Exchange 2010 のセキュリティ ガイド

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

本ガイドは、MicrosoftExchange Server 2010 展開のセキュリティ保護を担当するIT 管理者向けに書かれており、IT 管理者が Exchange のインストール環境全体のセキュリティを理解し管理できるようにすることを目的としています。

これまで、Microsoft Exchange の各バージョンについて Exchange チームは、アクセス許可とセキュリティの情報を含む、スタンドアロンのセキュリティ強化ガイドを発行してきました。 この方法は、Exchange 2010 セットアップの実行後にサービスとディレクトリをロックダウンする場合は有意義でした。 しかし、MicrosoftExchange Server 2007 以降では、Exchange セットアップにより、インストールされるサーバーの役割で必要なサービスのみが有効になります。Microsoft Exchange では、インストールしてからセキュリティを強化するという方法は使用されません。 これは、既定でのセキュリティ保護を高めることを目的としています。

したがって、Microsoft Exchange の以前のバージョンでは Microsoft Exchange を実行しているサーバーを IT 管理者が複数の手順を実行してロックダウンする必要がありましたが、Exchange 2010 にはロックダウンや強化の必要はありません。

目的

Exchange 2010 は、Microsoft セキュリティ開発ライフサイクル (SDL) の原則に従って開発されました。 各機能とコンポーネントにセキュリティ レビューが実施されました。 既定の設定は念入りに選択されているため、さらにセキュリティで保護された展開が可能です。 本ガイドの目的は、セキュリティ関連機能、およびセキュリティの考慮に影響を与える可能性がある機能について管理者に情報を提供することにあります。 本ガイドは Exchange 2010 マニュアルのセキュリティ関連トピックにリンクします。これらのトピックは、「付録 1: 追加のセキュリティ関連マニュアル」に一覧されます。 本ガイドでは、Windows Server オペレーティング システムを強化するための詳細な手順は説明しません。

目次

新機能

Exchange 2010 のセキュリティ開発ライフ サイクル

セキュリティの確保 - ベスト プラクティス

セキュリティの維持 - ベスト プラクティス

ネットワーク ポートの使用方法とファイアウォールの強化

調整パラメーターとクライアント調整ポリシー

役割ベースのアクセス制御

Active Directory

Exchange サービス アカウント

ファイル システム

サービス

証明書

NTLM 検討事項

デュアル ファクター認証

フェデレーション

Secure/Multipurpose Internet Mail Extensions (S/MIME)

サーバーの役割の検討事項

付録 1 : セキュリティ関連の追加ドキュメント

新機能

Exchange 2010 には、次の新しいセキュリティ機能が含まれます。

  • 役割ベースのアクセス制御   Exchange 2010 には、組織が、受信者管理者、サーバー管理者、レコードと検出マネージャー、および組織管理者などのさまざまなステークホルダーに割り当てられたアクセス許可を詳細に管理できる、新しい役割ベースのアクセス制御が含まれます。

  • 調整ポリシー   Exchange 2010 では、組織をサービス拒否 (DoS) 攻撃から保護し、このような攻撃の影響を低減する調整機構がメールボックス、クライアント アクセス、およびトランスポートのサーバーに導入されています。

  • フェデレーション委任   Exchange 2010 では、ユーザーが外部組織のユーザーと安全に共同作業を行えるようにするための、新しいフェデレーション委任が導入されます。 フェデレーション委任を使用することで、ユーザーは外部フェデレーション組織のユーザーと予定表と連絡先を共有できます。 Active Directory 信頼関係をセットアップして管理する必要なしに、フォレスト間の共同作業を実現することも可能です。

  • Information Rights Management   Exchange 2010 には、保護対象コンテンツの復号化や検索、コンテンツにメッセージング ポリシーを適用する機能を維持しつつ、機密のメッセージ コンテンツを複数のレベルで保護する新しい情報保護と制御機能が組み込まれています。

  • セキュリティ構成ウィザードが不要   Exchange 2010 では、セットアップが必要な構成の変更を行い、特定の Exchange サーバーの役割に必要なサービスのみをインストールして有効にし、また各サーバーの役割で実行するサービスとプロセスに必要なポートにのみ通信を制限します。 これにより、セキュリティ構成ウィザード (SCW) など設定を構成するツールを使用する必要がなくなります。

Exchange 2010 のセキュリティ開発ライフ サイクル

2002 年の初めに、Microsoft は信頼できるコンピューティングという取り組みを開始しました。 信頼できるコンピューティングの取り組みが開始されてから、Microsoft および Microsoft Exchange チームでの開発プロセスは、ユーザーをさらに安全に保つソフトウェアの開発に注力してきました。 詳細については、Trustworthy Computing (信頼できるコンピューティング)を参照してください。

Exchange 2010 では、信頼できるコンピューティングは以下の主要領域に実装されています。

  • 設計時のセキュリティの確保   Exchange 2010 は The Trustworthy Computing Security Development Lifecycle (信頼できるコンピューティングのセキュリティ開発ライフ サイクル)に従って設計および開発されました。 より安全なメッセージング システムを構築する上での第一歩は、脅威モデルを設計し、設計時に各機能をテストすることです。 複数のセキュリティ関連強化機能がコーディング過程と実践に組み込まれています。 ビルド時ツールは、バッファー オーバーランとその他の潜在的なセキュリティの脅威を検出します。 完全なセキュリティを保証できるシステムはありません。 ただし、セキュリティに配慮した設計原則を設計過程全体に取り入れることで、Exchange 2010 はこれまでのバージョンよりもセキュリティが強化されています。

  • 出荷時設定時のセキュリティの確保   Exchange 2010 の目標の 1 つは、ネットワーク通信が既定で暗号化されるシステムを開発することでした。 サーバー メッセージ ブロック (SMB) 通信と一部のユニファイド メッセージング (UM) 通信を除けば、この目標は達成されました。 自己署名入り証明書、Kerberos プロトコル、SSL (Secure Sockets Layer)、およびその他の業界標準暗号化手法を使用することで、Exchange 2010 のほぼすべてのデータはネットワーク上で保護されています。 さらに、役割ベースのセットアップにより、サービスのみ、およびそれらのサービスに関連するアクセス許可を特定の適切なサーバーの役割にインストールするように Exchange 2010 をインストールすることが可能です。 Microsoft Exchange の以前のバージョンでは、すべての機能のすべてのサービスをインストールする必要がありました。

  • スパム対策およびウイルス対策機能   Exchange 2010 には、境界ネットワークでエッジ トランスポート サーバーの役割で動作し、内部ネットワークに存在するハブ トランスポート サーバーの役割にもインストール可能なスパム対策エージェントが含まれます。 ウイルス対策機能は、MicrosoftForefront Protection 2010 for Exchange Server が Microsoft ソリューションとして追加されたことで強化されています。

  • 展開時のセキュリティの確保   Exchange 2010 の開発当時、プレリリース版が Microsoft IT 運用環境に展開されました。 展開から得られたデータに基づいて、MicrosoftExchange サーバー ベスト プラクティス アナライザーが更新され、現実のセキュリティ構成をスキャンできるようになり、展開前と展開後のベスト プラクティスが Exchange 2010 ヘルプに記載されました。

