お問い合わせはこちら

【図解】メールの暗号化で使われるSTARTTLSとは?仕組みと利用方法を解説します

公開
更新 2021/09/02

Gmailで受信したメールに、もし赤い鍵のアイコンが付いていたらどうしますか。これはメールが「暗号化」されていないときの表示ですが、何に気をつけたらいいのでしょうか。この記事ではメールの「暗号化」で使われる技術のうち、「STARTTLS」の大切な理由や仕組み、注意点をわかりやすく解説しています。これで安心してメールが利用でき、情報セキュリティが向上してお客様からの信頼にもつながります。

メールの暗号化とは?

メールはインターネットが誕生してから、メッセージなどの送受信に利用されています。送信者から受信者に流れるメールは、メールサーバーという中継地点を経由しています。そのメールのやりとりに暗号化が必要になってきた理由は、メールを使った盗聴や詐欺などさまざまな不正行為を防止することでした。

メールの送受信は安全?

一般的に暗号化とは、インターネット上に行き交うデータを、たとえのぞき見されてもわからないようにする技術です。大切な内容が含まれるデータをのぞかれると、金銭をだまし取られるなど犯罪行為につながるため危険です。

たとえばユーザーIDやパスワードなどのログイン情報を、メールに書いて送る場合を想像してみましょう。データが暗号化されていない「平文」という状態では、万一盗聴されると書かれている重要情報が簡単に外部に流失してしまいます。

その防止のために、のぞき見られても判読されないようデータに「鍵」をかけておきます。そうすればデータを本来受け取る人だけが、この「鍵」をはずして(復号化して)内容を見ることができます。次章では具体的な解決方法の一つとして、STARTTLS(スタート・ティーエルエス)の仕組みについて解説します。

メールの暗号化で使われるSTARTTLSの仕組み

メールを安全に利用するための技術は複数あります。この章では、そのなかでSTARTTLSの役割と仕組みを解説します。ポイントは、メールが配送される経路を安全にすることです。メール暗号化に用いられる技術として、メールの配送経路への対策とドメインへの対策とに分類できます。

STARTTLSでメールの配送経路を守る!

概要

その保護を目的に、STARTTLSが使われています。メールソフトの設定画面などにあるため、STARTTLSをメールソフトで選択できる暗号化の手法の一つのように思われるかもしれません。実際には、STARTTLSとは暗号化通信の一連の手順と考えます。STARTTLSの用語は「START」と「TLS」の合成で、それぞれ以下の意味が含まれています。

START文字通り解釈すれば、最初は暗号化された接続になっていない状態のため、TLSを使って暗号化した接続に切り替える。
TLS
(Transport Layer Security)
暗号化の通信手順SSLの後継バージョンとして機能する。

【参考サイト】
Connection Encryption – SSL, TLS and STARTTLS(英文)
https://help.runbox.com/connection-encryption-ssl-tls-starttls/#STARTTLS

SSLやTLSについて、カゴヤのサーバー研究室では以下の記事を公開しています。

【図解】SSL/TLSとは何か?その違いや仕組み・導入方法についてわかりやすく解説します

【図解】SSL/TLSとは何か?その違いや仕組み・導入方法についてわかりやすく解説します

インターネット上で個人情報を守るためには、SSL/TLSを導入することが必要不可欠です。今回は、そのSSL/TLSとは何か?SSL通信とTLS通信との違い、仕組みや導入方法(無料含む)について初心者に向けてわかりやすく解説します。 SSL/TLSとは?暗号通信の仕組み SSLとはSecure Sockets Layerの略で、送受信しているデータを暗号化する通信手順です。実際にSSL化されているか…

設定方法(一例)

Postfixの設定ファイルに以下を追記します。(送信側でUbuntu 20.04の場合)

【コマンド】

vi /etc/postfix/main.cf

【追記する内容】

smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_CAfile = /etc/pki/tls/cert.pem

