2. MTA-STS ポリシーを作成する

ドメインの MTA-STS を設定するには、ドメインごとにポリシーを作成して公開します。このポリシーにより、ドメイン内で MTA-STS を使用するメールサーバーが定義されます。

ポリシー ファイルはドメインごとに個別に作成する必要があります。同じポリシーを使用する場合も、MTA-STS を使用するドメインごとに別々にポリシーをホストする必要があります。

MTA-STS のサーバー要件

受信メールサーバーで次のことを確認します。

• メールの送受信時にセキュリティ プロトコルで保護された（TLS）接続を必須としている
• TLS バージョン 1.2 以降を使用している
• サーバーの TLS 証明書が次の要件を満たしている
  • 受信メールサーバー（MX レコードのサーバー）で使用されるドメイン名と一致している
  • ルート認証局の署名があり信頼されている
  • 有効期限内である

TLS 証明書の詳細については、トランスポート層の保護（TLS）のために Google Workspace 証明書を使用する方法についてのページをご覧ください。

MTA-STS ポリシーのモード

MTA-STS ポリシーは、テストモードまたは自動適用モードで設定できます。

テストモード

テストモードでは、レポートが外部メールサーバーから毎日送信されます。レポートには、ドメインへの接続時に検出された問題に関する情報に加えて、検出された MTA-STS ポリシー、トラフィック統計情報、失敗した接続、未送信のメッセージに関する情報が含まれます。

テストモードでは、ドメインがリクエストするのはレポートのみです。このモードでは、MTA-STS で必須とされる接続のセキュリティは適用されません。まずテストモードを 2 週間使用することをおすすめします。ドメインに問題がある場合、その把握と解決には 2 週間分のレポートデータがあれば十分です。

サーバーやドメインでの暗号化やその他のセキュリティの問題を解決するには、日次レポートの情報が役立ちます。次に、ポリシーを自動適用モードに変更します。

自動適用モード

ポリシーが自動適用モードである場合、ドメインは SMTP 接続が暗号化され認証されていることを外部サーバーが確認するようリクエストします。

接続が暗号化または認証されていない場合は、以下のようになります。

• MTA-STS に対応したサーバーからはドメインにメールが送信されません。
• MTA-STS に対応していないサーバーからは、引き続き SMTP 接続を介して通常どおりドメインにメールが送信されます。これらの SMTP 接続は暗号化されない場合があります。

自動適用モードでは、引き続き外部サーバーから日次レポートが届きます。

ポリシー ファイルを作成する

ポリシー ファイルは、キーと値のペアが含まれる書式なしテキスト ファイルです。次の例に示すように、各ペアをテキスト ファイルの 1 行に 1 つずつ入力します。ポリシー テキスト ファイルのサイズは最大 64 KB です。

ポリシー ファイル名: テキスト ファイルのファイル名は mta-sts.txt です。

ポリシー ファイルの更新: メールサーバーの追加や変更、ドメインの変更を行うたびに、ポリシー ファイルを更新します。

ポリシー ファイルの形式: version フィールドをポリシーの 1 行目に記述する必要があります。他のフィールドは任意の順序で指定できます。ポリシー ファイルの例を次に示します。

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

ポリシー ファイルの内容: ポリシーには、次のすべてのキーと値のペアを含める必要があります。ドメイン用にカスタマイズされたポリシーを取得するには、MTA-STS のステータスおよび推奨設定の確認についてのページで手順をご確認ください。

キー	値
version	プロトコルのバージョン。STSv1 です。
mode	ポリシーモード: testing: ドメインに接続するときに検出された暗号化やその他の問題に関するレポートが外部サーバーから送信されます。MTA-STS の暗号化と認証の要件は適用されません。 enforce: SMTP 接続で認証と暗号化の両方が行われない場合、MTA-STS に対応したメールサーバーからのメールはドメインに送信されません。テストモードと同じく、外部サーバーからは、接続の問題に関するレポートも届きます。 none: ドメインが MTA-STS に対応しなくなったことを外部サーバーに伝えます。この値は MTA-STS の使用を停止した場合に使用します。詳しくは、Removing MTA-STS（RFC 8461）をご覧ください。
mx	ドメインの MX レコード。 ポリシーには、ドメインに追加された MX レコードごとに mx エントリが必要です。 次の例に示すように、ポリシー ファイルの 1 行に 1 つの mx エントリを入力します。 メールサーバー名は、サブジェクトの別名（SAN）の標準形式である必要があります。 mx 値は、次の例のうちいずれかの形式で入力します。 単一のサーバーを MX の標準形式で指定します（例: alt1.aspmx.solarmora.com）。 ワイルドカードを使用すると、命名パターンに一致するサーバーを指定できます。ワイルドカード文字は左端のラベルにのみ使用できます（例: *.solarmora.com）。 詳しくは、MX レコードと MX レコードの値についての記事をご覧ください。
max_age	ポリシーの有効期間（秒数）。ポリシーが外部サーバーから確認されるたびに、そのサーバーの max_age はリセットされます。そのため、同じポリシーであっても有効期間は外部サーバーことに異なることがあります。 指定できる値は 86400（1 日）〜31557600（約 1 年）です。 テストモードにおけるおすすめの値は、604800～1209600（1〜2 週間）です。

次のステップ

MTA-STS ポリシーを公開する