MTA-STSとは？

Mail Transfer Agent Strict Transport Security – 解説

MTA-STSは、暗号化されたSMTP接続による電子メールの安全な送信を保証するセキュリティ標準です。頭字語のMTAはMessage Transfer Agentの略で、コンピュータ間で電子メールメッセージを転送するプログラムです。頭字語のSTSは、Strict Transport Securityの略で、この規格を実装するために使用されるプロトコルです。MTA-STS対応メール転送エージェント（MTA）またはセキュアメッセージ転送エージェント（SMTA）は、この仕様に従って動作し、保護されていないネットワーク上で電子メールを送信するためのセキュアなエンドツーエンドチャネルを提供します。
 

MTA-STSプロトコルにより、SMTPクライアントはサーバーの身元を確認し、TLSハンドシェイクでサーバに証明書フィンガープリントを提供するよう要求することで、偽装サーバに接続していないことを確認できます。次にクライアントは、既知のサーバの証明書を含むトラストストアに対して証明書を検証します。

MTA-STSの歴史と成り立ち

1982年にSMTPが初めて仕様化されましたが、メール転送エージェント間の通信を保護するためにトランスポートレベルでセキュリティを提供するメカニズムは含まれていませんでした。しかし1999年、SMTPにSTARTTLSコマンドが追加され、サーバー間の電子メールの暗号化がサポートされ、非セキュアな接続をTLSプロトコルを使用して暗号化されたセキュアな接続に変換する機能が提供されるようになりました。
 

その場合、SMTPがサーバー間の接続を保護するためにSTARTTLSを採用したのか、なぜMTA-STSへの移行が必要だったのか、そしてMTA-STSは何をするものなのかが気になるはずです。この記事の以下のセクションで、そのことに飛び込んでみましょう！

MTA-STSの展開 

MTA-STSプロトコルは、メールサーバが特定のサブドメインからポリシーファイルをフェッチできることを指定するDNSレコードを持つことによって展開されます。このポリシーファイルはHTTPS経由で取得され、受信者のメールサーバ名のリストとともに証明書で認証される。MTA-STSの実装は、メールサーバソフトウェアによってサポートされる必要があるため、送信側に比べて受信側の方が容易です。PostFixのようにMTA-STSをサポートしているメールサーバもありますが、すべてがそうとは限りません。

MTA-STSをサポートしているのは？

Microsoft, Oath, Googleといった主要なメールサービスプロバイダは、MTA-STSをサポートしています。GoogleのGmailは、最近すでにMTA-STSポリシーを採用しています。MTA-STSは、接続を保護するプロセスを簡単にして、サポートされているメールサーバーにアクセスしやすくすることで、電子メール接続セキュリティの欠点を取り除きました。
 

ユーザからメールサーバへの接続は通常、TLSプロトコルで保護され暗号化されていますが、それにも関わらず、MTA-STSが実装される以前は、メールサーバ間の接続にセキュリティの欠如が存在していました。最近の電子メールセキュリティに対する意識の高まりと、世界中の主要なメールプロバイダからのサポートにより、近い将来、サーバ接続の大半が暗号化されることが予想されます。さらに、MTA-STSは、ネットワーク上のサイバー犯罪者が電子メールのコンテンツを読むことができないように効果的に保証します。