このスライドは、2021年2月25日に開催された”パスワード付きzip添付メール問題を考える ”におけるLTでの発表スライドです。

1. SparxSystems Japan Co., Ltd.
SMTPのSTARTTLSにおける
TLSバージョンについて
(パスワード付きzip添付メール問題を考える LT 2021/02/25)
スパークスシステムズジャパン 若梅 友則
wakaume@sparxsystems.co.jp

2. 前提
2
⚫ パスワード付きzip添付メールは、end-to-endの話
⚫ 今回発表は、サーバ間の経路の話（メールサーバ運営の方向け）

3. 発表内容
• SMTPのSTARTTLS において
➢TLSv1.2 利用の設定を行ってほしい
➢TLSv1.0/TLSv1.1 の止め時は？
3

4. 自己紹介
• 名前：若梅 友則
• 所属：スパークスシステムズジャパン株式会社
➢UMLモデリングツール等のソフトウェア開発支援ツール販売
➢電子メールの1ユーザー
➢オンライン販売・オンラインサポート
• 電子メールとのかかわり
➢1992? 高専にてアドレスを取得
➢199X 大学にてサーバ/ML(メーリングリスト)運用
➢1999/12 独自ドメイン取得・自宅サーバにてメール/ML運用開始
➢2004 所属会社にて、サーバ運用開始
4

5. 背景
• 所属する組織において、電子メールは、社外とのコミュニケーションの重要な
手段（メールエラー・ロスト・スパム扱いは、トラブルの元）
➢社外からのメール受信において、取りこぼしたくない
➢社外へのメール送信において、きちんと届くように送信したい
• OSの更新に伴いメールサーバを更新、メールのTLSのバージョンをTLS1.2
のみに変更したら・・・（最近のHTTPSのTLSバージョンの廃止が念頭）
➢送信できないメール発生（エラー）
➢受信できてないメール発生（ログで確認）
5

6. 送信側TLSv1.2のみ、受信側がTLSv1.0のみ
• 送信側
➢Returned mail
(reason: 403 4.7.0 TLS handshake failed.)
• STARTTLSは日和見だが、STARTTLSでプロトコルアンマッチに
なると、TLSなしでの送信には、ならないみたい。
➢sendmail・設定誤り？
• 対応
➢TRY_TLS: NO 設定 => 非暗号化
✓送信先ごと・いつまで設定？ ・（tls_failures パッチ？）
➢送信側で TLSv1.0 対応
6

7. 送信側TLSv1.0のみ、受信側がTLSv1.2のみ
• 受信側
➢STARTTLS=server, error: accept failed=-1,
reason=unknown protocol, SSL_error=1, errno=0,
retry=-1, relay=example.jp
• とりこぼさないためには
➢STARTTLS停止 => 非暗号化
➢受信側で TLSv1.0 対応
✓TLSv1.0対応のメールサーバを残す
✓MTA-STS 対応困難
7

8. クラウド・サービスの対応
• Salesforce
➢TLS1.0 は停止
✓ 送受信メールの TLS 1.0 の無効化について
https://help.salesforce.com/articleView?id=000313671
• TLSv1.0対応
➢Gmail
✓ https://support.google.com/a/answer/9795993?hl=ja に記載
➢MS (xx.outlook.com)
➢IIJ (mx.securemx.jp)
➢さくらのレンタルサーバ
• STARTTLS 未対応？
➢yahoo.co.jp
8

9. 外部情報
• HTTPS における TLSv1.0/1.1 は停止の方向
➢エンドツーエンドの話
➢エンドユーザのクライアントプログラム（ブラウザ）が主導？
• SMTP(STARTTLS)においては、いつ？主導者は？
➢エンドユーザは、ある意味無関係
9

10. まとめ（発表内容）
• SMTPのSTARTTLS において
➢TLSv1.2 利用の設定を行ってほしい
➢TLSv1.0/TLSv1.1 の止め時は？
10