[要約] RFC 8689は、SMTPサーバーがTLS接続を要求するオプションを提供するための仕様です。その目的は、メールの送信時にセキュアな通信を確保し、データの保護とプライバシーの向上を促進することです。
Internet Engineering Task Force (IETF) J. Fenton
Request for Comments: 8689 Altmode Networks
Category: Standards Track November 2019
ISSN: 2070-1721
SMTP Require TLS Option
SMTPにはTLSオプションが必要
Abstract
概要
The SMTP STARTTLS option, used in negotiating transport-level encryption of SMTP connections, is not as useful from a security standpoint as it might be because of its opportunistic nature; message delivery is, by default, prioritized over security. This document describes an SMTP service extension, REQUIRETLS, and a message header field, TLS-Required. If the REQUIRETLS option or TLS-Required message header field is used when sending a message, it asserts a request on the part of the message sender to override the default negotiation of TLS, either by requiring that TLS be negotiated when the message is relayed or by requesting that recipient-side policy mechanisms such as MTA-STS and DNS-Based Authentication of Named Entities (DANE) be ignored when relaying a message for which security is unimportant.
SMTP接続のトランスポートレベルの暗号化のネゴシエーションで使用されるSMTP STARTTLSオプションは、その便宜的な性質のため、セキュリティの観点からはあまり役に立ちません。デフォルトでは、メッセージ配信はセキュリティよりも優先されます。このドキュメントでは、SMTPサービス拡張REQUIRETLSとメッセージヘッダーフィールドTLS-Requiredについて説明します。メッセージの送信時にREQUIRETLSオプションまたはTLS-Requiredメッセージヘッダーフィールドが使用されている場合、メッセージのリレー時にTLSのネゴシエーションを要求するか、メッセージをリレーするか、またはセキュリティが重要ではないメッセージをリレーするときに、MTA-STSやDNSベースの名前付きエンティティの認証(DANE)などの受信者側のポリシーメカニズムを無視するように要求する。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8689.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8689で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2019 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2019 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction
1.1. Requirements Language
2. The REQUIRETLS Service Extension
3. The TLS-Required Header Field
4. REQUIRETLS Semantics
4.1. REQUIRETLS Receipt Requirements
4.2. REQUIRETLS Sender Requirements
4.2.1. Sending with TLS Required
4.2.2. Sending with TLS Optional
4.3. REQUIRETLS Submission
4.4. Delivery of REQUIRETLS messages
5. Non-delivery Message Handling
6. Reorigination Considerations
7. IANA Considerations
8. Security Considerations
8.1. Passive Attacks
8.2. Active Attacks
8.3. Bad-Actor MTAs
8.4. Policy Conflicts
9. References
9.1. Normative References
9.2. Informative References
Appendix A. Examples
A.1. REQUIRETLS SMTP Option
A.2. TLS-Required Header Field
Acknowledgements
Author's Address
The SMTP [RFC5321] STARTTLS service extension [RFC3207] provides a means by which an SMTP server and client can establish a Transport Layer Security (TLS) protected session for the transmission of email messages. By default, TLS is used only upon mutual agreement (successful negotiation) of STARTTLS between the client and server; if this is not possible, the message is sent without transport encryption. Furthermore, it is common practice for the client to negotiate TLS even if the SMTP server's certificate is invalid.
SMTP [RFC5321] STARTTLSサービス拡張[RFC3207]は、SMTPサーバーとクライアントがトランスポート層セキュリティ(TLS)で保護されたセッションを確立して、電子メールメッセージを送信するための手段を提供します。デフォルトでは、TLSはクライアントとサーバー間のSTARTTLSの相互合意(ネゴシエーションの成功)でのみ使用されます。これが不可能な場合、メッセージはトランスポート暗号化なしで送信されます。さらに、SMTPサーバーの証明書が無効な場合でも、クライアントがTLSをネゴシエートすることは一般的です。
Policy mechanisms such as DANE [RFC7672] and MTA-STS [RFC8461] may impose requirements for the use of TLS for email destined for some domains. However, such policies do not allow the sender to specify which messages are more sensitive and require transport-level encryption and which ones are less sensitive and ought to be relayed even if TLS cannot be negotiated successfully.
DANE [RFC7672]やMTA-STS [RFC8461]などのポリシーメカニズムは、一部のドメイン宛ての電子メールにTLSを使用するための要件を課す場合があります。ただし、このようなポリシーでは、TLSを正常にネゴシエートできない場合でも、送信者がより機密性が高く、トランスポートレベルの暗号化を必要とするメッセージと、機密性が低く、中継する必要があるメッセージを指定できません。
The default opportunistic nature of SMTP TLS enables several on-the-wire attacks on SMTP security between MTAs. These include passive eavesdropping on connections for which TLS is not used, interference in the SMTP protocol to prevent TLS from being negotiated (presumably accompanied by eavesdropping), and insertion of a man-in-the-middle attacker exploiting the lack of server authentication by the client. Attacks are described in more detail in the Security Considerations section of this document.
SMTP TLSのデフォルトの日和見的な性質により、MTA間のSMTPセキュリティに対するいくつかの送信中の攻撃が可能になります。これらには、TLSが使用されていない接続でのパッシブ盗聴、TLSがネゴシエートされるのを防ぐためのSMTPプロトコルの干渉(おそらく盗聴を伴う)、およびサーバー認証の欠如を悪用する中間者攻撃の挿入が含まれますクライアント。攻撃については、このドキュメントの「セキュリティに関する考慮事項」セクションで詳しく説明しています。
REQUIRETLS consists of two mechanisms: an SMTP service extension and a message header field. The service extension is used to specify that a given message sent during a particular session MUST be sent over a TLS-protected session with specified security characteristics. It also requires that the SMTP server advertise that it supports REQUIRETLS, in effect promising that it will honor the requirement to enforce TLS transmission and REQUIRETLS support for onward transmission of those messages.
REQUIRETLSは、SMTPサービス拡張とメッセージヘッダーフィールドの2つのメカニズムで構成されています。サービス拡張は、特定のセッション中に送信される特定のメッセージが、指定されたセキュリティ特性を備えたTLSで保護されたセッションを介して送信される必要があることを指定するために使用されます。また、SMTPサーバーはREQUIRETLSをサポートしていることを通知する必要があり、実際には、これらのメッセージのTLS送信とREQUIRETLSサポートを強制する要件を順守することを約束します。
The TLS-Required message header field is used to convey a request to ignore recipient-side policy mechanisms such as MTA-STS and DANE, thereby prioritizing delivery over ability to negotiate TLS. Unlike the service extension, the TLS-Required header field allows the message to transit through one or more MTAs that do not support REQUIRETLS.