    これまで、アクセス許可管理については、製品の主要ドキュメントの完成後に作成および配布されていました。 ただし、アクセス許可管理はアドイン プロセスではないことは明らかです。 Exchange 2010 展開の計画フェーズと展開フェーズの全体に組み込む必要があります。 このため、管理モデルの計画および展開時に管理者の作業がスムーズに進むように、アクセス許可のドキュメントを整理して主要ドキュメントに組み入れました。Exchange 2010 には、管理者とユーザーに詳細なアクセス許可を与えることにより、必要最小限のアクセス許可でタスクを実行可能にする新しい役割ベースのアクセス許可モデルが含まれます。

  • コミュニケーション   Exchange 2010 がリリースされた今、Exchange チームはソフトウェアを常に最新の状態に保ち、ユーザーに情報を提供することをお約束します。 Microsoft Update でシステムを常に最新の状態に保つことで、最新のセキュリティ更新プログラムが組織にインストールされるようになります。Exchange 2010 には、スパム対策の更新プログラムも含まれます。 さらに、マイクロソフト テクニカル セキュリティ情報通知を購読することで、Exchange 2010 の最新のセキュリティ問題を常に把握できます。

セキュリティの確保 - ベスト プラクティス

いくつかの基本的なベスト プラクティスに従うことで、より安全な環境を構築して維持できます。 通常、アナライザー ツールを定期的に実行し、ソフトウェアとウイルス対策署名ファイルを最新の状態に保つことで、最適かつ安全な Exchange 2010 環境を効率的に実現できます。

セットアップとインストールの推奨方法

次の基本的なベスト プラクティスに従うことで、より安全な Exchange 2010 環境を構築できます。

  • セットアップの委任   組織にインストールする最初の Exchange 2010 サーバーでは、セットアップの実行に使用するアカウントが Enterprise Administrators グループのメンバーである必要があります。 使用するアカウントは Exchange 2010 セットアップによって作成される "Organization Management/組織の管理" 役割グループに追加されます。 委任されたセットアップを使用することにより、"Organization Management/組織の管理" 役割グループのメンバーではない管理者が、それ以降のサーバーをセットアップできます。 詳細については、「Exchange 2010 Server の準備を行い、セットアップを委任する」を参照してください。

  • ファイル システムのアクセス許可   Exchange 2010 セットアップでは、Exchange バイナリとデータが格納されるファイル システムに必要最小限のアクセス許可が割り当てられます。 ファイル システムのルート フォルダーおよび Program Files フォルダーのアクセス制御リスト (ACL) は変更しないでください。

  • インストール パス   非システム ドライブ (オペレーティング システムがインストールされているのとは別のボリューム) に Exchange 2010 バイナリをインストールすることを推奨します。Exchange データベースとトランザクション ログは急速にサイズが増大するため、容量が十分でパフォーマンスに優れた非システム ボリュームに配置する必要があります。 その他の Exchange コンポーネントによって生成されるその他の多くのログ (トランスポート ログなど) も、Exchange バイナリと同じインストール パスに格納され、構成とメッセージング環境によっては大幅にサイズが増大する場合があります。 Exchange 2010 では、多くのログ ファイルの最大サイズ、および 1 つのログ ファイル フォルダーが占有する最大記憶域を構成することができます。このサイズは、既定で 250 MB に設定されています。 ディスク領域の不足によるシステムの停止を予防するため、各サーバーの役割のログ要件を評価し、要件に一致するようにログ オプションとログ ファイルの記憶域の場所を構成することを推奨します。

  • 従来の Outlook クライアントのブロック   要件に応じて、従来の Outlook クライアント バージョンをブロックするように Outlook クライアントのブロックを構成できます。 Outlook の保護ルールおよび個人用アーカイブなどの 一部の Exchange 2010 機能は、従来の Outlook クライアントをサポートしません。 Outlook クライアントのブロックの詳細については、「メッセージング レコード管理用に Outlook クライアントのブロックを構成する」を参照してください。

  • ユーザー名と SMTP アドレスの分離   Exchange は、既定で、電子メール ボックス ユーザーのユーザー名をもとにして電子メール アドレスとエイリアスを生成します。 ほとんどの組織が、さらにセキュリティを高めるため、追加の電子メール アドレス ポリシーを作成し、ユーザー名からユーザーの電子メール アドレスを分離します。 たとえば、ユーザー Ben Smith のユーザー名が bsmith でドメインが contoso.com の場合、既定の電子メール アドレス ポリシーによって生成されるプライマリ電子メール アドレスは bsmith@contoso.com です。追加の電子メール アドレスを作成して、ユーザーのエイリアスまたはユーザー名を使用しない電子メール アドレスを作成できます。 たとえば、テンプレート %g.%s@domain を使用して電子メール アドレス ポリシーを作成すると、Firstname.Lastname@domain の形式の電子メール アドレスが生成されます。 ユーザー Ben Smith の場合、このポリシーによりアドレス Ben.Smith@contoso.com が生成されます。またはメールボックスを作成または有効にするときに、ユーザー名とは異なるエイリアスを指定することにより、ユーザー名から電子メール アドレスを分離できます。

    注意

    ユーザーのプライマリ SMTP アドレスがアカウントの UPN と一致しない場合、ユーザーは自分の電子メール アドレスを使用して MicrosoftOfficeOutlook Web App にログインすることはできず、ユーザーは DOMAIN\username 形式を使用してユーザー名を入力する必要があります。 MicrosoftOutlook を使用する場合、Outlook が自動検出サービスに接続するときに資格情報の入力が求められたら、ユーザーは DOMAIN\username 形式でユーザー名を入力する必要があります。

Microsoft Update

Microsoft Update は、 MicrosoftWindows Update と同じダウンロードに加え、その他の Microsoft プログラム用の最新の更新プログラムを提供するサービスです。 サーバーをより安全で最大のパフォーマンスを発揮できる状態に保つことができます。

Microsoft Update の主要機能は Windows 自動更新です。 この機能により、コンピューターのセキュリティと信頼性にとって重要な優先度の高い更新プログラムが自動的にインストールされます。 これらのセキュリティ更新プログラムを使用しない場合、コンピューターはクラッカーや悪意のあるソフトウェア (マルウェア) からの攻撃を受けやすくなります。

Microsoft Update を受信するための最も信頼性の高い方法は、Windows 自動更新を使用してコンピューターに更新プログラムが自動配信されるようにすることです。 Microsoft Update へのサインアップ時に自動更新を有効にすることができます。

Windows は、コンピューターにインストールされている Microsoft ソフトウェアを解析して現在および過去の優先度の高い更新プログラムが必要かどうかを判定し、必要なプログラムを自動的にダウンロードおよびインストールします。 その後、インターネットに接続するたびに Windows はこの更新プロセスを繰り返し、新しい優先度の高い更新プログラムがあるかどうかを確認します。

Microsoft Update を有効にするには、「Microsoft Update」を参照してください。

Microsoft Update の既定モードでは、各 Exchange サーバーがインターネットに接続して自動更新を受信する必要があります。 インターネットに接続していないサーバーを実行している場合、Windows Server Update Services (WSUS) をインストールして、組織内のコンピューターへの更新プログラムの配布を管理することができます。 その後、内部の WSUS サーバーから更新プログラムを取得できるように、内部の Microsoft Exchange コンピューターに Microsoft Update を構成することができます。 詳細については、Microsoft Windows Server Update Services 3.0を参照してください。

