フォーム読み込み中
Google Workspaceのメールセキュリティ向上 MTA-STSを設定してみる 4/4(MTA-STSを有効化し動作確認してみた編)
Microsoft365/Google Workspaceエンジニア
和田 敏志
Google Workspace & Microsoft 365のエンジニア。
ソフトバンクにて、数千〜数万ユーザー規模の導入支援をPM/SEとして担当。
現在はソフトバンクにおける Google Workspace初代エバンジェリストとして、「え、そんな使い方アリ!?」や「面白い使い方」を探しては発信する毎日。
社内のGoogle系エンジニア育成にも力を入れており、布教活動は家庭内にも及ぶ
- 受賞歴
- Google Cloud Partner Top Engineer 2024/2025 Google Workspace
- Google Cloud Partner Tech Influencer Challenge 2025 Solution部門
2023年4月4日掲載
こんにちは!
本ページを見ていただきありがとうございます。
MTA-STSという言葉/仕組みをご存知でしょうか?
実はGoogle Workspaceには以前からある機能ではあるのですが、実装したという事例をみたことがありませんでした。
先日Microsoft 365(Exchange Online)でも機能が追加され、いよいよ2大クラウドがサポートするようになりました。
これで、いよいよ普及期に入ってきたかなということで今回Google WorkspaceでのMTA-STSの設定をやってみました。
前回はFirebase CLIiの初期設定〜ポリシーファイル作成、Firebase Hostingへポリシーファイルのアップロードまでの前準備部分をご紹介させていただきました。
・前回の記事
Google Workspaceのメールセキュリティ向上 MTA-STSを設定してみる 3/4(環境準備編2)
今回が最終編となり、DNSの設定〜有効化を行い動作確認までをご紹介したいと思います。
本記事がメールシステムを管理されている皆様のGoogle Workspace環境の改善の一助になれば幸いです。
作業の段取り
本日実施する作業の範囲並びに段取りは以下の通りです。
ポリシー診断のレポート(以下TLSレポート)を受け取るための準備
レポートを受信するメールアドレスの指定
DNSの設定
TLSレポートの送信先設定
MTA-STS TXTレコードの追加(=有効化)
動作確認
TLSレポートを受け取るための準備
TLS レポートを設定する理由
TLSレポートを設定しておくとMTA-STSを適用した後、MTA-STS対応の外部送信サーバーから指定したメールアドレス宛に送信結果のレポートが日次で届くようになります。メールが不達となった時、本レポートから原因がわかることもあるので設定することを強く推奨いたします。
TLSレポートを受信するメールボックスの設定を行います
- 受信アドレスの決定
- TLSレポートの送信先アドレスはDNSサーバーにTXTレコードとして記述します。
- メールアドレスは任意ですが、DNSに送信先メールアドレスを記述しますので個人が特定できてしまうようなメールアドレスは推奨いたしません。今回はおすすめの設定のメールアドレスをそのまま使いました。
- 受信メールボックスの設定
メールの受信をできれば良いので、単一のアカウントとして払い出しを行う あるいは エイリアスを設定するいずれでも問題ありません。今回は、管理者アカウントのエイリアスとして設定しました。
動作確認を行い、エイリアス宛のメールが正しく受信できれば準備完了です。
DNS設定
二度手間ではありますが、設定の誤り等があった場合の切り戻しができるように1回の処理で2レコードを登録するのではなく、それぞれ段階ごとに分けて設定することを推奨します。
TLSレポートの有効化
DNSに管理コンソール記載のポリシー診断のレコードを登録します。登録が正しく行われてたらおすすめの設定欄が空白となり、Googleサーバーが検知した値が表示されます。
MTA-STS の有効化
DNSサーバーに MTA-STS TXTレコードを登録し有効化します。正しく有効化されるとMTA -STSの設定欄が有効に変わります。
こちらでMTA-STSの有効化は完了です。
本記事では MTA-STSポリシーはtestingモードとしています。実運用においては、この状態で様子見をまず行い、その後受信エラー等が無ければ enforceに変更することを推奨いたします。各モードの詳細につきましてはGoogle Workspace 管理者 ヘルプをご参照ください。
動作確認
MTA-STSを有効にしてもメールのヘッダにMTA-STSに関連する何かが追加されるなど、目に見える変化は無く変わった感はありません。そのため本当に正しく設定されたのか?ということに若干不安が残ります。
そこで、今回の設定変更により動きが変わる部分に着目し動作確認を行います。
おさらいとなりますが、今回MTA -STSを適用するとメールを送信する前にMTA-STSポリシーファイルの参照が行われます。そこで今回は外部からの設定値チェックに加えWebサーバーへポリシーファイルを参照しに来ているか?という確認を行いました。
外部の設定値チェッカーによる確認