TLS必須メッセージヘッダーフィールドは、MTA-STSやDANEなどの受信者側のポリシーメカニズムを無視する要求を伝えるために使用され、TLSをネゴシエートする機能よりも配信を優先します。サービス拡張とは異なり、TLS-Requiredヘッダーフィールドを使用すると、メッセージはREQUIRETLSをサポートしない1つ以上のMTAを通過できます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこのドキュメントの「」は、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
The formal syntax uses the Augmented Backus-Naur Form (ABNF) [RFC5234], including the core rules defined in Appendix B of that document.
正式な構文は、その文書の付録Bで定義されているコアルールを含むAugmented Backus-Naur Form(ABNF)[RFC5234]を使用しています。
The REQUIRETLS SMTP service extension has the following characteristics:
REQUIRETLS SMTPサービス拡張には、次の特性があります。
1. The textual name of the extension is "Require TLS".
1. 拡張のテキスト名は「Require TLS」です。
2. The EHLO keyword value associated with this extension is "REQUIRETLS".
2. この拡張機能に関連付けられているEHLOキーワード値は「REQUIRETLS」です。
3. No additional SMTP verbs are defined by this extension.
3. この拡張機能では、追加のSMTP動詞は定義されていません。
4. One optional parameter ("REQUIRETLS") is added to the MAIL FROM command by this extension. No value is associated with this parameter.
4. この拡張機能により、MAIL FROMコマンドに1つのオプションパラメーター( "REQUIRETLS")が追加されます。このパラメーターに関連付けられている値はありません。
5. The maximum length of a MAIL FROM command line is increased by 11 octets by the possible addition of a space and the REQUIRETLS keyword.
5. MAIL FROMコマンドラインの最大長は、スペースとREQUIRETLSキーワードを追加することにより、11オクテット増加します。
6. One new SMTP status code is defined by this extension to convey an error condition resulting from failure of the client to send data to a server that does not also support the REQUIRETLS extension.
6. この拡張によって1つの新しいSMTPステータスコードが定義され、クライアントがREQUIRETLS拡張をサポートしていないサーバーにデータを送信できなかったために発生したエラー状態が伝えられます。
7. The REQUIRETLS extension is valid for message relay [RFC5321], submission [RFC6409], and the Local Mail Transfer Protocol (LMTP) [RFC2033].
7. REQUIRETLS拡張は、メッセージリレー[RFC5321]、送信[RFC6409]、およびローカルメール転送プロトコル(LMTP)[RFC2033]で有効です。
8. The ABNF syntax for the MAIL FROM parameter is as follows:
8. MAIL FROMパラメータのABNF構文は次のとおりです。
requiretls-param = "REQUIRETLS"
; where requiretls-param is an instance of an
; esmtp-param used in Mail-parameters in
; RFC 5321, Section 4.1.2. There is no esmtp-value
; associated with requiretls-param.
In order to specify REQUIRETLS treatment for a given message, the REQUIRETLS option is specified in the MAIL FROM command when that message is transmitted. This option MUST only be specified in the context of an SMTP session meeting the security requirements of REQUIRETLS:
特定のメッセージにREQUIRETLS処理を指定するには、そのメッセージが送信されるときにMAIL FROMコマンドでREQUIRETLSオプションを指定します。このオプションは、REQUIRETLSのセキュリティ要件を満たすSMTPセッションのコンテキストでのみ指定する必要があります。
* The session itself MUST employ TLS transmission.
* セッション自体はTLS送信を採用しなければなりません。
* If the SMTP server to which the message is being transmitted is identified through an MX record lookup, its name MUST be validated via a DNSSEC signature on the recipient domain's MX record, or the MX hostname MUST be validated by an MTA-STS policy as described in Section 4.1 of [RFC8461]. DNSSEC is defined in [RFC4033], [RFC4034], and [RFC4035].
* メッセージの送信先のSMTPサーバーがMXレコードルックアップによって識別されている場合、その名前は受信者ドメインのMXレコードのDNSSEC署名を介して検証する必要があります。または、MXホスト名は説明したようにMTA-STSポリシーによって検証する必要があります[RFC8461]のセクション4.1。 DNSSECは、[RFC4033]、[RFC4034]、および[RFC4035]で定義されています。
* The certificate presented by the SMTP server either MUST be verified successfully by a trust chain leading to a certificate trusted by the SMTP client, or it MUST be verified successfully using DANE, as specified in [RFC7672]. For trust chains, the choice of trusted (root) certificates is at the discretion of the SMTP client.
* SMTPサーバーによって提示される証明書は、SMTPクライアントによって信頼される証明書につながる信頼チェーンによって正常に検証されるか、[RFC7672]で指定されているように、DANEを使用して正常に検証される必要があります。信頼チェーンの場合、信頼できる(ルート)証明書の選択は、SMTPクライアントの裁量に任されています。
* Following the negotiation of STARTTLS, the SMTP server MUST advertise in the subsequent EHLO response that it supports REQUIRETLS.
* STARTTLSのネゴシエーションに続いて、SMTPサーバーは、REQUIRETLSをサポートすることを後続のEHLO応答で通知しなければなりません(MUST)。
One new message header field [RFC5322], TLS-Required, is defined by this specification. It is used for messages for which the originator requests that the recipient TLS policy (including MTA-STS [RFC8461] and DANE [RFC7672]) be ignored. This might be done, for example, to report a misconfigured mail server, such as an expired TLS certificate.
この仕様では、TLS-Requiredという1つの新しいメッセージヘッダーフィールド[RFC5322]が定義されています。これは、発信者が受信者のTLSポリシー(MTA-STS [RFC8461]およびDANE [RFC7672]を含む)を無視するように要求するメッセージに使用されます。これは、たとえば、失効したTLS証明書など、誤って設定されたメールサーバーを報告するために行われる場合があります。
The TLS-Required header field has a single REQUIRED parameter:
TLS必須のヘッダーフィールドには、1つのREQUIREDパラメータがあります。
* No - The SMTP client SHOULD attempt to send the message regardless of its ability to negotiate STARTTLS with the SMTP server, ignoring policy-based mechanisms (including MTA-STS and DANE), if any, asserted by the recipient domain. Nevertheless, the client SHOULD negotiate STARTTLS with the server if available.
* いいえ-SMTPクライアントは、SMTPサーバーとSTARTTLSをネゴシエートする機能に関係なく、メッセージの送信を試行する必要があります(SHOULD)。ポリシーベースのメカニズム(MTA-STSおよびDANEを含む)を無視して、受信者ドメインによってアサートされます。それにもかかわらず、クライアントは、可能であればサーバーとSTARTTLSをネゴシエートする必要があります(SHOULD)。
More than one instance of the TLS-Required header field MUST NOT appear in a given message.
TLS-Requiredヘッダーフィールドの複数のインスタンスが特定のメッセージに表示されてはなりません(MUST NOT)。
The ABNF syntax for the TLS-Required header field is as follows:
TLS必須ヘッダーフィールドのABNF構文は次のとおりです。
requiretls-field = "TLS-Required:" [FWS] "No" CRLF
; where requiretls-field in an instance of an
; optional-field defined in RFC 5322, Section 3.6.8.