WSUS の他にも利用できる Microsoft Update 管理ソリューションがあります。 Microsoft セキュリティに関するリリース、プロセス、コミュニケーション、およびツールの詳細については、「マイクロソフト セキュリティ更新ガイド」を参照してください。

Exchange 2010 で必要がなくなったタスク

次のツールをインストールまたは実行する必要はなくなりました。

  • URLScan セキュリティ ツールは IIS 7 では必要ありません。Microsoft Exchange の旧バージョンでは、IIS インストールをセキュリティ保護するために URLScan などの IIS ツールをインストールすることが通常でした。Exchange 2010 では、IIS 7 を含む Windows Server 2008 が必要になります。これまで UrlScan で利用可能であったセキュリティ機能の多くは、IIS 7 要求フィルター機能で利用できます。

  • Exchange ベスト プラクティス アナライザーをインストールする必要はなくなりました。 Microsoft Exchange の旧バージョンでは、セットアップ前に Exchange ベスト プラクティス アナライザーをインストールおよび実行して、セットアップ後にも定期的に実行することが通常でした。 Exchange 2010 セットアップは Exchange ベスト プラクティス アナライザー コンポーネントを含み、セットアップ中に実行します。 セットアップ前に Exchange ベスト プラクティス アナライザーを実行する必要はありません。

  • セキュリティ構成ウィザード (SCW) や SCW の Exchange テンプレートを使用する必要はなくなりました。 Exchange 2010 セットアップは、指定された Exchange サーバーの役割に必要なサービスのみをインストールし、セキュリティが強化された Windows ファイアウォール ルールを作成して、そのサーバーの役割のサービスとプロセスに必要なポートのみを開きます。 この作業にセキュリティ構成ウィザード (SCW) を実行する必要はありません。 Exchange Server 2007 とは異なり、Exchange 2010 には SCW テンプレートは含まれません。

セキュリティの維持 - ベスト プラクティス

以下のベスト プラクティス推奨事項に従うことにより、Exchange 2010 環境を安全に保つことができます。

ソフトウェアを最新の状態に維持する

前述したように、Microsoft Update を実行することをお勧めします。 すべてのサーバーで Microsoft Update を実行することに加えて、すべてのクライアント コンピューターを最新の状態にして、組織内のすべてのコンピューターでウイルス対策を最新の状態にすることも非常に重要です。

Microsoft ソフトウェアに加えて、組織内で実行しているすべてのソフトウェアについて最新の更新プログラムを実行するようにしてください。

スパム対策更新プログラム

Exchange 2010 でも Microsoft Update インフラストラクチャを使用して、スパム対策フィルターを最新の状態に保ちます。 既定では、管理者は手動更新で Microsoft Update にアクセスして、コンテンツ フィルターの更新プログラムをダウンロードおよびインストールする必要があります。 コンテンツ フィルター更新のデータは 2 週間ごとに更新され、利用可能になります。

Microsoft Update からの手動更新には、Microsoft IP 評価サービスやスパム署名データが含まれます。 Forefront Security for Exchange Server のスパム対策自動更新で利用できるのは、Microsoft IP 評価サービスとスパム署名データのみです。

Forefront スパム対策自動更新を有効にする方法の詳細については、「スパム対策更新プログラムについて」を参照してください。

ウイルス対策ソフトウェアの実行

電子メール システムによって送信されるウイルス、ワーム、およびその他の悪意のあるコンテンツは、多くの Microsoft Exchange 管理者が実際に直面している破壊行為です。 そのため、すべてのメッセージ システムのための防御用のウイルス対策展開を開発する必要があります。 ここでは、Exchange 2010 向けのウイルス対策ソフトウェアを展開するベスト プラクティスとしての推奨事項を紹介します。

ウイルス対策ソフトウェア ベンダーを選択する場合は、Exchange 2010 の次の 2 つの重要な変更に特に注意する必要があります。

  • Exchange Server 2007 以降、Microsoft Exchange は 64 ビット アーキテクチャに基づいています。

  • Exchange 2010 には、トランスポート エージェント機能が含まれます。

この 2 つの変更は、ウイルス対策ベンダーが Exchange 2010 固有のソフトウェアを提供する必要があることを示しています。 以前のバージョンの Exchange 用に作成されたウイルス対策ソフトウェアは、Exchange 2010 では正しく動作しない可能性があります。

多層防御アプローチを採用するために、ユーザーのデスクトップにウイルス対策ソフトウェアを展開することに加えて、メッセージング システム用に設計されたウイルス対策ソフトウェアを SMTP (簡易メール転送プロトコル) ゲートウェイ、またはメールボックスをホストする Exchange サーバーのどちらかに展開することをお勧めします。

推定されるコストとリスクの適切なバランスを判断し、使用するウイルス対策ソフトウェアの種類と、ソフトウェアを展開する場所を決定します。 たとえば、ある組織では、SMTP ゲートウェイでウイルス対策メッセージング ソフトウェア、Exchange サーバーでファイル レベルのウイルス対策スキャン、ユーザーのデスクトップでウイルス対策クライアント ソフトウェアを実行しています。 この方法は、クライアントでメッセージングに特化した保護を提供します。 さらに高いコストを許容できる組織では、SMTP ゲートウェイのウイルス対策メッセージング ソフトウェア、Exchange サーバーのファイル レベルのウイルス対策スキャン、ユーザーのデスクトップのウイルス対策クライアント ソフトウェアに加えて、Exchange メールボックス サーバー上で Exchange VSAPI (Virus Scanning Application Programming Interface) 2.5 と互換性のあるウイルス対策ソフトウェアを実行することで、セキュリティを強化できます。

エッジ トランスポート サーバーおよびハブ トランスポート サーバー上でのウイルス対策ソフトウェアの実行

トランスポートベースのウイルス対策ソフトウェアが、トランスポート エージェントとして実装されるか、トランスポート エージェントを含みます。 トランスポート エージェントは、以前のバージョンの Microsoft Exchange でのイベント シンクと同じように、トランスポート イベントに対処します。 詳細については、「トランスポート エージェントについて」を参照してください。

注意

パブリック フォルダー内のアイテム、送信済みアイテム、予定表アイテムなど、トランスポートを経由してルーティングされないメッセージは、トランスポートのみのウイルス スキャンでは保護されません。

サード パーティの開発者は、カスタマイズされたトランスポート エージェントを作成することにより、基盤となる MIME 解析エンジンを利用してトランスポート レベルの強力なウイルス対策スキャンを行うことができます。 Exchange ウイルス対策およびスパム対策パートナーの一覧については、「独立ソフトウェア ベンダー」を参照してください。

Forefront Protection for Exchange Server は、Exchange 2010 と密接に統合されるウイルス対策ソフトウェア パッケージで、Exchange 環境のウイルス対策を強化します。 詳細については、「Microsoft Forefront Protection 2010 for Exchange Server」を参照してください。

メッセージング用ウイルス対策ソフトウェアの最も重要な場所は、組織内における最初の防衛線です。 この場所は、メッセージング環境に外部メッセージが流入する SMTP ゲートウェイです。 Exchange 2010 では、最初の防衛線はエッジ トランスポート サーバーです。

Exchange の前段階で、非 Exchange SMTP サーバー、またはゲートウェイを使用して流入する電子メールを受信する場合、非 Exchange SMTP ホスト上で十分なスパム対策とウイルス対策を実装する必要があります。

