メインコンテンツへスキップ
SMTP TLS レポート

SMTP TLS レポート

2021年4月1日
電子メール技術セキュリティに関する知見技術ガイダンス

SMTP TLS レポートとは何ですか?

SMTP(Simple Mail Transfer Protocol)のTLS(Transport Layer Security)レポートとは、サーバーが受信メールシステムに接続する際に発生する可能性のある接続のセキュリティ問題について、インターネットから報告を受け取る仕組みのことです。

メールサーバーが電子メールの送受信を行う際に使用するプロトコルであるSMTPはオープンな構造をとっているため、SMTPサーバー間の接続はSMTP TLSダウングレード攻撃を受けやすい。

SMTP TLSレポートの利点は、組織が可視性を確保し、DNSベースの命名エンティティ認証(DANE)やメール転送エージェント厳格トランスポートセキュリティ(MTA-STS)といった追加のセキュリティ標準を通じて、TLS接続のセキュリティを適用し始めることができる点にあります。

SMTP TLS レポートにはどのようなメリットがありますか?

SMTP TLS レポート機能を利用することで、以下の情報を把握できるようになります:

  • 確立されたTLS接続と確立されなかったTLS接続
  • 中間者攻撃(MiTM)(証明書の不一致)
  • 有効期限が切れた証明書
  • サーバーが応答しない
  • 認証局(CA)による検証が行われない証明書

さらに、次世代のSMTP転送セキュリティプロトコルであるDANEfor SMTPおよびSMTPMTA-STSを導入することも可能です

SMTP TLS レポートの設定方法

dmarcianの各アカウントには、レポートを送信するための固有のSMTP TLSレポート用アドレスが割り当てられています。レポート用メールアドレスを確認するには、アカウントにログインし、右上の「設定」(歯車アイコン)をクリックして、「設定」ページに移動してください。「アカウント詳細」の下に「TLS JSONレポート用アドレス」が表示されます。

これで、監視を設定したいメッセージを受信する(つまり、DNS MXレコードを持つ)すべてのドメインに対して、DNS TXTレコードを公開できるようになりました。以下に例を示します:

NAME: _smtp._tls.example.org
TYPE: TXT
CONTENT: v=TLSRPTv1; rua=mailto:[email protected]

: ご利用のDNSプロバイダーによっては、以下の設定のみが必要となる場合があります _smtp._tls それらは以下のものを提供する可能性があるため example.org ご自身の環境については、DNSプロバイダーにご確認ください。

SMTP TLS レポートの表示方法

当社のTLSレポートインターフェースは、当社の 詳細ビューアと同様の設計になっています。これにより、メールのフローを特定の問題領域に絞り込み、ポリシー実施の判断に必要なデータにアクセスすることができます。

TLSレポート機能をご利用になるには、dmarcianアカウントにログインし、右上にある「ツール」(レンチアイコン)をクリックしてください。TLS列の下にあるドロップダウンメニューから、「TLSレポート」をクリックします。

dmarcianでは、メールのセキュリティ向上に向けた取り組みの進捗状況を把握できるよう、以下に示すようなレポート機能やツールを提供しています。TLSレポートを受け付ける機能や、設定が適切に行われているかを確認するためのインスペクターツールもご用意しています。

SMTP TLS レポートの失敗結果の種類

SMTP TLS レポートは、TLS ハンドシェイクの問題に関するフィードバックを提供することで、安全なメール配信における問題の特定と解決を支援します。障害レポートには発生したさまざまな種類の問題が詳細に記載されており、メール管理者はこれらを効果的に対処することができます。以下に、これらのレポートに含まれる結果の種類を示します。それぞれが、TLS ネゴシエーションおよびポリシーチェック中に発生した特定の障害を示しています。

交渉の失敗

  • starttls-not-supported: 受信側のMTAは、安全なTLS接続を確立するために不可欠なSTARTTLSコマンドに対応していません。

  • 証明書とホスト名の不一致: 受信側のMTAから提示された証明書が、期待されるホスト名と一致しません。これは、証明書の「共通名(CN)」または「サブジェクト別名(SAN)」フィールドに、受信側のMTAのドメイン名が含まれていない場合に発生します。

    • これは、証明書がホスト名と一致しなかったことを意味します。たとえば、MTAのホスト名が「mail.example.com」であるのに対し、証明書に「smtp.example.com」と記載されている場合、この不一致によりエラーが発生します。

  • certificate-expired: 受信側のMTAから提示された証明書の有効期限が切れています。

  • certificate-not-trusted: 受信側のMTAが提示した証明書が、送信側のMTAによって信頼されていません。これは、証明書が自己署名型であるか、信頼できない認証局(CA)によって発行された場合に発生することがあります。

  • validation-failure: これは、他のカテゴリに該当しない理由による一般的な失敗を示します。この宣言を使用する場合、報告元のMTAは「failure-reason-code」を使用して、受信側エンティティに詳細情報を提供する必要があります。

MTA-STS固有のポリシーエラー

  • sts-policy-fetch-error: 送信元のMTAは、ネットワークの問題、DNSの問題、またはポリシーをホストしているサーバーの問題により、サーバーからMTA-STSポリシーを取得できませんでした。

  • sts-policy-invalid: 取得した MTA-STS ポリシーが無効です。無効なポリシーには、構文エラーがあるか、必要な形式に準拠していない可能性があります。

  • sts-webpki-無効: MTA-STSポリシーは、以下を使用して認証できませんでした PKIX検証.

    • このメッセージは、PKIX標準を使用してMTA-STSセキュリティポリシーを確認する際に問題が発生したことを意味します。メールサーバーは、宛先サーバーのセキュリティポリシーが信頼できるものであることを確認できませんでした。

DANE固有のポリシー上の問題

  • tlsa-invalid: DANE でサーバーの証明書を識別するために使用される TLSA レコードが、形式またはデータの不備により無効です。

  • dnssec-invalid: ドメインネームシステムセキュリティ拡張(DNSSEC)の検証処理に失敗しました。

  • dane-必須: 送信元MTAは接続のためにDANEを要求していますが、必要なTLSAレコードが存在しないか、無効です。

    • このエラーは、メール転送エージェント(MTA)がDANEを使用してセキュアな接続を確立しようとしたものの、受信者のドメインに対する有効なTLSAレコードが見つからなかったことを示しています。

私たちがお手伝いします
dmarcianは、メールセキュリティの専門家チームを擁し、「ドメインセキュリティを通じてメールとインターネットの信頼性を高める」ことを使命としています。私たちは、組織が保有するドメイン群の現状評価から、DMARCの導入、そして長期的な運用管理に至るまで、手厚くサポートいたします。

30日間の無料トライアルを始めましょう

この会話を続けたいですか?dmarcianフォーラムへどうぞ

サイバーセキュリティSMTP

関連記事