FWS = <as defined in RFC 5322>
CRLF = <as defined in RFC 5234>
Upon receipt of the REQUIRETLS option on a MAIL FROM command during the receipt of a message, an SMTP server MUST tag that message as needing REQUIRETLS handling.
メッセージの受信中にMAIL FROMコマンドのREQUIRETLSオプションを受信すると、SMTPサーバーは、そのメッセージにREQUIRETLS処理が必要であることを示すタグを付ける必要があります。
Upon receipt of a message not specifying the REQUIRETLS option on its MAIL FROM command but containing the TLS-Required header field in its message header, an SMTP server implementing this specification MUST tag that message with the option specified in the TLS-Required header field. If the REQUIRETLS MAIL FROM parameter is specified, the TLS-Required header field MUST be ignored but MAY be included in the onward relay of the message.
MAIL FROMコマンドでREQUIRETLSオプションを指定していないが、メッセージヘッダーにTLS-Requiredヘッダーフィールドを含むメッセージを受信すると、この仕様を実装するSMTPサーバーは、TLS-Requiredヘッダーフィールドで指定されたオプションでそのメッセージにタグを付ける必要があります。 REQUIRETLS MAIL FROMパラメーターが指定されている場合、TLS必須ヘッダーフィールドは無視する必要がありますが、メッセージの中継に含めることができます(MAY)。
The manner in which the above tagging takes place is implementation dependent. If the message is being locally aliased and redistributed to multiple addresses, all instances of the message MUST be tagged in the same manner.
上記のタグ付けが行われる方法は、実装によって異なります。メッセージがローカルでエイリアス化され、複数のアドレスに再配布されている場合、メッセージのすべてのインスタンスに同じ方法でタグを付ける必要があります。
When sending a message tagged as requiring TLS for which the MAIL FROM return-path is not empty (an empty MAIL FROM return-path indicating a bounce message), the sending (client) MTA MUST:
MAIL FROM return-pathが空ではないTLSを必要とするタグが付けられたメッセージ(バウンスメッセージを示す空のMAIL FROM return-path)を送信する場合、送信(クライアント)MTAは以下を行う必要があります。
1. Look up the SMTP server to which the message is to be sent, as described in [RFC5321], Section 5.1.
1. [RFC5321]のセクション5.1で説明されているように、メッセージの送信先となるSMTPサーバーを検索します。
2. If the server lookup is accomplished via the recipient domain's MX record (the usual case) and is not accompanied by a valid DNSSEC signature, the client MUST also validate the SMTP server name using MTA-STS, as described in [RFC8461], Section 4.1.
2. サーバーの検索が受信者のドメインのMXレコード(通常の場合)を介して行われ、有効なDNSSEC署名が添付されていない場合、[RFC8461]のセクション4.1で説明されているように、クライアントはMTA-STSを使用してSMTPサーバー名も検証する必要があります。 。
3. Open an SMTP session with the peer SMTP server using the EHLO verb.
3. EHLO動詞を使用して、ピアSMTPサーバーとのSMTPセッションを開きます。
4. Establish a TLS-protected SMTP session with its peer SMTP server and authenticate the server's certificate as specified in [RFC6125] or [RFC7672], as applicable. The hostname from the MX record lookup (or the domain name in the absence of an MX record where an A record is used directly) MUST match the DNS-ID or CN-ID of the certificate presented by the server.
4. ピアSMTPサーバーとのTLSで保護されたSMTPセッションを確立し、[RFC6125]または[RFC7672]で指定されているとおりにサーバーの証明書を認証します。 MXレコードルックアップからのホスト名(または、Aレコードが直接使用されるMXレコードがない場合のドメイン名)は、サーバーによって提示された証明書のDNS-IDまたはCN-IDと一致する必要があります。
5. Ensure that the response to the subsequent EHLO following establishment of the TLS protection advertises the REQUIRETLS capability.
5. TLS保護の確立後の後続のEHLOへの応答がREQUIRETLS機能をアドバタイズすることを確認します。
The SMTP client SHOULD follow the recommendations in [RFC7525] or its successor with respect to negotiation of the TLS session.
SMTPクライアントは、TLSセッションのネゴシエーションに関して、[RFC7525]またはその後継の推奨に従うべきです(SHOULD)。
If any of the above steps fail, the client MUST issue a QUIT to the server and repeat steps 2-5 with each host on the recipient domain's list of MX hosts in an attempt to find a mail path that meets the sender's requirements. The client MAY send other, unprotected messages to that server if it has any such messages prior to issuing the QUIT. If there are no more MX hosts, the client MUST NOT transmit the message to the domain.
上記の手順のいずれかが失敗した場合、クライアントはサーバーにQUITを発行し、送信者の要件を満たすメールパスを見つけようとして、MXホストの受信者ドメインのリストにある各ホストで手順2〜5を繰り返す必要があります。クライアントは、QUITを発行する前にそのようなメッセージがある場合、そのサーバーに他の保護されていないメッセージを送信できます(MAY)。 MXホストがなくなった場合、クライアントはドメインにメッセージを送信してはならない(MUST NOT)。
Following such a failure, the SMTP client MUST send a non-delivery notification to the reverse-path of the failed message, as described in Section 3.6 of [RFC5321]. The following status codes [RFC5248] SHOULD be used:
[RFC5321]のセクション3.6で説明されているように、SMTPクライアントは、失敗した後、失敗したメッセージのリバースパスに配信不能通知を送信する必要があります。次のステータスコード[RFC5248]を使用する必要があります。
* REQUIRETLS not supported by server: 5.7.30 REQUIRETLS support required
* REQUIRETLSはサーバーでサポートされていません:5.7.30 REQUIRETLSサポートが必要です
* Unable to establish TLS-protected SMTP session: 5.7.10 Encryption needed
* TLSで保護されたSMTPセッションを確立できません:5.7.10暗号化が必要です
Refer to Section 5 for further requirements regarding non-delivery messages.
配信不能メッセージに関する詳細な要件については、セクション5を参照してください。
If all REQUIRETLS requirements have been met, transmit the message, issuing the REQUIRETLS option on the MAIL FROM command with the required option(s), if any.
すべてのREQUIRETLS要件が満たされている場合は、メッセージを送信し、必要なオプションがあれば、MAIL FROMコマンドでREQUIRETLSオプションを発行します。
Messages tagged "TLS-Required: No" are handled as follows. When sending such a message, the sending (client) MTA MUST:
「TLS必須:いいえ」のタグが付いたメッセージは、次のように処理されます。このようなメッセージを送信する場合、送信側(クライアント)のMTAは以下を実行する必要があります。
* Look up the SMTP server to which the message is to be sent, as described in [RFC5321], Section 5.1.