【コマンド】

systemctl restart postfix

ドメインへの対策

配送経路への対策とは別にドメインへの対策があり、SPFや DKIM、DMARCなどの技術があります。これらはメール送信元のメールアドレスで使われているドメイン名が、怪しくないか確認(認証)できようにする方法です。ドメイン管理会社の管理画面で設定をします。概要は以下の通りです。

SPF送信時に使用するIPアドレスを登録して、メールがなりすましかどうかを判別する。
DKIM電子署名をつけて、なりすましや改ざんを検知する。
DMARCSPFやDKIMで認証が失敗した場合に、メールの処理方法(隔離や破棄など)を指示する。

Gmailの場合は、なりすましの防止を目的に以下の情報を公開しています。

▶なりすまし、フィッシング、迷惑メールの防止を支援する

カゴヤのサーバー研究室でも、以下のページで詳しく説明しています。

【図解】DKIMとは?SPFとの違い、最新のDMARCも!なりすましメール対策の仕組みを解説

【図解】DKIMとは?SPFとの違い、最新のDMARCも!なりすましメール対策の仕組みを解説

個人・企業を問わず、送信元を詐称されたメールによる被害が後を絶ちません。中でも企業を対象とした攻撃の事例では、その被害額が甚大になることもあります。この攻撃を対策するためには、DKIM(ディーキム)やSPF(エスピーエフ)・DMARC(ディーマーク)といった送信ドメイン認証による対策が不可欠です。この記事ではDKIMとは何かや、古くからあるSPF、最新のDMARCとの違いについて解説します。 DK…

STARTTLSのメリットとデメリット

だいたい以下のようにまとめられます。

メリット・専用ポート番号を使う必要がないので、ファイアウォールのルールを変更しなくてもよい
・そのため情報セキュリティを比較的安全に保つことができる
デメリット
(Transport Layer Security)
・メールサーバー間で送信側と受信側の両方対応していることが必須
(片方のみ対応の場合はSTARTTLSが有効にならない)

STARTTLSに対応しているメールサーバーを利用しましょう!

この章では、STARTTLSを使ったり確認する方法や注意点を解説しています。ポイントは次の2つです。

  1. ふだん使っているメールソフトを正しく設定する
  2. STARTTLS対応のレンタルサーバー会社またはそのプランを選択する

メールソフトの設定

STARTTLSで守られるためメール利用者がすることは、メールソフトの初期設定です。
ソフトを使い始めるときだけでよく、特別に難しい操作は必要ありません。ただし、次に説明するようにレンタルサーバーが対応していることが前提になります。

STARTTLSに対応しているレンタルサーバーはどこ?

一覧表があれば便利ですが現状では無いため、利用者が個別に確認するしかありません。
レンタルサーバー会社のマニュアルやサポートセンターなどで確認しましょう。

Googleの公式ページでは、メールが暗号化されているドメインやその割合などを公開しています。

【ご参考】
配信中のメールの暗号化
https://transparencyreport.google.com/safer-email/overview?hl=ja

カゴヤ・ジャパンの場合

以下のページの通り安心して利用できます。(共用タイプR2のメールプランを除く)

■サーバー間暗号化通信(STARTTLS)
https://www.kagoya.jp/option/mail/starttls.html

またカゴヤ・ジャパンでは、メールソフトの設定方法として、以下のページでSTARTTLSの指定方法について説明しています。メールソフト毎に設定マニュアルを用意しています。

▶POP3S / SMTPS でのメールソフトの設定
*説明箇所は、「SSL(保護された接続)」欄にある「送信メールサーバー」

まとめ

メールの暗号化で、STARTTLSをどのように使うかご理解いただけたかと思います。まずはメールサーバーが対応していれば、安心してGmailも利用できますね。盗聴や詐欺などの被害を避けるためには、メール利用時に暗号化が必要です。STARTTLS対応のレンタルサーバー会社を選びましょう。