MTA-STSの登録チェックツールは様々ありますが今回はMX-Toolsにて実施しました。
- MTA-STS Lookup - Check domains for Inbound Transport Layer Security (TLS) Enforcement - MxToolbox
- チェックしたいドメイン名を入力し、MTA-STS LookupをするとDNSレコードの登録状況やポリシーファイルのチェックをしてくれます。以下が結果の画像となりますが、最下部の囲み部がチェックした内容になっています。こちらがオールグリーンであることを確認します。
MTA-STS TXTレコードの有効性確認
Firebaseでロギングを有効化しておくとログエクスプローラでWebサーバへのアクセス履歴を確認することができます。MTA-STSを有効化した後、正しく設定されていればMTA-STSに対応したメールサービスが送信があったときにポリシーファイルへのアクセスログが発生するようになります。このアクセスログがあれば、有効化設定は機能しているということが言えると思います。
TLSレポートのTXTレコードの有効性確認
こちらはすぐ確認することができません。有効化したのちMTA-STSが有効なメールシステム(Microsoft365,Gmailなど)からの送信が発生すれば送信元ドメインより送信レポートが送信されるようになります。
送信レポートを作成するためにGoogle Workspaceをご利用であればMicrosoft365等からテストメールを送信する必要があります。この例では実際にMicrosoftから受信したTLSレポートを記載しています。一部ドメイン名等は変更していますがほぼこの内容のものが届くようになります。
添付ファイルを展開するとその日の送信結果が記載されており、成功数失敗数が最終行に記載されています。送信時にエラー等があった場合は失敗としてカウントされます。
===TLS レポート(json形式) ====
{
"organization-name": "Microsoft Corporation",
"date-range": {
"start-datetime": "2023-02-28T00:00:00Z",
"end-datetime": "2023-02-28T23:59:59Z"
},
"contact-info": "tlsrpt-noreply@microsoft.com",
"report-id": "133221722798060614+hogehoge.com",
"policies": [
{
"policy": {
"policy-type": "sts",
"policy-string": [
"version: STSv1",
"mode: testing",
"mx: aspmx3.googlemail.com",
"mx: aspmx2.googlemail.com",
"mx: aspmx.l.google.com",
"mx: alt1.aspmx.l.google.com",
"mx: alt2.aspmx.l.google.com",
"max_age: 604800"
],
"policy-domain": "hogehoge.com"
},
"summary": {
"total-successful-session-count": 2, ← ※成功数
"total-failure-session-count": 0 ← ※失敗数
}
}
]
}
このようにTLSレポートを受信し、成功のカウントのみで失敗カウントがなければ完了です。もし失敗していることがTLSレポートに記述されている場合はエラーの内容に沿って対処を行います。
以上で動作確認は完了です。
まとめ
MTA-STSを導入するまでの一連の流れをご紹介させていただきました。
結果的に長編記事となってしまいました。全編を読んでくださった方、お付き合いいただきありがとうございました。
Google Workspace あるいは Microsoft 365をお使いのお客様が自ドメインにMTA-STSを適用すれば、MTA-STS をサポートする送信者からの接続は、中間者攻撃に対してより適切に保護されるようになります。
もしMTA-STS を設定すれば例えば、Google Workspaceをご利用中のお客様がMicrosoft365をご利用中の方からのメールを受信する場合(逆も同様に)MTA-STSを使って安全に送信されることが保証されます。
なお、送信者が MTA-STS を導入していない場合でも電子メールは従来どおり配信されます。
今回はWebサーバーを用意するところからご紹介したため前段が長くなってしまいましたが、すでに自社ドメインをホストするWebサーバーをお持ちであれば、ポリシーファイルとDNSを記述すれば比較的簡単に始められます。
本記事を通じて、自衛のためにMTA-STSを導入されるお客様が1社でも増えるようなことがあれば嬉しいです。
最後まで読んでいただきありがとうございました。
関連サービス
Google Workspace
Gmail、Google カレンダー、Google Chat、Google ドライブ、Google Meet などのさまざまなサービスがあらゆる働き方に対応する業務効率化を実現します。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