* [RFC5321]のセクション5.1で説明されているように、メッセージの送信先となるSMTPサーバーを検索します。
* Open an SMTP session with the peer SMTP server using the EHLO verb. Attempt to negotiate STARTTLS if possible, and follow any policy published by the recipient domain, but do not fail if this is unsuccessful.
* EHLO動詞を使用して、ピアSMTPサーバーとのSMTPセッションを開きます。可能な場合はSTARTTLSのネゴシエーションを試み、受信者ドメインによって公開されたポリシーに従ってください。これが失敗しても失敗しません。
Some SMTP servers may be configured to require STARTTLS connections as a matter of policy and not accept messages in the absence of STARTTLS. A non-delivery notification MUST be returned to the sender if message relay fails due to an inability to negotiate STARTTLS when required by the server.
一部のSMTPサーバーは、ポリシーの問題としてSTARTTLS接続を必要とし、STARTTLSがないとメッセージを受け入れないように構成されている場合があります。サーバーからの要求に応じてSTARTTLSをネゴシエートできないためにメッセージのリレーが失敗した場合は、配信不能通知を送信者に返す必要があります。
Since messages tagged with "TLS-Required: No" will sometimes be sent to SMTP servers not supporting REQUIRETLS, that option will not be uniformly observed by all SMTP relay hops.
「TLS-Required:No」でタグ付けされたメッセージはREQUIRETLSをサポートしていないSMTPサーバーに送信されることがあるので、そのオプションはすべてのSMTPリレーホップで均一に監視されるわけではありません。
A Mail User Agent (MUA) or other agent making the initial introduction of a message has the option to decide whether to require TLS. If TLS is to be required, it MUST do so by negotiating STARTTLS and REQUIRETLS and including the REQUIRETLS option on the MAIL FROM command, as is done for message relay.
メールユーザーエージェント(MUA)またはメッセージの最初の導入を行う他のエージェントには、TLSを要求するかどうかを決定するオプションがあります。 TLSが必要な場合は、メッセージリレーの場合と同様に、STARTTLSとREQUIRETLSをネゴシエートし、MAIL FROMコマンドにREQUIRETLSオプションを含めることにより、TLSを実行する必要があります。
When TLS is not to be required, the sender MUST include the TLS-Required header field in the message. SMTP servers implementing this specification MUST interpret this header field as described in Section 4.1.
TLSが必要ない場合、送信者はメッセージにTLS-Requiredヘッダーフィールドを含める必要があります。この仕様を実装するSMTPサーバーは、セクション4.1で説明されているように、このヘッダーフィールドを解釈する必要があります。
In either case, the decision whether to specify REQUIRETLS MAY be done based on a user interface selection or based on a ruleset or other policy. The manner in which the decision to require TLS is made is implementation dependent and is beyond the scope of this specification.
どちらの場合でも、REQUIRETLSを指定するかどうかの決定は、ユーザーインターフェイスの選択に基づいて、またはルールセットやその他のポリシーに基づいて行われる場合があります。 TLSを要求する決定が行われる方法は実装に依存し、この仕様の範囲を超えています。
Messages are usually retrieved by end users using protocols other than SMTP such as IMAP [RFC3501], POP [RFC1939], or Web mail systems. Mail delivery agents supporting the REQUIRETLS SMTP option SHOULD observe the guidelines in [RFC8314].
メッセージは通常、IMAP [RFC3501]、POP [RFC1939]、Webメールシステムなど、SMTP以外のプロトコルを使用してエンドユーザーが取得します。 REQUIRETLS SMTPオプションをサポートするメール配信エージェントは、[RFC8314]のガイドラインを遵守する必要があります(SHOULD)。
Non-delivery ("bounce") messages usually contain important metadata about the message to which they refer, including the original message header. They therefore MUST be protected in the same manner as the original message. All non-delivery messages resulting from messages with the REQUIRETLS SMTP option, whether resulting from a REQUIRETLS error or some other issue, MUST also specify the REQUIRETLS SMTP option unless redacted as described below.
配信不能(「バウンス」)メッセージには、通常、元のメッセージヘッダーを含め、参照するメッセージに関する重要なメタデータが含まれています。したがって、元のメッセージと同じ方法で保護する必要があります。 REQUIRETLSエラーまたはその他の問題が原因であるかどうかに関係なく、REQUIRETLS SMTPオプションを含むメッセージから生じるすべての配信不能メッセージは、以下のように編集されない限り、REQUIRETLS SMTPオプションも指定する必要があります。
The path from the origination of an error bounce message back to the MAIL FROM address may not share the same REQUIRETLS support as the forward path. Therefore, users requiring TLS are advised to make sure that they are capable of receiving mail using REQUIRETLS as well. Otherwise, such non-delivery messages will be lost.
エラーバウンスメッセージの発信元からMAIL FROMアドレスに戻るパスは、転送パスと同じREQUIRETLSサポートを共有しない場合があります。したがって、TLSを必要とするユーザーは、REQUIRETLSを使用してメールを受信できることを確認することをお勧めします。そうしないと、そのような配信不能メッセージは失われます。
If a REQUIRETLS message is bounced, the server MUST behave as if RET=HDRS was present, as described in [RFC3461]. If both RET=FULL and REQUIRETLS are present, the RET=FULL MUST be disregarded. The SMTP client for a REQUIRETLS bounce message uses an empty MAIL FROM return-path, as required by [RFC5321]. When the MAIL FROM return-path is empty, the REQUIRETLS parameter SHOULD NOT cause a bounce message to be discarded even if the next-hop relay does not advertise REQUIRETLS.
REQUIRETLSメッセージがバウンスされる場合、サーバーは、[RFC3461]で説明されているように、RET = HDRSが存在するかのように動作する必要があります。 RET = FULLとREQUIRETLSの両方が存在する場合は、RET = FULLを無視する必要があります。 REQUIRETLSバウンスメッセージのSMTPクライアントは、[RFC5321]で要求されているように、空のMAIL FROMリターンパスを使用します。 MAIL FROM return-pathが空の場合、ネクストホップリレーがREQUIRETLSをアドバタイズしなくても、REQUIRETLSパラメータはバウンスメッセージを破棄するべきではありません(SHOULD NOT)。
Senders of messages requiring TLS are advised to consider the possibility that bounce messages will be lost as a result of REQUIRETLS return path failure and that some information could be leaked if a bounce message is not able to be transmitted with REQUIRETLS.
TLSを必要とするメッセージの送信者は、REQUIRETLSリターンパス障害の結果としてバウンスメッセージが失われる可能性、およびバウンスメッセージがREQUIRETLSで送信できない場合に一部の情報が漏洩する可能性を考慮することをお勧めします。
In a number of situations, a mediator [RFC5598] originates a new message as a result of an incoming message. These situations include but are not limited to mailing lists (including administrative traffic such as message approval requests), Sieve [RFC5228], "vacation" responders, and other filters to which incoming messages may be piped. These newly originated messages may essentially be copies of the incoming message, such as with a forwarding service or a mailing list expander. In other cases, such as with a vacation message or a delivery notification, they will be different but might contain parts of the original message or other information for which the original message sender wants to influence the requirement to use TLS transmission.
