メールサーバーに接続し STARTTLS をチェック
DNS とレコード
DNS ルックアップ あらゆるドメインのすべての DNS レコード A レコードルックアップ ドメインの IPv4 アドレス AAAA レコードルックアップ ドメインの IPv6 アドレス MX ルックアップ ドメインのメールサーバー NS ルックアップ 権威ネームサーバー TXT ルックアップ TXT レコード、SPF、検証 CNAME ルックアップ 正規名(エイリアス)レコード SOA ルックアップ Start of Authority レコード SRV ルックアップ サービスロケーションレコード CAA ルックアップ どの CA が証明書を発行できるか 逆引き DNS(PTR) IP アドレスからホスト名へ DNSSEC チェック ドメインは署名され検証されているか? DNS ヘルスチェック 委任と DNS の総合診断レポートメール到達性
SPF チェック Sender Policy Framework レコードを検証 DMARC チェック DMARC ポリシーを検査・評価 DKIM チェック DKIM 公開鍵を検索・検証 ブラックリストチェック IP をメールブロックリスト(DNSBL)と照合 SMTP テスト メールサーバーに接続し STARTTLS をチェック MTA-STS チェック 受信メールに対する強制 TLS ポリシー BIMI チェック メール用のブランドロゴレコード TLS-RPT チェック SMTP TLS レポートポリシーネットワークとウェブ
SSL 証明書チェック サイトの TLS 証明書と有効期限を検査 HTTP ヘッダーチェック レスポンスヘッダー、リダイレクト、セキュリティを検査 Ping(TCP) TCP 経由での到達性と遅延 ポートチェック どの一般的なポートが開いているかドメイン
WHOIS ルックアップ ドメイン、IP、ASN の登録データこのSMTPテストは、ドメインの主要なMXを解決し、ポート25で接続を開き、グリーティングバナーとEHLOの機能一覧を読み取り、サーバーが暗号化配信のためのSTARTTLSを提供しているかどうかを報告します。メールサーバーが到達可能でTLSに対応しているかを素早く確認する方法です。
ドメインを送信すると、IPeekはそのMXレコードを検索し、最も優先度の高いホストを選んで、ポート25でTCP接続を開きます。サーバーは、通常Postfix、Exim、Microsoftなどのソフトウェア名を含む220グリーティングバナーで応答します。IPeekは次にEHLOを送信し、対応する拡張機能を列挙した複数行の250応答を解析します。その一覧でSTARTTLSを探してください。これは、メールデータをやり取りする前に、平文セッションを暗号化されたTLSチャネルにアップグレードできることを示します。SIZE、PIPELINING、8BITMIMEもよく一緒に現れます。
まずバナーから始めます。220応答は、サーバーが接続を受け入れて準備ができていることを意味します。STARTTLSがEHLOの機能一覧に現れれば、サーバーは受信配信を暗号化できます。その不在は、メールが平文で中継される可能性があることを意味します。タイムアウトや接続拒否は通常、ファイアウォール、誤ったMXターゲット、またはダウンしているホストを示します。ポート25はサーバー間配信用であり、587や465を使うクライアント送信用ではないことに注意してください。バナーのホスト名は、それを確認する受信側を満たすために、PTRレコードと一致すべきです。
接続拒否やタイムアウトが最も頻繁な失敗で、通常はファイアウォールがポート25をブロックしているか、MXレコードが誤ったホストを指しています。STARTTLS行の欠落は、受信サーバーがTLSをネゴシエートできないことを意味するため、証明書を追加してMTAで有効化してください。自己署名または期限切れの証明書はSTARTTLSを広告し続けますが、MTA-STSやDANEのような厳格なTLSポリシーを壊します。バナーが逆引きDNSと異なる汎用ホスト名を報告する場合は、PTRレコードを修正してください。多くの受信側はバナーとPTRが食い違うとメールを拒否します。
サーバー間のメール配信はポート25を使い、このテストが接続する先です。ポート587と465はクライアントやアプリケーションからのメール送信用に予約されており、587はSTARTTLS、465は暗黙のTLSを使います。IPeekがポート25をチェックするのは、そこが受信側MXサーバーがインターネットからの受信メールを受け取る場所だからです。
STARTTLSは平文のSMTPセッションを暗号化されたTLS接続にアップグレードします。サーバーはEHLO応答でSTARTTLSを広告し、送信サーバーはメッセージデータを送信する前にコマンドを発行してTLSをネゴシエートします。これがないと、メールは平文でネットワークを横断し、転送中に読み取られたり改ざんされたりする可能性があります。STARTTLSはMTA-STSやDANEで強制されない限り日和見的です。
タイムアウトはほぼ常に、ファイアウォールがポート25をブロックしているか、MXレコードがダウンしているか到達不能なホストを指していることを意味します。多くの家庭用およびクラウドのネットワークは、既定で送信ポート25をブロックします。MXターゲットが正しく解決すること、メールサーバーが待ち受けていること、セキュリティグループやファイアウォールのルールが接続を破棄していないことを確認してください。
そのサーバーへの受信メールが暗号化なしで配信される可能性があり、回線上での傍受にさらされることを意味します。ほとんどの現代の受信側は依然メールを受け入れますが、セッションを暗号化できません。修正するには、有効なTLS証明書をインストールしてMTA設定でSTARTTLSを有効化し、テストを再実行して機能が現れることを確認してください。
グリーティングバナーは、接続後にメールサーバーが最初に送る行で、応答コード220で始まります。サーバーのソフトウェアとホスト名を識別し、サーバーがコマンドを受け入れる準備ができていることを確認します。受信側はしばしばバナーのホスト名を接続元IPのPTRレコードと照合するため、不一致は迷惑メールフィルタリングや完全な拒否を引き起こすことがあります。