Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 707

MTA-STS

MTA-STS とは何ですか?

MTA-STSRFC 8461 で定義されるメールセキュリティ機構。ドメインが受信 SMTP に対する TLS を強制し、信頼できる MX ホスト名を固定することで、ダウングレードや STARTTLS ストリップ攻撃を防ぐ。

MTA-STS (MTA Strict Transport Security) は RFC 8461 で規定されています。ドメインは _mta-sts.example.com に TXT レコードを公開し、https://mta-sts.example.com/.well-known/mta-sts.txt から HTTPS で取得できるポリシーで、必要となる TLS、許容する MX ホスト名、モード (none、testing、enforce) を宣言します。送信側 MTA はポリシーをキャッシュし、enforce モードでは STARTTLS・証明書検証・MX 照合のいずれかが失敗した場合に配送を拒否します。MTA-STS は DNSSEC を導入していない運用者にとって DANE/TLSA を補完し、能動的攻撃者による STARTTLS ストリップや偽証明書提示への対策となります。SMTP TLS Reporting (RFC 8460) により、TLS 失敗の日次 JSON レポートで運用状況を可視化できます。

  1. 01

    enforce モードのポリシーを公開し、受信 SMTP を mx1.example.com と mx2.example.com の TLS 1.2 以上に限定する。

  2. 02

    MTA-STS のロールアウト成功後、TLSRPT の日次レポートで TLS 失敗ゼロを継続して確認する。

よくある質問

MTA-STS とは何ですか?

RFC 8461 で定義されるメールセキュリティ機構。ドメインが受信 SMTP に対する TLS を強制し、信頼できる MX ホスト名を固定することで、ダウングレードや STARTTLS ストリップ攻撃を防ぐ。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。

MTA-STS とはどういう意味ですか?

RFC 8461 で定義されるメールセキュリティ機構。ドメインが受信 SMTP に対する TLS を強制し、信頼できる MX ホスト名を固定することで、ダウングレードや STARTTLS ストリップ攻撃を防ぐ。

MTA-STS はどのように機能しますか?

MTA-STS (MTA Strict Transport Security) は RFC 8461 で規定されています。ドメインは _mta-sts.example.com に TXT レコードを公開し、https://mta-sts.example.com/.well-known/mta-sts.txt から HTTPS で取得できるポリシーで、必要となる TLS、許容する MX ホスト名、モード (none、testing、enforce) を宣言します。送信側 MTA はポリシーをキャッシュし、enforce モードでは STARTTLS・証明書検証・MX 照合のいずれかが失敗した場合に配送を拒否します。MTA-STS は DNSSEC を導入していない運用者にとって DANE/TLSA を補完し、能動的攻撃者による STARTTLS ストリップや偽証明書提示への対策となります。SMTP TLS Reporting (RFC 8460) により、TLS 失敗の日次 JSON レポートで運用状況を可視化できます。

MTA-STS からどのように防御しますか?

MTA-STS に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

MTA-STS の別名は何ですか?

一般的な別名: MTA 厳格トランスポートセキュリティ。

関連用語