多くの状況で、メディエーター[RFC5598]は着信メッセージの結果として新しいメッセージを発信します。これらの状況には、メーリングリスト(メッセージ承認要求などの管理トラフィックを含む)、Sieve [RFC5228]、「休暇」レスポンダ、および着信メッセージがパイプされる可能性のあるその他のフィルタが含まれますが、これらに限定されません。これらの新しく発信されたメッセージは、転送サービスやメーリングリストエクスパンダなどを使用して、基本的に着信メッセージのコピーになる場合があります。不在メッセージや配信通知などの他の場合では、それらは異なりますが、元のメッセージの一部または元のメッセージ送信者がTLS送信を使用する要件に影響を与えたい他の情報を含む場合があります。
Mediators that reoriginate messages should apply REQUIRETLS requirements in incoming messages (both requiring TLS transmission and requesting that TLS not be required) to the reoriginated messages to the extent feasible. A limitation to this might be that for a message requiring TLS, redistribution to multiple addresses while retaining the TLS requirement could result in the message not being delivered to some of the intended recipients.
メッセージを再発信するメディエーターは、着信メッセージのREQUIRETLS要件(TLS送信を要求し、TLSが不要であることを要求する)を可能な限り再発信メッセージに適用する必要があります。これに対する制限は、TLSを必要とするメッセージの場合、TLS要件を維持しながら複数のアドレスに再配布すると、意図した受信者の一部にメッセージが配信されなくなる可能性があることです。
User-side mediators (such as use of Sieve rules on a user agent) typically do not have access to the SMTP details and therefore may not be aware of the REQUIRETLS requirement on a delivered message. Recipients that expect sensitive traffic should avoid the use of user-side mediators. Alternatively, if operationally feasible (such as when forwarding to a specific, known address), they should apply REQUIRETLS to all reoriginated messages that do not contain the "TLS-Required: No" header field.
ユーザー側メディエーター(ユーザーエージェントでのSieveルールの使用など)は通常、SMTP詳細にアクセスできないため、配信されたメッセージのREQUIRETLS要件を認識していない場合があります。機密トラフィックを期待する受信者は、ユーザー側のメディエーターの使用を避ける必要があります。または、運用上可能であれば(特定の既知のアドレスに転送する場合など)、「TLS-Required:No」ヘッダーフィールドを含まないすべての再発信メッセージにREQUIRETLSを適用する必要があります。
Per this document, IANA has added the following keyword to the "SMTP Service Extensions" subregistry of the "Mail Parameters" registry [MailParams]:
このドキュメントに従って、IANAは次のキーワードを「メールパラメータ」レジストリ[MailParams]の「SMTPサービス拡張」サブレジストリに追加しました。
EHLO Keyword: REQUIRETLS Description: Require TLS Syntax and parameters: (no parameters) Additional SMTP verbs: none MAIL and RCPT parameters: REQUIRETLS parameter on MAIL Behavior: Use of the REQUIRETLS parameter on the MAIL verb causes that message to require the use of TLS and tagging with REQUIRETLS for all onward relay. Command length increment: 11 characters
EHLOキーワード:REQUIRETLS説明:TLSが必要です構文およびパラメーター:(パラメーターなし)追加のSMTP動詞:なしMAILおよびRCPTパラメーター:MAIL動作のREQUIRETLSパラメーター:MAIL動詞でREQUIRETLSパラメーターを使用すると、そのメッセージでTLSの使用が必要になりますそして、すべてのフォワードリレーのためにREQUIRETLSでタグ付けします。コマンドの長さの増分:11文字
Per this document, IANA has added an entry to the "Enumerated Status Codes" subregistry of the "Simple Mail Transfer Protocol (SMTP) Enhanced Status Codes Registry" [SMTPStatusCodes]:
このドキュメントに従って、IANAは「Simple Mail Transfer Protocol(SMTP)Enhanced Status Codes Registry」[SMTPStatusCodes]の「Enumerated Status Codes」サブレジストリにエントリを追加しました。
Code: X.7.30 Sample Text: REQUIRETLS support required Associated basic status code: 550 Description: This indicates that the message was not able to be forwarded because it was received with a REQUIRETLS requirement and none of the SMTP servers to which the message should be forwarded provide this support. Reference: RFC 8689 Submitter: J. Fenton Change Controller: IESG
コード:X.7.30サンプルテキスト:REQUIRETLSサポートが必要です関連する基本ステータスコード:550説明:これは、メッセージがREQUIRETLS要件で受信され、メッセージの送信先となるSMTPサーバーがないため、メッセージを転送できなかったことを示します転送は、このサポートを提供します。参照:RFC 8689提出者:J. Fenton変更管理者:IESG
Per this document, IANA has added an entry to the "Permanent Message Header Field Names" subregistry of the "Message Headers" registry [MessageHeaders] as follows:
このドキュメントに従って、IANAは次のように「メッセージヘッダー」レジストリ[MessageHeaders]の「Permanent Message Header Field Names」サブレジストリにエントリを追加しました。
Header field name: TLS-Required Applicable protocol: mail Status: standard Author/change controller: IETF Specification document: RFC 8689
ヘッダーフィールド名:TLS必須適用プロトコル:メールステータス:標準の作成者/変更コントローラー:IETF仕様ドキュメント:RFC 8689
The purpose of REQUIRETLS is to give the originator of a message control over the security of email they send, either by conveying an expectation that it will be transmitted in an encrypted form over the wire or explicitly indicating that transport encryption is not required if it cannot be successfully negotiated.
REQUIRETLSの目的は、送信者が送信する電子メールのセキュリティをメッセージの発信者に制御できるようにすることです。これは、暗号化された形式でネットワーク経由で送信されるという期待を伝えるか、トランスポートの暗号化が不要な場合は不要であることを明示的に示すことです。交渉に成功する。
The following considerations apply to the REQUIRETLS service extension but not the TLS-Required header field, since messages specifying the header field are less concerned with transport security.
次の考慮事項はREQUIRETLSサービス拡張に適用されますが、TLS必須ヘッダーフィールドには適用されません。これは、ヘッダーフィールドを指定するメッセージはトランスポートセキュリティにあまり関係がないためです。
REQUIRETLS is generally effective against passive attackers who are merely trying to eavesdrop on an SMTP exchange between an SMTP client and server. This assumes, of course, the cryptographic integrity of the TLS connection being used.