Exchange 2010 では、すべてのメッセージがハブ トランスポート サーバーを通るようにルーティングされます。 これには、Exchange 組織外で送受信されたメッセージ、Exchange 組織内で送信されたメッセージが含まれます。 メッセージは、送信者と同じメールボックス サーバー上のメールボックスに送信されます。 組織内からのウイルス発生をより適切に防御するため、また 2 番目の防衛線を提供するため、ハブ トランスポート サーバー上でトランスポート ベースのウイルス対策ソフトウェアを実行することをお勧めします。

メールボックス サーバー上でウイルス対策ソフトウェアを実行する

トランスポート サーバー上でのウイルス スキャンに加え、メールボックス サーバー上で動作する MicrosoftExchange ウイルス スキャン API (VSAPI) スキャン ソリューションは、多くの組織にとって重要な防御層となる可能性があります。 以下の条件のいずれかに当てはまる場合は、VSAPI ウイルス対策ソリューションの実行を検討する必要があります。

  • 組織に、信頼性の高い完全なデスクトップ ウイルス対策スキャン製品が展開されていない。

  • 組織に、メールボックス データベースのスキャンによって実現できる追加の保護が必要である。

  • 組織で、Exchange データベースにプログラムでアクセスするカスタム アプリケーションを開発した。

  • ユーザー コミュニティで、日常的にパブリック フォルダーへの投稿がある。

Exchange VSAPI を使用するウイルス対策ソリューションは、Exchange 情報ストア プロセス内で直接実行されます。 VSAPI ソリューションは、標準のクライアントおよびトランスポート スキャンを回避しつつ、Exchange 情報ストア内に感染したコンテンツを置く攻撃ベクトルから保護することができる、おそらく唯一のソリューションです。 たとえば、VSAPI は、CDO (Collaboration Data Objects)、WebDAV、および Exchange Web サービス (EWS) によってデータベースに送信されたデータをスキャンする唯一のソリューションです。 さらに、ウイルス感染が発生した場合、多くの場合、VSAPI ウイルス対策ソリューションは、感染したメールボックスからウイルスを削除し根絶する最も迅速な方法を提供します。

Exchange Server とファイル システムのウイルス対策

ファイルシステムのウイルス対策ソフトウェアを展開して Exchange サーバーを保護する場合、次のことを考慮します。

  • ファイル システム ウイルス対策スキャナーから、Exchange メールボックスとパブリック フォルダー データベースが格納されている Exchange サーバー ディレクトリを除外する必要があります。 詳細については、「Exchange 2010 でのファイル レベルのウイルス対策スキャン」を参照してください。

  • ファイル システム ウイルス対策スキャナーはファイルのみを保護します。 電子メール メッセージを保護するには、Exchange 対応のウイルス対策またはメッセージング セキュリティ製品 (MicrosoftForefront、または適切なパートナーやサードパーティ製製品など) の実装を検討する必要もあります。 スパム対策およびウイルス対策保護の詳細については、「スパム対策およびウイルス対策機能について」を参照してください。詳細については、「Forefront Protection 2010 for Exchange Server: 概要」を参照してください。

  • 効果的な保護のためには、ウイルス対策およびスパム対策の署名を最新に保つ必要があります。

  • 保護が有効で適切に実行されていることを確認し、インシデントを迅速に検出して、必要なアクションを実施できるように、ウイルス対策とスパム対策のソフトウェアまたはサービスからのレポートを定期的に確認する必要があります。

Exchange Hosted Services の使用

スパムおよびウイルス フィルターは Microsoft Exchange Hosted Services のサービスによって強化されるか、このサービス自体として利用できます。 Exchange Hosted Services は、次の 4 つの個別のホスト サービスで構成されています。

  • Hosted Filtering は、電子メールから感染するマルウェアから組織を保護します。

  • Hosted Archive は、組織が法令順守と保存の要件を満たすために役立ちます。

  • Hosted Encryption は、組織がデータを暗号化して機密を保持するために役立ちます。

  • Hosted Continuity は、停止状態が発生したときやその後で組織が電子メールへのアクセスを維持するために役立ちます。

これらのサービスは、社内で管理される社内 Exchange サーバーと統合されます。 詳細については、「Forefront Online Protection for Exchange」を参照してください。

添付ファイル フィルターの使用

Exchange 2010 では、添付ファイル フィルターを使用してエッジ トランスポート サーバー上でフィルターを適用し、ユーザーが受信する添付ファイルを制御できます。 添付ファイル フィルターは、現在の環境ではますます重要になっています。多くの種類の添付ファイルに、重要なドキュメントを破壊したり、機密情報を漏洩したりすることによって、ユーザーのコンピューターや組織に重大な被害を及ぼす可能性がある危険なウイルスや不適切な内容が含まれているからです。

次の種類の添付ファイル フィルターを使用して、エッジ トランスポート サーバーを通じて組織で送受信される添付ファイルを制御することができます。

ファイル名またはファイル名拡張子に基づくフィルター   フィルターの対象となる完全なファイル名またはファイル名拡張子を指定することによって、添付ファイルにフィルターを適用できます。 完全なファイル名のフィルターは BadFilename.exe のように指定します。ファイル名拡張子のフィルターは *.exe のように指定します。

MIME コンテンツの種類に基づくフィルター   フィルターの対象となる MIME コンテンツの種類を指定することによって、添付ファイルにフィルターを適用することもできます。 MIME コンテンツの種類は、添付ファイルの内容 (JPEG 画像、実行可能ファイル、Microsoft Office Excel 2010 ファイル、その他の種類のファイルなど) を示します。 コンテンツの種類は type/subtype として表されます。 たとえば、JPEG 画像というコンテンツの種類は image/jpeg として表されます。

添付ファイルがこれらのいずれかのフィルター条件に一致する場合、添付ファイルに対して以下の処理を実行するように構成できます。

  • メッセージ全体および添付ファイルをブロックする

  • 添付ファイルを削除し、メッセージを許可する

  • メッセージおよび添付ファイルを警告なしに削除する

詳細については、「添付ファイル フィルターについて」を参照してください。

注意

添付ファイル フィルター エージェントを使用して、コンテンツを基に添付ファイルをフィルターすることはできません。 トランスポート ルールを使用することで、メッセージと添付ファイル コンテンツを検査し、メッセージの削除または拒否、またはメッセージおよび添付ファイルの IRM 保護などのアクションを実施できます。 詳細については、「トランスポート ルールについて」を参照してください。

Forefront Protection for Exchange Server を使用したファイル フィルター

Forefront Protection for Exchange Server が提供するファイル フィルター機能には、Exchange 2010 に含まれる既定の添付ファイル フィルター エージェントでは利用できない高度な機能があります。

たとえば、問題のあるファイルの種類がないか、他のファイルを含むコンテナー ファイルをスキャンすることができます。 Forefront Protection for Exchange Server のフィルター機能は、以下のコンテナー ファイルをスキャンでき、埋め込みファイルに基づいて処理します。

  • PKZip (.zip)

  • GNU Zip (.gzip)

  • 自己解凍圧縮ファイル アーカイブ (.zip)

  • 圧縮ファイル (.zip)

  • Java アーカイブ (.jar)

  • TNEF (winmail.dat)

  • 構造化ストレージ (.doc, .xls, .ppt など)

  • MIME (.eml)

  • SMIME (.eml)

  • UUEncode (.uue)

