Movable Type CMSプラットフォーム Movable Type
ドキュメントサイト

Blogブログ

OAuth 2.0 によるSMTP認証に対応 〜 トークンの定期更新の仕組みとよくある設定ミスを解説 〜

Movable Type には、パスワード再設定やコメント投稿、アカウントロックアウトなどのイベント発生時に、指定のメールアドレスへ通知を送る機能が備わっています。この送信元(From)となる「システムメールアドレス」には、多くの場合、独自ドメインのアドレスが設定されます。

システムメールの送信方法には複数の選択肢があり、たとえばクラウド版では、標準の「sendmail」、「シックス・アパートが提供する中継サーバー」、「SMTPサーバー」の3種類が利用できます。このうち「SMTPサーバー」を選択し、外部SMTPサーバー経由でシステムメールを送信する場合、なりすまし防止などのために「SMTP認証」を有効にすることが一般的です。

しかし、従来のユーザー名とパスワードによる認証方式は、セキュリティ基準の厳格化にともない Gmail ではすでに廃止され(※)、Outlook でも完全廃止に向けた段階的な無効化が進んでいます。そのため、現在は安全な代替方式として、OAuth 2.0 を利用したトークンベース認証への対応が不可欠となっています。

※ Googleではアプリパスワードと呼ばれるアプリケーションごとに異なるパスワードを発行することで、現在でもこのユーザー名とパスワードの指定方式を利用することができますが、OAuth 2.0 への移行が推奨されています。

最新バージョンで OAuth 2.0 によるSMTP認証に対応

Movable Type では、2026年6月24日にリリースした最新バージョンで、OAuth 2.0 によるSMTP認証に対応しました。これにより、Google アカウントおよび Microsoft 365 アカウントを使用したSMTP認証が可能になりました。

Outlook の SMTP OAuth 設定

本機能は、次の製品・サービスで利用可能です。

  • クラウド版 Movable Type 9.2.1 以上 / 8.8.5 以上
  • ソフトウェア版 / AMI版 Movable Type 8.8.5 以上

設定方法については、「OAuth 2.0 を利用した SMTP 認証(Gmail / Outlook)」を参照してください。

トークンを自動更新して失効による送信エラーを防止

システムメールの送信頻度が低い環境において、トークンの失効による送信エラーを防ぐため、スケジュールタスク(run-periodic-tasks)を利用して、トークンの有効期限を自動更新する仕組みを採用しています。この機能は、[トークンを定期更新する] にチェックを入れることで有効化できます。

スケジュールタスクが実行されると、次の形式でシステムログに記録されます。

[yyyy-mm-dd hh:mm:ss] 以下のタスクを実行しました: Outlookのトークンを更新する

なお、アプリケーションへのアクセス権の取り消しや、組織のセキュリティポリシーにより、有効期限内でも再認証が必要になる場合がありますので、ご注意ください。

参考

よくある設定ミス

システムメールが送信できない場合は、次のような設定ミスが原因の可能性があります。

  • システムメールアドレスと、認証時にログインした Google または Microsoft 365 アカウントのメールアドレスが一致していない
  • Outlook の SMTP OAuth 設定で、「テナントID」と「クライアントID」の入力内容が入れ違っている(例:「テナントID」の項目に「クライアントID」を入力)
  • Outlook の SMTP OAuth 設定で、「クライアントシークレット」の項目に「値」ではなく「シークレットID」を入力している

どれも一見正しく入力できているように見えるため、非常に見落としやすいポイントです。メール送信時にエラーが発生する場合は、まずこれらの項目を確認することをおすすめします。

まとめ

今回のアップデートにより、Movable Type のSMTP認証が OAuth 2.0 に対応し、さらに安心して製品・サービスをご利用いただけるようになりました。

今後もシステムメールを安全かつ確実に届けられる環境を維持するため、Gmail または Outlook をご利用の場合は、この機会に、最新の認証方式への移行をご検討ください。

関連するマニュアル