partner Tech Influencer Challenge 2025 Solution部門
2023年4月3日掲載
こんにちは!
本ページを見ていただきありがとうございます。
MTA-STSという言葉/仕組みをご存知でしょうか?
実はGoogle Workspaceには以前からある機能ではあるのですが、実装したという事例をみたことがありませんでした。
先日Microsoft 365(Exchange Online)でも機能が追加され、いよいよ2大クラウドがサポートするようになりました。
これで、いよいよ普及期に入ってきたかなということで今回Google WorkspaceでのMTA-STSの設定をやってみました。
前回は環境準備編ということで、Firebase Hostingを使用したWebサーバーの準備についてお伝えさせていただきました。
・前回の記事
Google Workspaceのメールセキュリティ向上 MTA-STSを設定してみる 2/4(環境準備編1)
今回はFirebase CLIiの初期設定〜ポリシーファイル作成、Firebase Hostingへポリシーファイルのアップロードまでをご紹介させていただき、次回以降でDNSの設定〜有効化についてご紹介したいと思います。
本記事がメールシステムを管理されている皆様のGoogle Workspace環境の改善の一助になれば幸いです。
Firebase CLIがなぜ必要なのか?
Firebase プロジェクトの管理、表示、デプロイを行うために必要です。というのが本来の話になります。
今回はmta-stsのポリシーファイルをアップロードするために使用します。
GitHub等をご利用中であればそちらを使って頂くという方法もございますが、今回は標準機能としてFirebase-Cliを使用しました。
本音を申し上げるとアップロードをするための段取りは非常に面倒です。
Firebase CLIの初期設定から動作確認までの段取り
Firebase CLI をインストールする
Firebase CLI リファレンスにある手順で問題なく進みます
Firebase CLI にログインしてテストする
Firebase プロジェクトを初期化する
アップロードファイルを準備する
Firebase プロジェクトにmta-sts.txtファイルをアップロード(デプロイ)する
動作確認
Firebase CLIの初期設定の詳細
1. Firebase CLIのインストール
Firebase CLI リファレンス に記載の cURL コマンドを実行します。
Firebase CLI にログインし、Firebase CLIのアクセス許可を行います。画面の指示通りに進めば特に迷うところはありません。
firebase projects:list コマンドを入力し、正しく接続されているか確認します。プロジェクトIDがブラウザの画面に表示されている内容と一致していれば正しく接続されています。
以上でFirebase CLIのインストール、初期動作確認は完了です。
2. Firebase プロジェクトを初期化する
Firebase プロジェクトを初期化する に沿って firebase init コマンドを入力し初期設定を行います。コマンドを入力すると下図のような画面が現れますので質問に答えていきます。
今回はHostingを使用しますのでHosting:Configure files〜を選択します。
以後同様に質問に答えていき設定を進めます。こちらは環境によって適宜調整してください。
以上で初期設定は完了です。
3. アップロードファイルを準備する
以下の手順でmta-sts.txtファイルを作成します。
・Google Workspace管理コンソールの [アプリ] > [Google Workspace] > [Gmail] > [コンプライアンス]内のMTA-STS項よりMTA-STSの設定確認画面へ移動します。
・MTA-STSポリシーの診断にある「おすすめの設定」にある内容をコピーしてmta-sts.txtとして保存します。こちらがMTA-STSのポリシーファイルとなります。
4. mta-sts.txtファイルのアップロード準備
Firebaseにファイルをアップロードするため、構造を含めフォルダ及びファイルを準備します。firebaseの初期設定時に指定したルートフォルダ直下に.well-knownフォルダを作成しその配下にmta-sts.txtファイルを配置します。
ポリシーファイルのURLは https://mta-sts.<メールドメイン名>/.well-known/mta-sts.txt がルールのため異なる場所に配置した場合ポリシーが機能しません。そのため必ず .well-knownフォルダ配下に mta-sts.txtを配置するようにしてください。
以上でアップロードファイルの準備は完了です。
5. Firebase プロジェクトにmta-sts.txtファイルをアップロード(デプロイ)する
Firebase CLIより対象プロジェクトへ接続しfirebase deployコマンドを実行します。
Deploy complete!と表示されればアップロード成功です。
つづいて、結果確認を行います。
https://mta-sts.<メールドメイン名>/.well-known/mta-sts.txt へブラウザからアクセスします(mta-sts.txtに記述した内容が正しく表示されていることを確認します)。
Google Workspace管理コンソールで設定値が正しく検出されていることを確認します。
MTA-STSの設定がエラーとなっていますが、現段階ではDNSの設定がされておらず設定が終わっていないことに起因するものなので、この段階では無視して問題ありません。
両方確認して正しい設定値を確認できたらWebサーバーの設定は完了です。
もし複数ドメインをご利用中の場合、各ドメインごとに同じ処理を繰り返します。
まとめ
今回はFirebase Hosting上に用意したWebサーバへポリシーファイル(mta-sts.txt)をアップロードするところまでをご紹介させていただきました。
本音を申し上げると、ファイル一つを置くためにここまでしないといけないのか?と非常に面倒に感じました。
ただ、これはFirebase Hostingがそのような作りになっているからであり、MTA-STSを使うときはFirebase Hostingを使わなければならないという意味ではない点ご注意ください。
一般的なWebサーバーを使う場合はファイルをアップロードすれば良いので、ここまでの手間はかかりません。
また、ポリシーファイルのアップロードは、ポリシーの変更時だけなので頻繁に何度もやることではなく、mta-sts.txtファイルを差し替えて firebase deployコマンド一つで更新できるので2回目以降は手間はかかりません。
最初だけ少し手間ではありますが、その手間分を差し引いてもFirebase Hostingは証明書付きで無償で使うことができるというのは非常に魅力的な選択肢ではあると思いました。
次回は、MTA-STS の有効化 と ポリシー診断のレポート設定を有効にして実際に適用するところをご紹介したいと思います。
最後まで読んでいただきありがとうございました。
関連サービス
Google Workspace
Gmail、Google カレンダー、Google Chat、Google ドライブ、Google Meet などのさまざまなサービスがあらゆる働き方に対応する業務効率化を実現します。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