  • UNIX テープ アーカイブ (.tar)

  • RAR アーカイブ (.rar)

  • MacBinary (.bin)

注意

Exchange 2010 に含まれる添付ファイル フィルター エージェントは、ファイルの名前が変更されていてもファイルの種類を検出します。 また、添付ファイル フィルターは、Zip または LZH 圧縮ファイル内のファイルに対してファイル名の拡張子の一致を実行することによりブロックされる添付ファイルが Zip または LZH 圧縮ファイルに含まれないようにします。 Forefront Protection for Exchange Server のファイル フィルターには、コンテナー ファイル内でブロックされる添付ファイルの名前が変更されているかどうかを判断する追加の機能が備わっています。

ファイルのサイズによってファイルをフィルター処理することもできます。 さらに、フィルター処理されたファイルを検疫、あるいはファイル フィルターの一致に基づいて電子メールによる通知を送信するように Forefront Protection for Exchange Server を構成できます。

詳細については、Microsoft Forefront Security for Exchange Server による Microsoft Exchange 組織の保護を参照してください。

Exchange ベスト プラクティス アナライザーの実行

Exchange ベスト プラクティス アナライザーは、Exchange 環境のセキュリティを確保するために定期的に実行できる最も効果的なツールの 1 つです。 Exchange ベスト プラクティス アナライザーは、Microsoft Exchange の展開を自動的に調べ、Microsoft のベスト プラクティスに従って構成が行われているかどうかを判断します。 Exchange 2010 では、Exchange ベスト プラクティス アナライザーは Exchange セットアップの一部としてインストールされ、Exchange 管理コンソール (EMC) のツール セクションから実行できます。 適切なネットワーク アクセスがあれば、Exchange ベスト プラクティス アナライザーはすべての Active Directory ドメイン サービス (AD DS) と Exchange サーバーを調べます。 Exchange ベスト プラクティス アナライザーには、アクセス許可の継承のチェックが含まれます。 さらに、RBAC のアクセス許可の検証をテストします。 これには、すべてのユーザーが Exchange コントロール パネル (ECP) にアクセスできること、Exchange セットアップによって作成されるすべての既定 BAC 役割が適切に構成されていること、および Exchange 組織内で少なくとも 1 つの管理者アカウントが存在することを確認するテストが含まれます。

ネットワーク ポートの使用方法とファイアウォールの強化

Windows Server 2008 には、既定で有効になるステートフル パケット インスぺクション ファイアウォールである、セキュリティが強化された Windows ファイアウォールが含まれます。 セキュリティが強化された Windows ファイアウォールは、次の機能を提供します。

  • コンピューターで送受信される、IP バージョン 4 (IPv4) および IP バージョン 6 (IPv6) トラフィックすべてのフィルタリング。 既定では、コンピューターから以前に送信された要求への応答 (応答型トラフィック) である場合、またはトラフィックを許可するように作成されたルールによって特に許可されている場合を除き、すべての受信トラフィックがブロックされます。 既定では、サービスの強化ルールによって標準サービスが予期しない方法で通信できなくなる場合を除き、すべての送信トラフィックが許可されます。 ポート番号、IPv4 または IPv6 アドレス、アプリケーションのパスと名前、またはコンピューター上で実行されるサービスの名前、またはその他の基準を基にして、トラフィックを許可できます。

  • IPsec プロトコルを使用した、コンピューターで送受信されるネットワーク トラフィックの保護。これにより、ネットワーク トラフィックの整合性を確保し、送受信するコンピューターまたはユーザーの ID を認証し、オプションとしてトラフィックを暗号化して機密性を提供します。

Exchange 2010 は、セキュリティが強化された Windows Server ファイアウォールが有効である状態で動作するように設計されています。 Exchange セットアップは、Exchange サービスとプロセスの通信を許可するのに必要なファイアウォール ルールを作成します。 指定されたサーバーの役割にインストールされたサービスとプロセスに必要なルールのみが作成されます。 各 Exchange 2010 サーバーの役割に作成されるネットワーク ポートの使用方法とファイアウォール ルールの詳細については、「Exchange ネットワーク ポートのリファレンス」を参照してください。

Windows Server 2008 および Windows Server 2008 R2 では、セキュリティが強化された Windows ファイアウォールにより、ポートを開くプロセスまたはサービスを指定することができます。 ルールで指定されたプロセスまたはサービスにポートの使用が制限されるので、セキュリティ保護がより強化されます。 Exchange 2010 セットアップは、指定されたプロセス名でファイアウォール ルールを作成します。 場合によっては、プロセスに制限されない追加ルールも、互換性目的のために作成されます。 展開でサポートされている場合は、プロセスに制限されないルールを無効化または削除して、Exchange 2010 セットアップによって作成された、プロセスに制限された対応するルールを維持することができます。 プロセスに制限されないルールは、ルール名の中にある (GFW) という語で区別されます。 プロセスに制限されないルールを無効にする前に、環境内でルールのテストを十分に実施することを推奨します。

次の表は、各サーバーの役割で開かれるポートを含めた、Exchange セットアップによって作成される Windows ファイアウォール ルールを示しています。

Windows ファイアウォール ルール

ルール名 サーバーの役割 ポート

MSExchangeRPCEPMap (GFW) (TCP-In)

すべての役割

RPC-EPMap

MSExchangeRPC (GFW) (TCP-In)

クライアント アクセス、ハブ トランスポート、メールボックス、ユニファイド メッセージング

動的 RPC

MSExchange - IMAP4 (GFW) (TCP-In)

クライアント アクセス

143、993 (TCP)

MSExchange - POP3 (GFW) (TCP-In)

クライアント アクセス

110、995 (TCP)

MSExchange - OWA (GFW) (TCP-In)

クライアント アクセス

5075、5076、5077 (TCP)

MSExchangeMailboxReplication (GFW) (TCP-In)

クライアント アクセス

808 (TCP)

MSExchangeIS (GFW) (TCP-In)

メールボックス

6001、6002、6003、6004 (TCP)

MSExchangeTransportWorker (GFW) (TCP-In)

ハブ トランスポート

25、587 (TCP)

SESWorker (GFW) (TCP-In)

ユニファイド メッセージング

任意

UMService (GFW) (TCP-In)

ユニファイド メッセージング

5060、5061 (TCP)

UMWorkerProcess (GFW) (TCP-In)

ユニファイド メッセージング

5065, 5066, 5067, 5068

重要

Exchange 2010 サービスが使用する既定ポートを変更するときは、対応するセキュリティが強化された Windows ファイアウォールのルールも変更し、使用する非既定ポートを通じた通信を許可する必要があります。サービスに使用する既定ポートを変更しても、Exchange 2010 はファイアウォールのルールを変更しません。

調整パラメーターとクライアント調整ポリシー

Exchange 2010 には、トランスポート、クライアント アクセス サーバー、およびメールボックス サーバーの役割に、各プロトコル関連の接続のさまざまなパラメーターを制御するための調整パラメーターが含まれます。Exchange 2010 には、クライアント アクセス サーバーの負荷を制御するためのクライアント調整ポリシーも含まれます。 これらの調整パラメーターおよびポリシーを使用することで、負荷を制御し、さまざまなプロトコルを対象とするサービス拒否 (DoS) 攻撃から Exchange 2010 サーバーを保護できます。

