MTA-STSとは何ですか?どのようにメールを保護しますか?

電子メールは、ほとんどのサイバー攻撃の背後にある最大の原因です。マルウェア、アドウェア、スパム、フィッシングへの簡単なアクセスポイントであり、脅威の攻撃者があなたの個人情報を入手するための無限の機会を提供します。

これらの脅威を軽減するには、個人用とビジネス用の両方の電子メールアカウントに対して厳格なセキュリティ対策を講じる必要があります。

電子メールのセキュリティと暗号化

他の通信モードの人気にもかかわらず、電子メールメッセージングは​​、個人または組織にとって転送中のデータの最大の形式です。メールの内容を保護することは非常に重要です。

電子メールのセキュリティには、すべての受信および送信電子メールトラフィックの検査と暗号化が含まれます。暗号化は、安全なSMTP(Simple Mail Transfer Protocol)接続を確保することにより、電子メールコンテンツのプライバシーを維持する上で重要な役割を果たします。

最近まで、暗号化はSMTPのオプション要件にすぎませんでした。

電子メール暗号化はどのように機能しますか?

電子メールの暗号化は、メッセージの内容に暗号またはコードを追加して解読できないようにするプロセスです。電子メールデータをコードに変換することにより、コンテンツは不正な露出から保護されます。簡単に言えば、あなたのメールはスクランブルされています。

追加のセキュリティとして、暗号化プロセスでは公開鍵と秘密鍵を利用し、暗号化された鍵を交換して、コード化された電子メールをロックおよびロック解除します。送信者は公開鍵暗号を使用して電子メールを暗号化し、その後、受信者は秘密鍵を使用して受信したメッセージを解読します。

暗号化は、最初から最後まで、電子メールの全行程に適用されます。ベストプラクティスとして、機密情報を運ぶメールだけでなく、すべての受信メールと送信メールを暗号化する必要があります。これにより、攻撃者がシステムへのエントリポイントを取得するのを防ぎます。

SMTPの背景と問題

SMTPプロトコルが1982年に登場したとき、電子メールの暗号化は一般的な方法ではなく、デフォルトでは、電子メールはプレーンテキストで送受信されていました。トランスポートレベルでセキュリティを導入するために、1990年代後半にSTARTTLSコマンドが追加され、 TLS(Transport Layer Security)プロトコルを介して暗号化オプションが提供されました。

TLSのアップグレードが聞こえたのと同じくらい有望でしたが、2つのセキュリティの抜け穴がそのまま残っていました。

  1. 暗号化オプションはまさにそれでした:オプション。安全でない電子メールは依然として横行しており、サイバー攻撃が急増しました。
  2. STARTTLSを設定しても、SMTPサーバーは証明書を検証しないため、送信者のサーバーのIDを認証する方法はありませんでした。

MTA-STSの到着

2019年、Googleはついにプレートにステップアップし、新しいMTA-STS(メール転送エージェント/厳密なトランスポートセキュリティ)標準( RFC8461 )の採用を発表しました。

これにより、メールサービスプロバイダーはSMTP接続を保護するためにTLSを課すことができ、信頼できるサーバー証明書を使用してTLSを提供しないMXホストへの電子メール配信を拒否するオプションも提供されます。

MTA-STSは、通信するSMTPサーバー間で暗号化を実施することにより、SMTPに関する以前のすべての問題を最終的に処理します。しかし、実際にはどのように機能しますか?確認してみましょう!

MTA-STSはどのように機能しますか?

MTA-STSは、次の2つの条件でのみ別のSMTPサーバーと通信するようにSMTPサーバーに指示することで機能します。

  1. SMTPサーバー暗号化する必要あります。
  2. サーバーの証明書のドメイン名はポリシーのドメインと一致し、証明書は最新です。

DNSとHTTPSの組み合わせを使用してポリシーを公開することにより、MTA-STSは、暗号化された通信チャネルを開始できない場合の続行方法を送信側に通知します。

受信者側でMTA-STSを実装するのは簡単ですが、送信者の場合は、 ProtonMailなどのサポートメールサーバーソフトウェアです。  使用すべきです。

関連: ProtonMail:必要な機能を備えた必要な電子メールセキュリティ

MTA-STSはどのような種類の攻撃を軽減しますか?

MTA-STSが電子メール通信に適用される場合、次の脅威に正面から向き合います。

Man-In-The-Middle(MITM)攻撃:この攻撃は、攻撃者が2者間の通信の途中で介入して、データを盗んだり変更したりするときに実行されます。電子メールの場合、これは通常、2つの通信SMTPサーバーを意味します。 MTA-STSを採用することで、これらの攻撃を簡単に防ぐことができます。

ダウングレード攻撃:攻撃者は、ネットワークチャネルを安全でないデータ送信モードに強制的に変更します。例として、この攻撃は、Webサイトの訪問者をHTTPSバージョンのサイトからHTTPバージョンにリダイレクトする可能性があります。 MTA-STSは、不正アクセスを防止することにより、これらの攻撃に対抗するのに役立ちます。

DNSスプーフィング攻撃:これらの狡猾な攻撃は、ユーザーの意図した宛先のDNSレコードを変更し、正当なサイトまたはドメインにアクセスしていると信じ込ませます。 MTA-STSを実装すると、これらの攻撃を軽減するのに大いに役立ちます。

関連: DNSキャッシュポイズニングとは何ですか?

MTA-STSに慣れてきたので、TLSレポートと呼ばれるSMTPの新しいレポート標準に触れるときが来ました。

SMTP TLSレポート(TLS-RPT)とは何ですか?

MTA-STSと同様に、TLS-RPTは、接続の問題と送信アプリケーション間の不一致を検出するレポート標準です。有効にすると、電子メールの送信中に外部サーバーで発生した接続の問題に関するレポートが毎日送信されます。

レポートを使用して潜在的な問題や構成の問題を測定およびトリアージできるトラブルシューティングツールと考えてください。

TLS-RPTはどのような種類の問題を解決しますか?

診断レポート: TLSレポートは、配信の問題に直面している受信メールに関する包括的な詳細を含むJSONファイル形式の診断レポートを提供します。また、ダウングレード攻撃などが原因で返送された、または配信されなかった電子メールも検出します。

可視性の向上: TLS-RPTを有効にすることで、すべての電子メールチャネルの可視性を向上させることができます。これにより、失敗したメッセージを含む、進行中のすべてのデータを監視できます。

日次レポート:診断レポートは、MTA-STSポリシーを詳細にカバーおよび監視するために、少なくとも1日に1回送信されます。レポートには、トラフィック統計だけでなく、エラーや失敗した配信に関する詳細情報も含まれます。

他のすべてが失敗すると、暗号化が優先されます

サイバー脅威は絶えず進化しているため、安全で安全な電子メール配信には、厳格なセキュリティ対策と暗号化が必須です。

強力な暗号化機能とMTA-STS標準を提供するさまざまな電子メールプロバイダーのおかげで、完全に安全な電子メール転送は、もはや大げさな現実ではありません。