Gmail のセキュリティを強化するには、ご利用のドメインに対して MTA Strict Transport Security(MTA-STS)を有効にします。MTA-STS を有効にすると、ドメイン宛てに送信されたメールに対する認証チェックや暗号化が必須になり、Gmail のセキュリティ強化につながります。Transport Layer Security(TLS)レポートは、ドメインへの外部サーバー接続に関する情報の把握に役立ちます。
Gmail はすべてのメール プロバイダと同様に、SMTP を使用してメールの送受信を行いますが、SMTP だけでセキュリティを確保することはできません。多くの SMTP サーバーのセキュリティ レベルでは、特定の悪意のある攻撃を防ぐことはできません。
たとえば、SMTP は中間者攻撃に対して脆弱です。中間者攻撃とは、2 つのサーバー間で検出されずに通信が傍受、改ざんされる可能性がある攻撃です。MTA-STS を使用してメールサーバー接続のセキュリティを強化することで、こうした攻撃を防ぐことができます。
詳しくは、MTA-STS(RFC 8461)と TLS レポート(RFC 8460)についてのページをご覧ください(英語)。
MTA-STS のメール セキュリティ
送信側のサーバーが MTA-STS をサポートし、受信側のサーバーに自動適用モードの MTA-STS ポリシーが設定されている場合、メールの SMTP 接続の安全性は高まります。
メールの受信: ドメインで MTA-STS を有効にすると、外部のメールサーバーは SMTP 接続が次の両方に該当する場合にのみ、ドメインにメールを送信できます。
- 有効な公開証明書で認証されている
- TLS 1.2 以降で暗号化されている
MTA-STS をサポートするメールサーバーは、認証と暗号化の両方を備えた接続を介してのみ、ドメインにメールを送信します。
メールの送信: 外部サーバーに MTA-STS ポリシーが自動適用モードで設定されていて、そのサーバーにドメインからメール メッセージを送信する場合、デフォルトでは MTA-STS に準拠します。
TLS レポート
TLS レポートを有効にすると、管理者はドメインに接続する外部メールサーバーに対して日次レポートをリクエストできます。外部サーバーがドメインにメールを送信したときに接続に関する問題が検出された場合、その情報が TLS レポートに記述されます。メールサーバーのセキュリティの問題を特定、修正するには、レポートのデータが役立ちます。
Gmail のその他のセキュリティ機能
メール認証のベスト プラクティス
管理者の方には、ドメインに対して以下のメール認証方法を設定していただくことをおすすめします。
- SPF: あるドメインから送信されたように見えるメールが、ドメイン所有者によって承認されたサーバーから送信されたものであることを受信サーバーで確認できます。
- DKIM: すべてのメールにデジタル署名が追加され、この署名によって、メールが偽装されていないことと配信中に改変されていないことを受信サーバーで確認できます。
- DMARC を使用すると、SPF と DKIM の認証が適用されるとともに、メールの認証と配信に関するレポートを入手できます。
MTA-STS と TLS レポートの設定手順
- ドメインの MTA-STS 設定を確認します。
- MTA-STS ポリシーを作成します。
- MTA-STS ポリシーを公開します。
- DNS TXT レコードを追加して MTS-STA と TLS レポートを有効にします。
MTA-STS と TLS レポートの詳細
SMTP のセキュリティについては取り決めがなく、標準では、SMTP はプレーン テキスト接続を許可することが求められています。SMTP を単独で使用する場合は、ベスト エフォート型のメール配信がサポートされ、メール配信や最低限のサービス品質の保証はありません。SMTP は TLS に対応していますが、多くの SMTP サーバーは TLS を使用しておらず、安全とはいえません。
SMTP サーバーに関する一般的なセキュリティの問題としては次のようなものがあります。
- TLS 証明書の有効期限が切れている
- 証明書がサーバー ドメイン名と一致しない
- 証明書の発行元が、信頼できる第三者機関ではない
- セキュアなプロトコルをサポートしていない
セキュリティが欠如しているということは、SMTP 接続が中間者攻撃やその他の悪意のある攻撃を受けるリスクがあることを意味します。ほとんどのメール プロバイダは、TLS を使用する SMTP 接続を介してメールを送信しようと試みます。しかし、TLS 接続が確立できなくてもメールは送信されます。
MTA-STS を有効にすると、次の条件に当てはまらない場合はメールを送信しないよう送信側のサーバーに通知されます。
- 送信サーバーが MTA-STS をサポートしていること
- 受信サーバーの MTA-STS ポリシーが自動適用モードで公開されていること。
関連情報
- 特定のドメインまたはメールアドレスとメールをやりとりする場合に、プロトコルで保護された接続を必須にするよう TLS を構成する方法をご覧ください。
- SMTP の詳細については、RFC 3207 をご覧ください。
TLS レポートを有効にしたドメインでは、外部メールサーバーからの日次レポートを取得できます。レポートをメールで受け取ることも、ウェブサーバーにアップロードされたレポートにアクセスすることもできます。レポートには、ドメインの MTA-STS と接続ステータスに関する情報が含まれます。具体的には、検出された MTA-STS ポリシー、トラフィック統計情報、失敗した接続、送信できなかったメッセージに関する情報などです。
レポートは、外部サーバーがドメインにメールを送信する際に発生する可能性のある問題を把握するのに役立ちます。ポリシーをテストモードに設定すると、MTA-STS の暗号化と認証を適用していなくてもレポートを取得できます。ドメインの接続に関する問題があれば、ポリシーを自動適用モードに変更する前に解決しておいてください。詳しくは、MTA-STS ポリシーのモードについてのページをご覧ください。
メール プロバイダの間で TLS レポートの普及が進めば、多くのレポートを受信できるようになると考えられます。
TLS レポートの詳細については、RFC 8460 をご覧ください。