トランスポート サーバーの調整パラメーター

Exchange 2010 トランスポート サーバーでは、サーバーと送受信コネクタに、メッセージの処理速度、SMTP 接続速度、SMTP セッションのタイムアウト値を制御するためのメッセージ調整パラメーターが実装されています。 あわせて、これらの調整パラメーターは、多量のメッセージを受信および配信することによる過負荷からトランスポート サーバーを保護し、許可されていない SMTP クライアントとサービス拒否 (DoS) 攻撃からの保護を提供します。

Set-TransportServer コマンドレットを使用して、Exchange 2010 トランスポート サーバーで、次の調整ポリシーを構成できます。

トランスポート サーバーの調整パラメーター

パラメーター 説明

MaxConcurrentMailboxDeliveries

MaxConcurrentMailboxDeliveries パラメーターには、メッセージをメールボックスに配信するためにハブ トランスポート サーバーが同時に開くことができる配信スレッドの最大数を指定します。 ハブ トランスポート サーバーのストア ドライバーは、メールボックス サーバーへのメッセージの配信とメールボックス サーバーからのメッセージの受け付けを行います。 この制限は、Exchange 組織内のすべてのメールボックスへのメッセージの配信に適用されます。

既定値   20 配信

MaxConcurrentMailboxSubmissions

MaxConcurrentMailboxSubmissions パラメーターには、メールボックスからメッセージを受け付けるためにハブ トランスポート サーバーが同時に開くことができる配信スレッドの最大数を指定します。 ハブ トランスポート サーバーのストア ドライバーは、メールボックス サーバーへのメッセージの配信とメールボックス サーバーからのメッセージの受け付けを行います。 この制限は、Exchange 組織内のすべてのメールボックスからの新しいメッセージの受け付けに適用されます。

既定値   20 送信

MaxConnectionRatePerMinute

MaxConnectionRatePerMinute パラメーターには、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーに対して開くことができる新しい受信接続の最大数を指定します。 これらの接続は、サーバーに存在する任意の受信コネクタに対して開かれます。

既定   1,200 接続/分。

MaxOutboundConnections

MaxOutboundConnections パラメーターには、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーが同時に開くことができる同時送信接続の最大数を指定します。 送信接続には、サーバーに存在する送信コネクタが使用されます。 MaxOutboundConnections パラメーターで指定された値は、トランスポート サーバーに存在するすべての送信コネクタに適用されます。

既定値   1,000 接続。

unlimited という値を入力した場合、送信接続数は制限されません。

この値は、EMC を使用しても構成できます。

MaxPerDomainOutboundConnections

MaxPerDomainOutboundConnections パラメーターには、インターネットに直接接続されたハブ トランスポート サーバーまたはエッジ トランスポート サーバーが単一のリモート ドメインに対して開くことができる接続の最大数を指定します。 リモート ドメインへの送信接続には、サーバーに存在する送信コネクタが使用されます。

既定   20 接続/ドメイン

unlimited という値を入力した場合、ドメインごとの送信接続数は制限されません。

この値は、EMC を使用しても構成できます。

PickupDirectoryMaxMessagesPerMinute

MaxPerDomainOutboundConnections パラメーターには、ピックアップ ディレクトリおよび再生ディレクトリの両方のメッセージ処理速度を指定します。 各ディレクトリは、PickupDirectoryMaxMessagesPerMinute パラメーターで指定された処理速度でそれぞれ独立してメッセージを処理できます。 既定値   既定では、ピックアップ ディレクトリは、1 分あたり 100 メッセージを処理できます。またこれと同時に、再生ディレクトリは、1 分あたり 100 メッセージを処理できます。

ピックアップ ディレクトリと再生ディレクトリは、新しいメッセージ ファイルを 5 秒ごとに (つまり 1 分間に 12 回) スキャンします。 この 5 秒のポーリング間隔は構成できません。 これは、各ポーリング間隔に処理できるメッセージの最大数が PickupDirectoryMaxMessagesPerMinute パラメーターに割り当てた値を 12 で割った値 (PickupDirectoryMaxMessagesPerMinute/12) であることを意味します。 既定では、最大 8 個を少し超えるメッセージを 5 秒の各ポーリング間隔に処理できます。

送信コネクタの調整パラメーター

次の調整パラメーターが送信コネクタで利用できます。 これらのパラメーターを構成するには、Send-Connector コマンドレットを使用します。

送信コネクタの調整パラメーター

パラメーター 説明

ConnectionInactivityTimeOut

ConnectionInactivityTimeOut パラメーターには、送信先のメッセージング サーバーとの SMTP 接続をアイドル状態のまま開いておくことができる時間の上限を指定します。この上限に達すると接続は閉じられます。

既定値   10 分。

SmtpMaxMessagesPerConnection

SmtpMaxMessagesPerConnection パラメーターには、送信コネクタ サーバーが送信できる接続あたりの最大メッセージ数を指定します。

既定値   20 メッセージ

受信コネクタの調整パラメーター

Exchange 2010 トランスポート サーバーでは、受信コネクタに次の調整パラメーターを構成して、休止状態によるタイムアウト、接続の最大数、および接続中に許容される SMTP プロトコル エラー数などの接続パラメーターを制御できます。 これらのパラメーターを構成するには、Set-ReceiveConnector コマンドレットを使用します。

受信コネクタの調整パラメーター

パラメーター 説明

ConnectionInactivityTimeOut

ConnectionInactivityTimeOut パラメーターには、送信元のメッセージング サーバーとの SMTP 接続をアイドル状態のまま開いておくことができる時間の上限を指定します。この上限に達すると接続は閉じられます。

ハブ トランスポート サーバーでの既定値   5 分。

エッジ トランスポート サーバーでの既定値   1 分。

ConnectionTimeOut

ConnectionTimeOut パラメーターには、送信元のメッセージング サーバーとの SMTP 接続を開いておくことができる時間の上限を指定します。この制限は、送信元のメッセージング サーバーがデータを転送していても適用されます。

ハブ トランスポート サーバーでの既定値   10 分。

エッジ トランスポート サーバーでの既定値   5 分。

ConnectionTimeout パラメーターで指定する値は、ConnectionInactivityTimeout パラメーターで指定する値より大きい値にする必要があります。

MaxInboundConnection

MaxInboundConnection パラメーターには、この受信コネクタが同時に許容する受信 SMTP 接続の最大数を指定します。

既定値   5,000

MaxInboundConnectionPercentagePerSource

MaxInboundConnectionPercentagePerSource パラメーターには、受信コネクタが同時に許容する、単一の送信元メッセージング サーバーからの SMTP 接続の最大数を指定します。 値は受信コネクタで利用可能な残っている接続の割合で表します。 受信コネクタが許容する接続の最大数は、MaxInboundConnection パラメーターで定義されます。 既定値   2 %

MaxInboundConnectionPerSource

MaxInboundConnectionPerSource パラメーターには、受信コネクタが同時に許容する、単一の送信元メッセージング サーバーからの SMTP 接続の最大数を指定します。

既定値   100 接続

MaxProtocolErrors

MaxProtocolErrors パラメーターには、受信コネクタが送信元メッセージング サーバーとの接続を閉じるまでに許容する SMTP プロトコル エラーの最大数を指定します。

既定値   5 エラー

POP3 サービスの調整パラメーター

クライアント アクセス サーバーでは、MicrosoftExchange POP3 サービス用に次の調整パラメーターを利用できます。 これらのパラメーターを構成するには、Set-POPSettings コマンドレットを使用します。 詳細については、「POP3 の接続制限を設定する」を参照してください。

