Exchange サーバーのセキュリティ保護
ここでは、Microsoft® Exchange サーバーをセキュリティで保護する方法を中心に説明します。サーバーを保護する上で、以下の作業は有効です。各作業については、この次のセクションでそれぞれ詳しく説明します。
- すべての SMTP 仮想サーバーでの第三者中継を無効にする。 既定の中継の制限では、権限のないユーザーが Exchange サーバーを使用して外部にメールを送信することはできません。サーバーが第三者中継を許可していると、権限のないユーザーがこのサーバーを使用してスパムを送信できるようになります。その結果、他の組織によりこのサーバーが第三者中継の中継元であると認識され、結果として、正当なメール送信がブロックされるようになる可能性があります。
- 内部の SMTP 仮想サーバーと IMAP および POP クライアント専用の SMTP 仮想サーバーでの匿名アクセスを防ぐ。 組織内ですべての Exchange サーバーは、メール送信時に相互認証を行うため、内部の SMTP (Simple Mail Transfer Protocol) 仮想サーバーで匿名アクセスを有効にする必要はありません。また、すべての POP (Post Office Protocol) クライアントと IMAP (Internet Message Access Protocol) クライアントは、SMTP 仮想サーバーで認証されるため、POP クライアントおよび IMAP クライアント専用に使用されるサーバーに匿名アクセスは必要ありません。これらのサーバーで匿名アクセスを無効にすると、権限のないユーザーがそのサーバーにアクセスするのを防ぐことができます。
- 内部の SMTP 仮想サーバーで発信と中継を制限する。 Microsoft Exchange Server 2003 では、標準的な Windows 2000 Server または Windows Server 2003 の随意アクセス制御リスト (DACL) によるセキュリティ方式を使用して、SMTP 仮想サーバーへのアクセスをさらに制限することができます。この機能によって、SMTP 仮想サーバーの使用を許可したいユーザーおよびグループに、権限を明示的に設定できます。
すべての SMTP 仮想サーバーで第三者中継を無効にする方法
「中継の制限の設定」で説明したように、SMTP 仮想サーバー上では、匿名を許可したり、中継を開かないことが不可欠です。中継は、ユーザーがメールを外部ドメインに送信する際に Exchange サーバーを使用する場合を指します。
Exchange の既定の構成では、権限のあるユーザーにのみメールの中継が許可されています。つまり、権限のあるユーザーのみが、外部ドメインにメールを送信する際に Exchange を使用できます。既定の中継の設定を変更して権限のないユーザーの中継を許可した場合や、コネクタ経由でドメインへの第三者中継を許可した場合は、権限のないユーザーがスパムの送信に Exchange サーバーを使用できるようになります。結果として、このサーバーがブロック リストに登録され、そのために正当なリモート サーバーにメールを送信できなくなる可能性があります。権限のないユーザーが Exchange サーバーを使用してメールを中継しないようにするには、常に既定の中継の制限を使用する必要があります。
.gif "note") 注 : |
|---|
| 中継は、スパムと混同されることがよくあります。中継の制御によってスパムはブロックされません。スパムの制御の詳細については、「フィルタの構成およびスパムの制御」を参照してください。 |
中継の制御の詳細については、マイクロソフト サポート技術情報の文書番号 304897「[XIMS] サードパーティのテストでマイクロソフトの SMTP サーバーが電子メール メッセージを受け入れ、中継しているように見えることがある」を参照してください。
内部 SMTP 仮想サーバーおよび IMAP および POP クライアント専用 SMTP 仮想サーバーで匿名アクセスを防ぐ方法
セキュリティ強化のため、内部 SMTP 仮想サーバーと、リモートの IMAP ユーザーおよび POP ユーザーからの受信メールの受け入れ専用の SMTP 仮想サーバーに対する匿名アクセスを防ぐことができます。インターネット メールの送信時に、Exchange サーバーは自動的に認証を行います。したがって、内部サーバーへの匿名アクセスを防ぐことで、メールの流れが妨害されることがなくなり、さらに内部 SMTP 仮想サーバーのセキュリティが強化されます。
同様に、IMAP クライアントおよび POP クライアントは、SMTP 仮想サーバーにメールを送信する前に認証を行います。そのため、IMAP クライアントおよび POP クライアント専用の SMTP 仮想サーバーを使用している場合、認証済みのアクセスのみを許可するようにサーバーを構成できます。匿名アクセスを防ぐには、SMTP 仮想サーバーのプロパティの [アクセス] タブで [認証] をクリックして、[匿名アクセス] チェック ボックスをオフにします。匿名アクセスを防ぐ方法の手順については、「アクセス制御と認証方法を構成する方法」を参照してください。
.gif "important") 重要 : |
|---|
| インターネット ブリッジヘッド SMTP 仮想サーバーでは、匿名アクセスを無効にしないでください。インターネットからのメールを受け付ける SMTP 仮想サーバーでは、匿名アクセスが許可されている必要があります。 |
配布グループおよびユーザーへの発信制限
Exchange 2003 では、個人ユーザーまたは配布グループに電子メール メッセージを送信できるユーザーを制限できます。配布グループの発信制限は、認証されていないインターネット ユーザーのような信頼できない送信者が社内専用の配布グループにメールを送信することを禁止します。たとえば、All Employees という配布リストが社外の者に (スプーフィングやその他の方法によって) 使用されないようにします。
| 注 : |
|---|
| 配布リストの制限およびユーザーに対する発信制限は、Exchange Server 2003 を実行しているブリッジヘッド サーバーまたは SMTP ゲートウェイ サーバー上でのみ有効です。 |
正社員や他の社内グループ用の内部の配布グループに制限を設定することをお勧めします。この操作によって、これらの配布グループをスパム受信から保護し、これらの配布グループに匿名ユーザーからメールが送信されないように制限できます。
ユーザーと配布グループに対して発信制限を設定する方法の詳細については、それぞれ「ユーザーに対して制限を設定する方法」と「配布グループに制限を設定する方法」を参照してください。
内部 SMTP 仮想サーバーでの発信および中継の制限
Exchange Server 2003 では、標準的な Windows 2000 Server または Windows Server 2003 の随意アクセス制御リスト (DACL) を使用して、SMTP 仮想サーバーへの発信および中継許可を限られた数のユーザーまたはグループに制限することができます。これにより、仮想サーバーにメールを発信または中継できるユーザーのグループを指定することができます。
SMTP 仮想サーバーでの発信制限
SMTP 仮想サーバーでの発信制限は、特定の仮想サーバーからのみインターネット メールの送信を許可したい特定のユーザーがいる場合に有効です。特定のユーザーまたはグループにのみ、特定の SMTP 仮想サーバーからのメールの発信アクセスを許可することができます。
| 注 : |
|---|
| インターネット メールを受け付ける SMTP 仮想サーバー上では発信を制限しないでください。 |
詳細については、「セキュリティ グループを基にして SMTP サーバーへの発信を制限する方法」を参照してください。
SMTP 仮想サーバーでの中継の制限
仮想サーバーでの中継を制限する機能は、あるユーザー グループにインターネットへのメールの中継を許可し、別のグループの中継権限を拒否する場合に便利です。
詳細については、「セキュリティ グループを基にして中継を制限する方法」を参照してください。