REQUIRETLSは、SMTPクライアントとサーバー間のSMTP交換を傍受しようとするだけのパッシブな攻撃者に対して一般的に効果的です。もちろん、これは、使用されているTLS接続の暗号の整合性を前提としています。
Active attacks against TLS-encrypted SMTP connections can take many forms. One such attack is to interfere in the negotiation by changing the STARTTLS command to something illegal such as XXXXXXXX. This causes TLS negotiation to fail and messages to be sent in the clear, where they can be intercepted. REQUIRETLS detects the failure of STARTTLS and declines to send the message rather than send it insecurely.
TLSで暗号化されたSMTP接続に対するアクティブな攻撃には、さまざまな形態があります。そのような攻撃の1つは、STARTTLSコマンドをXXXXXXXXなどの違法なものに変更することにより、ネゴシエーションを妨害することです。これにより、TLSネゴシエーションが失敗し、メッセージが平文で送信され、傍受される可能性があります。 REQUIRETLSはSTARTTLSの失敗を検出し、メッセージを安全に送信せずに送信を拒否します。
A second form of attack is a man-in-the-middle attack where the attacker terminates the TLS connection rather than the intended SMTP server. This is possible when, as is commonly the case, the SMTP client either does not verify the server's certificate or establishes the connection even when the verification fails. REQUIRETLS requires successful certificate validation before sending the message.
2番目の形式の攻撃は、中間者攻撃であり、攻撃者は目的のSMTPサーバーではなくTLS接続を終了します。これは、よくあることですが、SMTPクライアントがサーバーの証明書を検証しないか、検証が失敗した場合でも接続を確立する場合に可能です。 REQUIRETLSでは、メッセージを送信する前に証明書の検証が成功する必要があります。
Another active attack involves the spoofing of DNS MX records of the recipient domain. An attacker with this capability could potentially cause the message to be redirected to a mail server under the attacker's own control, which would presumably have a valid certificate. REQUIRETLS requires that the recipient domain's MX record lookup be validated either using DNSSEC or via a published MTA-STS policy that specifies the acceptable SMTP server hostname(s) for the recipient domain.
別のアクティブな攻撃には、受信者ドメインのDNS MXレコードのなりすましが含まれます。この機能を持つ攻撃者は、攻撃者自身の制御下にあるメールサーバーにメッセージをリダイレクトさせる可能性があり、これにはおそらく有効な証明書があるはずです。 REQUIRETLSでは、受信者のドメインのMXレコードルックアップを、DNSSECを使用して、または受信者のドメインの受け入れ可能なSMTPサーバーホスト名を指定する公開されたMTA-STSポリシーを介して検証する必要があります。
A bad-actor MTA along the message transmission path could misrepresent its support of REQUIRETLS and/or actively strip REQUIRETLS tags from messages it handles. However, since intermediate MTAs are already trusted with the cleartext of messages they handle, and are not part of the threat model for transport-layer security, they are also not part of the threat model for REQUIRETLS.
メッセージ伝送パスに沿った悪意のあるMTAは、REQUIRETLSのサポートを誤って伝えたり、処理するメッセージからREQUIRETLSタグをアクティブに削除したりする可能性があります。ただし、中間MTAは、それらが処理するメッセージのクリアテキストですでに信頼されており、トランスポート層セキュリティの脅威モデルの一部ではないため、REQUIRETLSの脅威モデルの一部でもありません。
It should be reemphasized that since SMTP TLS is a transport-layer security protocol, messages sent using REQUIRETLS are not encrypted end-to-end and are visible to MTAs that are part of the message delivery path. Messages containing sensitive information that MTAs should not have access to MUST be sent using end-to-end content encryption such as OpenPGP [RFC4880] or S/MIME [RFC8551].
SMTP TLSはトランスポート層のセキュリティプロトコルであるため、REQUIRETLSを使用して送信されたメッセージはエンドツーエンドで暗号化されず、メッセージ配信パスの一部であるMTAから見えることに注意してください。 MTAがアクセスしてはならない機密情報を含むメッセージは、OpenPGP [RFC4880]やS / MIME [RFC8551]などのエンドツーエンドのコンテンツ暗号化を使用して送信する必要があります。
In some cases, the use of the TLS-Required header field may conflict with a recipient domain policy expressed through the DANE [RFC7672] or MTA-STS [RFC8461] protocols. Although these protocols encourage the use of TLS transport by advertising the availability of TLS, the use of the "TLS-Required: No" header field represents an explicit decision on the part of the sender not to require the use of TLS, such as to overcome a configuration error. The recipient domain has the ultimate ability to require TLS by not accepting messages when STARTTLS has not been negotiated; otherwise, "TLS-Required: No" is effectively directing the client MTA to behave as if it does not support DANE or MTA-STS.
場合によっては、TLS-Requiredヘッダーフィールドの使用が、DANE [RFC7672]またはMTA-STS [RFC8461]プロトコルを通じて表現される受信者ドメインポリシーと競合することがあります。これらのプロトコルは、TLSの可用性をアドバタイズすることでTLSトランスポートの使用を促進しますが、「TLS-Required:No」ヘッダーフィールドの使用は、次のようなTLSの使用を要求しない送信者側の明示的な決定を表します。構成エラーを克服します。受信者ドメインは、STARTTLSがネゴシエートされていないときにメッセージを受け入れないことにより、TLSを要求する究極の機能を備えています。それ以外の場合、「TLS-Required:No」は、クライアントMTAがDANEまたはMTA-STSをサポートしていないかのように動作するように効果的に指示します。
[MailParams] IANA, "Mail Parameters", <http://www.iana.org/assignments/mail-parameters>.
[MailParams] IANA、「メールパラメータ」、<http://www.iana.org/assignments/mail-parameters>。
[MessageHeaders] IANA, "Permanent Message Header Field Names", <https://www.iana.org/assignments/message-headers>.
[MessageHeaders] IANA、「Permanent Message Header Field Names」、<https://www.iana.org/assignments/message-headers>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/ rfc2119>。
[RFC3207] Hoffman, P., "SMTP Service Extension for Secure SMTP over Transport Layer Security", RFC 3207, DOI 10.17487/RFC3207, February 2002, <https://www.rfc-editor.org/info/rfc3207>.
[RFC3207] Hoffman、P。、「Secure SMTP over Transport Layer SecurityのSMTPサービス拡張」、RFC 3207、DOI 10.17487 / RFC3207、2002年2月、<https://www.rfc-editor.org/info/rfc3207>。
[RFC3461] Moore, K., "Simple Mail Transfer Protocol (SMTP) Service Extension for Delivery Status Notifications (DSNs)", RFC 3461, DOI 10.17487/RFC3461, January 2003, <https://www.rfc-editor.org/info/rfc3461>.
