ビュー:
Transport Layer Security (TLS) はデータを保護し、エンドポイント間の通信のプライバシーを保証するプロトコルです。Cloud Email Gateway Protectionでは、Cloud Email Gateway Protectionと指定したTLSピアの間でTLS暗号化ポリシーを設定できます。Cloud Email Gateway Protectionでは、次の降順優先度でTLSプロトコルをサポートします: TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0。
TLS接続における中間者攻撃への対策として、Cloud Email Gateway Protectionには、宛先サーバのIDを確認するためのDNS-Based Authentication of Named Entities (DANE) とMail Transfer Agent - Strict Transport Security (MTA-STS) が導入されています。
注意
注意
送信メールの配信時にCloud Email Gateway Protectionと指定したTLSピアの間でDANE認証またはMTA-STS認証を有効にすることができます。
受信メールの場合、Cloud Email Gateway Protectionでは、ドメインのDNSレコードとポリシーの設定後にMTA-STSがサポートされます。詳細については、受信保護設定のためのmta-stsレコードについてを参照してください。
[Transport Layer Security (TLS) ピア] 画面では、次の重要な用語が使用されます。
用語
詳細
[管理対象ドメイン]リスト
ステータス (管理対象ドメイン)
  • 有効: ドメインが有効になっています。
  • 無効: ドメインが無効になっています。
初期設定 (ドメインが未指定の場合)
この設定は管理対象ドメインの一覧にないすべてのドメインに適用されます。
[ドメインのTLSピア] リスト
ステータス (TLSピア)
  • 有効: Cloud Email Gateway Protectionは指定されたTLS設定をピアに適用します。
  • 無効: Cloud Email Gateway Protectionは指定されたTLS設定をピアに適用しません。
    代わりに、初期設定 (ドメインが未指定の場合)TLS設定が適用されます。
TLSピア
Cloud Email Gateway Protectionは、ネットワーク通信の間、指定されたTLS設定をこのピアで適用できます。
最小TLSバージョン
TLSプロトコルを介してCloud Email Gateway Protectionと通信するためにTLSピアが使用する必要がある最小TLSバージョン。
  • TLS 1.3: TLSピアはTLS 1.3を使用する必要があります。
  • TLS 1.2: TLSピアはTLS 1.2以降を使用する必要があります。
  • 制限なし: TLSピアはすべてのTLSプロトコルを使用できます。
セキュリティレベル
  • 透過的TLS:
    • ピアがTLSをサポートし、その使用を選択する場合、暗号化を利用して通信します。
    • ピアがTLSをサポートしない場合、暗号化なしで通信します。
    • ピアがTLSをサポートするが、その使用を選択しない場合、暗号化なしで通信します。
  • 必須TLS:
    • ピアがTLSをサポートし、その使用を選択する場合、暗号化を利用して通信します。
    • ピアがTLSをサポートしない場合、通信しません。
    • ピアがTLSをサポートするが、その使用を選択しない場合、通信しません。
  • 透過的DANE TLS (送信保護のみ)
    • リモートSMTPサーバに使用可能なDANE TLSAレコードがあり、ピアがDANE認証に成功した場合、暗号化を利用して通信します。
    • パラメータがサポートされていないかデータの形式が正しくないためにすべてのTLSAレコードを使用できない場合、[必須TLS] にダウングレードします。
    • それ以外の場合、[透過的TLS] にダウングレードします。
  • 必須DANE TLS (送信保護のみ)
    • ピアがDANE認証に成功した場合、暗号化を利用して通信します。
    • ピアがDANE認証に成功しなかった場合、通信しません。
  • MTA-STS (送信保護のみ)
    • TLSピアでポリシーモードの 「enforce」 または 「testing」 を使用し、MTA-STS検証に成功した場合、暗号化を利用してメッセージを配信します。
    • TLSピアでポリシーモードの 「enforce」 を使用し、MTA-STS検証に失敗した場合、メッセージを配信しません。
    • TLSピアのポリシーを取得できない場合、TLSピアでポリシーモードの 「none」 を使用する場合、TLSピアでポリシーモードの 「testing」 を使用し、MTA-STS検証に失敗した場合、[透過的TLS] を利用してメッセージを配信します。
注意
注意
TLSピアでDANEとMTA-STSの両方がサポートされる場合は、ピアとの通信にDANEを選択することをお勧めします。SMTP接続の保護に関して、DANEはMTA-STSよりも安全であると見なされます。
初期設定 (ピアが未指定の場合)
この設定は次のいずれかの基準を満たすすべてのピアに適用されます。
  • ピアがピアの一覧にない
  • ピアがピアの一覧にあるが、無効である
関連情報