POP3 サービスの調整パラメーター

パラメーター 説明

MaxCommandSize

MaxCommandSize パラメーターには、単一のコマンドの最大サイズを指定します。 指定できる値は 40 ~ 1024 バイトです。

既定値   40 バイト。

MaxConnectonFromSingleIP

MaxConnectionFromSingleIP パラメーターには、指定したサーバーが単一の IP アドレスから受け付ける接続の数を指定します。 指定できる値は 1 ~ 25,000 です。

既定値   2,000 接続

MaxConnections

MaxConnections パラメーターには、指定したサーバーが受け付ける接続の総数を指定します。 これには、認証された接続と認証されていない接続が含まれます。 指定できる値は 1 ~ 25,000 です。

既定値   2,000 接続。

MaxConnectionsPerUser

MaxConnectionsPerUser パラメーターには、クライアント アクセス サーバーが特定のユーザーから受け付ける接続の最大数を指定します。 指定できる値は 1 ~ 25,000 です。

既定値   16 接続。

PreAuthenticationConnectionTimeOut

PreAuthenticatedConnectionTimeout パラメーターは、アイドル状態にある認証されていない接続を閉じるまで待機する時間を指定します。 指定できる値は 10 ~ 3,600 秒です。

既定値   60 秒。

IMAP4 サービスの調整パラメーター

クライアント アクセス サーバーでは、MicrosoftExchange IMAP4 サービス用に次の調整パラメーターを利用できます。 これらのパラメーターを構成するには、Set-IMAPSettings コマンドレットを使用します。 詳細については、「IMAP4 の接続の制限を設定する」を参照してください。

IMAP4 サービスの調整パラメーター

パラメーター 説明

AuthenticationConnectionTimeOut

AuthenticatedConnectionTimeout パラメーターは、認証されたアイドル状態の接続を閉じるまでの待機時間を指定します。 指定できる値は 30 ~ 86400 秒です。

既定値   1,800 秒。

MaxCommandSize

MaxCommandSize パラメーターには、単一のコマンドの最大サイズを指定します。 既定のサイズは 40 バイトです。 指定できる値は 40 ~ 1024 バイトです。

既定値   40 バイト。

MaxConnectionFromSingleIP

MaxConnectionFromSingleIP パラメーターには、指定したサーバーが単一の IP アドレスから受け付ける接続の数を指定します。 指定できる値は 1 ~ 25,000 です。

既定値   2,000 接続

MaxConnections

MaxConnections パラメーターには、指定したサーバーが受け付ける接続の総数を指定します。 これには、認証された接続と認証されていない接続が含まれます。 指定できる値は 1 ~ 25,000 です。

既定値   2,000 接続

MaxConnectionsPerUser

MaxConnectionsPerUser パラメーターには、クライアント アクセス サーバーが特定のユーザーから受け付ける接続の最大数を指定します。 指定できる値は 1 ~ 25,000 です。

既定値   16 接続。

PreAuthenticatedConnectionTimeOut

PreAuthenticatedConnectionTimeout パラメーターは、アイドル状態にある認証されていない接続を閉じるまで待機する時間を指定します。 指定できる値は 10 ~ 3600 秒です。

既定値   60 秒。

クライアント調整ポリシー

Exchange 2010 では、クライアント調整ポリシーを使用して、各クライアント アクセス プロトコルの同時接続数、クライアント セッションが LDAP 操作、RPC 操作、およびクライアント アクセス操作の実行に使用するクライアント セッションの時間の割合などのパラメーターを制御することにより、クライアント アクセス サーバーのパフォーマンスを管理できます。 通常は、既定のクライアント調整ポリシーで、クライアント アクセス サーバーにかかる負荷を十分管理することができます。 既定のポリシー パラメーターを変更したり、展開の要件に一致するカスタム ポリシーを作成できます。

次のユーザー グループとアクセス方法に調整ポリシーを利用できます。

  • 匿名アクセス

  • 社内外アクセス (CPA)

  • Exchange ActiveSync (EAS)

  • Exchange Web サービス (EWS)

  • IMAP

  • POP

  • Outlook Web App (OWA)

  • RPC クライアント アクセス (RCA)

クライアント調整ポリシーでは、これらのユーザー グループ (匿名アクセスおよび CPA) とアクセス方法 (EAS、EWS、IMAP、OWA、POP、および RCA) に次の調整設定を利用できます。

クライアント調整ポリシーの設定

調整設定 匿名アクセス CPA EAS EWS IMAP OWA POP RCA

同時最大数

はい

はい

はい

はい

はい

はい

はい

はい

AD での時間の割合

はい

非適用

はい

はい

はい

はい

はい

はい

CAS での時間の割合

はい

はい

はい

はい

はい

はい

はい

はい

メールボックス RPC での時間の割合

はい

はい

はい

はい

はい

はい

はい

はい

CPA   社内外アクセス

EAS   Exchange ActiveSync

EWS   Exchange Web サービス

OWA   Outlook Web App

ユーザー グループとアクセス方法を基にしたこれらの調整設定に加え、クライアント調整ポリシーでは次の調整設定を利用できます。

クライアント調整ポリシー パラメーター

パラメーター 説明

CPUStartPercent

CPUStartPercent パラメーターには、このポリシーによって制御されているユーザーがバックオフを受信し始める、プロセスごとの CPU の割合を指定します。 有効な値は 0 ~ 100 です。$null を使用すると、このポリシーの CPU の割合に基づく調整は無効となります。

EASMaxDeviceDeletesPerMonth

EASMaxDeviceDeletesPerMonth パラメーターは、ユーザーが 1 か月に削除できる Exchange ActiveSync パートナーシップの数の制限を指定します。 既定では、各ユーザーは予定表の月ごとに最大 20 のパートナーシップを削除できます。 制限に達するとパートナーシップの削除の試行は失敗し、エラー メッセージがユーザーに表示されます。

EASMaxDevices

EASMaxDevices パラメーターは、ユーザーが一度に保持できる Exchange ActiveSync パートナーシップの数の制限を指定します。 既定では、各ユーザーは、Exchange アカウントを持つ 10 の Exchange ActiveSync パートナーシップを作成できます。 ユーザーがこの制限を超えると、既存のパートナーシップのうち 1 つを削除しなければ、さらに新しいパートナーシップを作成できません。 制限を超えると、制限について説明するエラー メッセージが電子メールでユーザーに送信されます。 さらに、ユーザーが制限を超えるとアプリケーション ログにイベントが記録されます。

EWSFastSearchTimeOutInSeconds

EWSFastSearchTimeoutInSeconds パラメーターには、Exchange Web サービスを使用した検索がタイムアウトになるまで継続される時間を指定します。 ポリシー値が示す時間より長い時間が検索にかかる場合、検索は停止し、エラーが返されます。 この設定の既定値は、60 秒です。