[RFC3461] Moore、K。、「Simple Mail Transfer Protocol(SMTP)Service Extension for Delivery Status Notifications(DSNs)」、RFC 3461、DOI 10.17487 / RFC3461、2003年1月、<https://www.rfc-editor.org / info / rfc3461>。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, DOI 10.17487/RFC4033, March 2005, <https://www.rfc-editor.org/info/rfc4033>.
[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの概要と要件」、RFC 4033、DOI 10.17487 / RFC4033、2005年3月、<https: //www.rfc-editor.org/info/rfc4033>。
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, DOI 10.17487/RFC4034, March 2005, <https://www.rfc-editor.org/info/rfc4034>.
[RFC4034] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Security Extensionsのリソースレコード」、RFC 4034、DOI 10.17487 / RFC4034、2005年3月、< https://www.rfc-editor.org/info/rfc4034>。
[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, DOI 10.17487/RFC4035, March 2005, <https://www.rfc-editor.org/info/rfc4035>.
[RFC4035] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張機能のプロトコル変更」、RFC 4035、DOI 10.17487 / RFC4035、2005年3月、< https://www.rfc-editor.org/info/rfc4035>。
[RFC5234] Crocker, D., Ed. and P. Overell, "Augmented BNF for Syntax Specifications: ABNF", STD 68, RFC 5234, DOI 10.17487/RFC5234, January 2008, <https://www.rfc-editor.org/info/rfc5234>.
[RFC5234]クロッカー、D。、エド。およびP. Overell、「構文仕様の拡張BNF:ABNF」、STD 68、RFC 5234、DOI 10.17487 / RFC5234、2008年1月、<https://www.rfc-editor.org/info/rfc5234>。
[RFC5248] Hansen, T. and J. Klensin, "A Registry for SMTP Enhanced Mail System Status Codes", BCP 138, RFC 5248, DOI 10.17487/RFC5248, June 2008, <https://www.rfc-editor.org/info/rfc5248>.
[RFC5248] Hansen、T。およびJ. Klensin、「A Registry for SMTP Enhanced Mail System Status Codes」、BCP 138、RFC 5248、DOI 10.17487 / RFC5248、2008年6月、<https://www.rfc-editor.org / info / rfc5248>。
[RFC5321] Klensin, J., "Simple Mail Transfer Protocol", RFC 5321, DOI 10.17487/RFC5321, October 2008, <https://www.rfc-editor.org/info/rfc5321>.
[RFC5321] Klensin、J。、「Simple Mail Transfer Protocol」、RFC 5321、DOI 10.17487 / RFC5321、2008年10月、<https://www.rfc-editor.org/info/rfc5321>。
[RFC5322] Resnick, P., Ed., "Internet Message Format", RFC 5322, DOI 10.17487/RFC5322, October 2008, <https://www.rfc-editor.org/info/rfc5322>.
[RFC5322] Resnick、P。、編、「インターネットメッセージ形式」、RFC 5322、DOI 10.17487 / RFC5322、2008年10月、<https://www.rfc-editor.org/info/rfc5322>。
[RFC6125] Saint-Andre, P. and J. Hodges, "Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)", RFC 6125, DOI 10.17487/RFC6125, March 2011, <https://www.rfc-editor.org/info/rfc6125>.
[RFC6125] Saint-Andre、P。およびJ. Hodges、「トランスポート層セキュリティ(TLS)のコンテキストでX.509(PKIX)証明書を使用したインターネット公開鍵インフラストラクチャ内のドメインベースのアプリケーションサービスIDの表現と検証」、 RFC 6125、DOI 10.17487 / RFC6125、2011年3月、<https://www.rfc-editor.org/info/rfc6125>。
[RFC7525] Sheffer, Y., Holz, R., and P. Saint-Andre, "Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)", BCP 195, RFC 7525, DOI 10.17487/RFC7525, May 2015, <https://www.rfc-editor.org/info/rfc7525>.
[RFC7525] Sheffer、Y.、Holz、R。、およびP. Saint-Andre、「Transport Layer Security(TLS)およびDatagram Transport Layer Security(DTLS)の安全な使用に関する推奨事項」、BCP 195、RFC 7525、DOI 10.17487 / RFC7525、2015年5月、<https://www.rfc-editor.org/info/rfc7525>。
[RFC7672] Dukhovni, V. and W. Hardaker, "SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS)", RFC 7672, DOI 10.17487/RFC7672, October 2015, <https://www.rfc-editor.org/info/rfc7672>.
[RFC7672] Dukhovni、V。およびW. Hardaker、「名前付きエンティティの便宜的なDNSベースの認証(DANE)トランスポート層セキュリティ(TLS)によるSMTPセキュリティ」、RFC 7672、DOI 10.17487 / RFC7672、2015年10月、<https:/ /www.rfc-editor.org/info/rfc7672>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/ rfc8174>。
[RFC8314] Moore, K. and C. Newman, "Cleartext Considered Obsolete: Use of Transport Layer Security (TLS) for Email Submission and Access", RFC 8314, DOI 10.17487/RFC8314, January 2018, <https://www.rfc-editor.org/info/rfc8314>.
[RFC8314]ムーアK.およびC.ニューマン、「廃止予定のクリアテキスト:電子メールの送信とアクセスのためのトランスポート層セキュリティ(TLS)の使用」、RFC 8314、DOI 10.17487 / RFC8314、2018年1月、<https:// www。 rfc-editor.org/info/rfc8314>。
[RFC8461] Margolis, D., Risher, M., Ramakrishnan, B., Brotman, A., and J. Jones, "SMTP MTA Strict Transport Security (MTA-STS)", RFC 8461, DOI 10.17487/RFC8461, September 2018, <https://www.rfc-editor.org/info/rfc8461>.
[RFC8461]マーゴリス、D。、リシャー、M。、ラマクリシュナン、B。、ブロトマン、A.、J。ジョーンズ、「SMTP MTA Strict Transport Security(MTA-STS)」、RFC 8461、DOI 10.17487 / RFC8461、9月2018年、<https://www.rfc-editor.org/info/rfc8461>。
[SMTPStatusCodes] IANA, "Simple Mail Transfer Protocol (SMTP) Enhanced Status Codes Registry", <https://www.iana.org/assignments/ smtp-enhanced-status-codes>.
[SMTPStatusCodes] IANA、「Simple Mail Transfer Protocol(SMTP)Enhanced Status Codes Registry」、<https://www.iana.org/assignments/ smtp-enhanced-status-codes>。
[RFC1939] Myers, J. and M. Rose, "Post Office Protocol - Version 3", STD 53, RFC 1939, DOI 10.17487/RFC1939, May 1996, <https://www.rfc-editor.org/info/rfc1939>.
[RFC1939]マイヤーズ、J。およびM.ローズ、「Post Office Protocol-Version 3」、STD 53、RFC 1939、DOI 10.17487 / RFC1939、1996年5月、<https://www.rfc-editor.org/info/ rfc1939>。
[RFC2033] Myers, J., "Local Mail Transfer Protocol", RFC 2033, DOI 10.17487/RFC2033, October 1996, <https://www.rfc-editor.org/info/rfc2033>.
