SMTP拡張
REQUIRETLSを有効化 (RFC 8689)
RequireTLSはメールの送信時TLSを必須とするようフラグ付けできるSMTP拡張です。TLSが不可能(またはTLS証明書の交換が不可能)の場合、メールは暗号化されずに送信するのではなく、エラーとして戻されます。RequireTLSの詳細な説明は: RFC 8689: SMTP Require TLS Optionを参照してください。
RequireTLSはデフォルトで有効ですが、RequireTLSの処理対象となるメッセージは新しいコンテンツフィルタアクションである「REQUIRETLS…のフラグを追加」でコンテンツフィルタによるフラグ付けされたものか、<local-part>+requiretls@domain.tld (例えばarvel+requiretls@mdaemon.com) 宛のメールだけです。他のメールは全て、サービスが無効であるかのように処理されます。メールをRequireTLSを使って送信するにはいくつかの条件があります。条件を満たせない場合メールは送られずにエラーとして戻されます。要件は次の通りです。
•RequireTLSが有効化されていること
•コンテンツフィルタアクションや"<localpart>+requiretls@..."アドレスで、メールへRequireTLS処理が必要というフラグ付けがされていること
•宛先MXホストへのDNSルックアップでDNSSECを使用している(下記を参照)か、MXがMTA-STSで検証済である事
•受取側のホストへの接続にSSL (STARTTLS)が使用されていること
•受取側のホストのSSL証明書がMXホスト名と一致しており、信頼するCAへ紐づけられていること
•受信メールサーバーがREQUIRETLSに対応しておりEHLOレスポンスを返す事ができること
RequireTLSにはMXレコードホストのDNSSECによるルックアップか、MXがMTA-STSによる検証が必要です。 DNSSECで、DNSSECサービスのルックアップ用パラメータを指定する事で DNSSECの設定 が行えます。MDaemonの IPキャッシュ にはDNSSEC処理を許可するオプションがあり、DNSSEC関連の説明が MX Hostsファイルの最初にも記載されています。最後に、DNSSECは正しく設定されたDNSサーバーが必要ですが、これはこのヘルプファイルの説明の対象外となります。
MTA-STS対応はデフォルトで有効化されており、RFC 8461: SMTP MTA Strict Transport Security (MTA-STS)にて詳細をご確認頂けます。
SMTP MTA Strict Transport Security (MTA-STS)は は、メールサービスプロバイダー(SPs)側でメールを受信するにあたり、セキュアなSMTP接続が行えるトランスポート層レベルのセキュリティTransport Layer Security (TLS) に対応していることを宣言し、信頼のできるサーバ証明書を使用していない場合にメール送信側でメールを送信するかしないかを指定できる仕組みです。管理しているドメインに対してMTA-STSを設定するには、HTTPSを使った通信でURL https://mta-sts.domain.tld/.well-known/mta-sts.txt("domain.tld"部分は、実際のドメイン名に置き換えてください)からMTA-STSポリシーファイルをダウンロードできるようにする必要があります。ポリシーファイルは、次のフォーマットで記載してください:
version: STSv1
mode: testing
mx: mail.domain.tld
max_age: 86400
modeパラメータには、"none", "testing", "enforce"の指定が可能です。mxパラメータには、MXホスト名を指定して下さい。サブドメインに対しては、"*.domain.tld"といったワイルドカードの使用もできます。max_ageの単位は秒で、一般的な値は 86400 (1日)か 604800 (1週間)です。
また、DNSサーバには、TXTレコードに、_mta-sts.domain.tld("domain.tld"は実際のドメイン名に置き換えてください)という登録が必要で、次のフォーマットで値を記述して下さい。
v=STSv1; id=20200206T010101;
"id"の値は、ポリシーファイルの編集を行った際、その反映のため都度値を変更してください。一般的にidには、タイムスタンプを使用します。
除外リスト
特定のドメインをMTA-STSから除外するにはこのリストを使用します。
MTA-STS DNSレコードをキャッシュ
デフォルトで MDaemonは MTA-STS DNS レコードをキャッシュとして保持します。編集をクリックし、現在のキャッシュファイルの表示や編集が行えます。
TLS Reportingはデフォルトで無効に設定されており、RFC 8460: SMTP TLS Reportingで議論されています。
TLS Reportingは、MTA-STSポリシーの取得やSTARTTLSを使ったセキュアな接続のネゴシエーションに失敗した通知を、MTA-STSを使用するドメインに行ないます。有効にすると、MDaemonは各MTA-STSを使用するドメインへその日の送信した(もしくは送信を試みた)メールのレポートを日次で送ります。 レポートに含む情報について、設定できる幾つかのオプションがあります。
ドメインのTLS Reportingを設定するには、 DKIM署名を有効にし、DNS TXTレコードを _smtp._tls.domain.tld といった形式で作成します。"domain.tld"は実際のドメイン名に置き換えてください:
v=TLSRPTv1; rua=mailto:mailbox@domain.tld
mailbox@domain.tldの部分には、レポートメールを受信するメールアドレスをご指定下さい。