[RFC2033] Myers、J。、「Local Mail Transfer Protocol」、RFC 2033、DOI 10.17487 / RFC2033、1996年10月、<https://www.rfc-editor.org/info/rfc2033>。
[RFC3501] Crispin, M., "INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4rev1", RFC 3501, DOI 10.17487/RFC3501, March 2003, <https://www.rfc-editor.org/info/rfc3501>.
[RFC3501] Crispin、M。、「インターネットメッセージアクセスプロトコル-バージョン4rev1」、RFC 3501、DOI 10.17487 / RFC3501、2003年3月、<https://www.rfc-editor.org/info/rfc3501>。
[RFC4880] Callas, J., Donnerhacke, L., Finney, H., Shaw, D., and R. Thayer, "OpenPGP Message Format", RFC 4880, DOI 10.17487/RFC4880, November 2007, <https://www.rfc-editor.org/info/rfc4880>.
[RFC4880] Callas、J.、Donnerhacke、L.、Finney、H.、Shaw、D。、およびR. Thayer、「OpenPGP Message Format」、RFC 4880、DOI 10.17487 / RFC4880、2007年11月、<https:// www.rfc-editor.org/info/rfc4880>。
[RFC5228] Guenther, P., Ed. and T. Showalter, Ed., "Sieve: An Email Filtering Language", RFC 5228, DOI 10.17487/RFC5228, January 2008, <https://www.rfc-editor.org/info/rfc5228>.
[RFC5228] Guenther、P.、Ed。 T. Showalter、Ed。、「Sieve:An Email Filtering Language」、RFC 5228、DOI 10.17487 / RFC5228、2008年1月、<https://www.rfc-editor.org/info/rfc5228>。
[RFC5598] Crocker, D., "Internet Mail Architecture", RFC 5598, DOI 10.17487/RFC5598, July 2009, <https://www.rfc-editor.org/info/rfc5598>.
[RFC5598] Crocker、D。、「インターネットメールアーキテクチャ」、RFC 5598、DOI 10.17487 / RFC5598、2009年7月、<https://www.rfc-editor.org/info/rfc5598>。
[RFC6409] Gellens, R. and J. Klensin, "Message Submission for Mail", STD 72, RFC 6409, DOI 10.17487/RFC6409, November 2011, <https://www.rfc-editor.org/info/rfc6409>.
[RFC6409] Gellens、R。およびJ. Klensin、「Mail for Submission for Mail」、STD 72、RFC 6409、DOI 10.17487 / RFC6409、2011年11月、<https://www.rfc-editor.org/info/rfc6409> 。
[RFC8551] Schaad, J., Ramsdell, B., and S. Turner, "Secure/ Multipurpose Internet Mail Extensions (S/MIME) Version 4.0 Message Specification", RFC 8551, DOI 10.17487/RFC8551, April 2019, <https://www.rfc-editor.org/info/rfc8551>.
[RFC8551] Schaad、J.、Ramsdell、B。、およびS. Turner、「Secure / Multipurpose Internet Mail Extensions(S / MIME)Version 4.0 Message Specification」、RFC 8551、DOI 10.17487 / RFC8551、2019年4月、<https: //www.rfc-editor.org/info/rfc8551>。
This section is informative.
このセクションは参考情報です。
The TLS-Required SMTP option is used to express the intention of the sender to have the associated message relayed using TLS. In the following example, lines beginning with "C:" are transmitted from the SMTP client to the server, and lines beginning with "S:" are transmitted in the opposite direction.
TLS必須のSMTPオプションは、TLSを使用して関連するメッセージをリレーさせる送信者の意図を表すために使用されます。次の例では、「C:」で始まる行はSMTPクライアントからサーバーに送信され、「S:」で始まる行は反対方向に送信されます。
S: 220 mail.example.net ESMTP
C: EHLO mail.example.org
S: 250-mail.example.net Hello example.org [192.0.2.1]
S: 250-SIZE 52428800
S: 250-8BITMIME
S: 250-PIPELINING
S: 250-STARTTLS
S: 250 HELP
C: STARTTLS
S: TLS go ahead
(at this point TLS negotiation takes place. The remainder of this session occurs within TLS.)
(この時点でTLSネゴシエーションが行われます。このセッションの残りの部分はTLS内で発生します。)
S: 220 mail.example.net ESMTP
C: EHLO mail.example.org
S: 250-mail.example.net Hello example.org [192.0.2.1]
S: 250-SIZE 52428800
S: 250-8BITMIME
S: 250-PIPELINING
S: 250-REQUIRETLS
S: 250 HELP
C: MAIL FROM:<roger@example.org> REQUIRETLS
S: 250 OK
C: RCPT TO:<editor@example.net>
S: 250 Accepted
C: DATA
S: 354 Enter message, ending with "." on a line by itself
(message follows)
(メッセージが続きます)
C: .
S: 250 OK
C: QUIT
The TLS-Required header field is used when the sender requests that the mail system not heed a default policy of the recipient domain requiring TLS. It might be used, for example, to allow problems with the recipient domain's TLS certificate to be reported:
TLS-Requiredヘッダーフィールドは、送信者がTLSを必要とする受信者ドメインのデフォルトポリシーを守らないことを送信者が要求するときに使用されます。たとえば、受信者のドメインのTLS証明書に関する問題を報告できるようにするために使用できます。
From: Roger Reporter <roger@example.org>
To: Andy Admin <admin@example.com>
Subject: Certificate problem?
TLS-Required: No
Date: Fri, 18 Jan 2019 10:26:55 -0800
Message-ID: <5c421a6f79c0e_d153ff8286d45c468473@mail.example.org>
Andy, there seems to be a problem with the TLS certificate on your mail server. Are you aware of this?
Andy、メールサーバーのTLS証明書に問題があるようです。これを知っていますか?
Roger
ロジャー
Acknowledgements
謝辞
The author would like to acknowledge many helpful suggestions on the ietf-smtp and uta mailing lists, in particular those of Viktor Dukhovni, Tony Finch, Jeremy Harris, Arvel Hathcock, John Klensin, Barry Leiba, John Levine, Chris Newman, Rolf Sonneveld, and Per Thorsheim.
著者は、ietf-smtpとutaメーリングリストに関する多くの役立つ提案、特にViktor Dukhovni、Tony Finch、Jeremy Harris、Arvel Hathcock、John Klensin、Barry Leiba、John Levine、Chris Newman、Rolf Sonneveldの提案を認めたいと思います。とThorsheimあたり。
Author's Address
著者のアドレス
Jim Fenton Altmode Networks Los Altos, California 94024 United States of America
Jim Fenton Altmode Networks Los Altos、California 94024アメリカ合衆国
Email: fenton@bluepopcorn.net