EWSFindCountLimit

EWSFindCountLimit パラメーターは、現在のプロセスのユーザーに対して、クライアント アクセス サーバー上のメモリに同時に存在可能な、FindItem 呼び出しまたは FindFolder 呼び出しの結果の最大サイズを指定します。 ポリシーの上限を超えるアイテムまたはフォルダーの検索を試行すると、エラーが返されます。 ただし、インデックス付きページ ビューのコンテキスト内で呼び出しが行われた場合は、制限は厳密には適用されません。 特に、このシナリオでは、検索結果は、ポリシーの制限範囲内のアイテムおよびフォルダー数を含めるように切り詰められます。 その後、さらなる FindItem 呼び出しまたは FindFolder 呼び出しを介して、結果セットへのページングを続行できます。

EWSMaxSubscriptions

EWSMaxSubscriptions パラメーターは、ユーザーが特定のクライアント アクセス サーバーに対して同時に保持できるアクティブなプッシュおよびプル サブスクリプションの最大数を指定します。 ユーザーが設定された最大数を超えるサブスクリプションの作成を試みると、サブスクリプションは失敗し、イベントがイベント ビューアーに記録されます。

ExchangeMaxCmdlets

ExchangeMaxCmdlets パラメーターには、コマンドレットの実行を低速化する前の一定期間に実行可能なそれらのコマンドレットの数を指定します。 このパラメーターで指定された値は、PowerShellMaxCmdlets parameter パラメーターで指定されている値より小さくなければなりません。

この制限に使用される期間は、PowerShellMaxCmdletsTimePeriod パラメーターによって指定されます。 両方のパラメーターの値を同時に設定することをお勧めします。

ForwardeeLimit

ForwardeeLimit パラメーターは、転送操作またはリダイレクト操作の使用時に、[受信トレイのルール] に設定可能な受信者数の制限を指定します。 このパラメーターは、設定された受信者に転送またはリダイレクト可能なメッセージの数は制限しません。

MessageRateLimit

MessageRateLimit パラメーターは、トランスポートに送信可能な 1 分あたりのメッセージ数を指定します。 メールボックス サーバーの役割を通じて送信されたメッセージの場合 (Outlook Web App、Exchange ActiveSync、または Exchange Web サービス)、この結果、ユーザーのクォータが使用可能になるまでメッセージの遅延が発生します。 具体的には、ユーザーが MessageRateLimit パラメーターを上回る速度でメッセージを送信した場合、メッセージは長い間、送信トレイまたは下書きフォルダーに置かれます。

SMTP を使用してトランスポートに直接メッセージを送信する POP または IMAP クライアントの場合、MessageRateLimit パラメーターを上回る速度で送信すると、一時的なエラーが発生します。Exchange は、後から接続とメッセージの送信を試みます。

PowerShellMaxCmdletQueueDepth

PowerShellMaxCmdletQueueDepth パラメーターは、ユーザーが実行できる操作の数を指定します。 この値は、PowerShellMaxCmdlets パラメーターと PowerShellMaxConcurrency パラメーターの動作に直接影響します。 たとえば、PowerShellMaxConcurrency パラメーターはPowerShellMaxCmdletQueueDepth パラメーターによって定義された 2 つ以上の操作を実行するが、コマンドレットの実行ごとに追加の操作も実行できます。 操作の数は、実行されるコマンドレットによって決まります。 PowerShellMaxCmdletQueueDepth パラメーターの値は、PowerShellMaxConcurrency parameter の値の 3 倍以上にすることをお勧めします。 このパラメーターは、Exchange コントロール パネルの操作や Exchange Web サービスの操作には影響しません。

PowerShellMaxCmdlets

PowerShellMaxCmdlets パラメーターは、コマンドレットの実行を停止する前の一定期間に実行可能なそれらのコマンドレットの数を指定します。 このパラメーターで指定された値は、ExchangeMaxCmdlets パラメーターで指定されている値より大きくなければなりません。 この制限に使用される期間は、PowerShellMaxCmdletsTimePeriod パラメーターによって指定されます。 両方の値を同時に設定してください。

PowerShellMaxCmdletsTimePeriod

PowerShellMaxCmdletsTimePeriod パラメーターには、PowerShellMaxCmdlets パラメーターおよび ExchangeMaxCmdlets パラメーターによって指定されている制限を超える数のコマンドレットが実行されているかどうかを判別するために調整ポリシーが使用する時間を秒単位で指定します。

PowerShellMaxConcurrency

PowerShellMaxConcurrency パラメーターは、コンテキストに応じて異なる情報を指定します。

リモート PowerShell のコンテキストでは、PowerShellMaxConcurrency パラメーターは、リモート PowerShell ユーザーが同時に保持できるリモート PowerShell セッションの最大数を指定します。

Exchange Web サービスのコンテキストでは、PowerShellMaxConcurrency パラメーターには、ユーザーが同時に保持できる同時コマンドレット実行の数を指定します。

このパラメーターの値は、必ずしも、ユーザーが開いたブラウザーの数に関連しているわけではありません。

RecipientRateLimit

RecipientRateLimit パラメーターには、24 時間の期間にユーザーがアドレス指定可能な受信者数の制限を指定します。

Exchange 2010 調整ポリシーの詳細については、「クライアント調整ポリシーについて」を参照してください。

役割ベースのアクセス制御

役割ベースのアクセス制御 (RBAC) は、Exchange 2010 の新しいアクセス許可モデルであり、広範囲なレベルと詳細なレベルの両方で、管理者とエンド ユーザーが実行できることを制御できます。RBAC を使用すると、組織単位およびコンテナーなどの Active Directory オブジェクトでアクセス制御リスト (ACL) を変更して、ヘルプデスク オペレーターなどのグループまたは受信者管理などの機能に、詳細なアクセス許可の委任を可能にする必要はなくなります。 Active Directory

詳細については、「役割ベースのアクセス制御について」を参照してください。 Exchange 2010 が備える既定のBAC 管理役割の一覧については、「組み込みの管理役割」を参照してください。 既定の役割グループの一覧については、「組み込みの役割グループ」を参照してください。

Exchange 2010 セットアップまたは管理者によって作成される役割グループは、MicrosoftExchange セキュリティ グループ OU 内のユニバーサル セキュリティ グループとして、Active Directory に作成されます。 New-RoleGroupMember コマンドレット、または Exchange コントロール パネル (ECP) を使用して、役割グループにメンバーを追加できます。 役割グループにメンバーを追加すると、対応する Active Directory セキュリティ グループにユーザーまたはグループが追加されます。 制限されたグループ ポリシーを使用して、"Discovery Management/検出の管理" などの重要な RBAC 役割グループのメンバーシップを制限できます。 制限されたグループ ポリシーを実装すると、グループのメンバーシップは Active Directory ドメイン コントローラーによって監視され、ポリシーに含まれないユーザーはすべて自動的に削除されます。

重要

制限されたグループを使用して RBAC 役割グループのグループ メンバーシップを制限する場合、Exchange 2010 ツールを使用して行う役割グループへの変更は、すべて Active Directory の制限されたグループ ポリシーにも反映する必要があります。 詳細については、「Group Policy Security Settings (グループ ポリシー セキュリティ設定)」を参照してください。

Active Directory

Exchange サーバーは、Active Directory ドメイン サービス (AD DS) の構成パーティションに構成データ、ドメイン パーティションに受信者データを格納します。 Exchange 2010 組織のセットアップに必要なアクセス許可の詳細については、「Exchange 2010 の展開のアクセス許可のリファレンス」を参照してください。 Active Directory ドメイン コントローラーとの通信は Kerberos 認証と暗号を使用してセキュリティ保護されます。

Exchange 2010 は、Exchange 内部に役割ベース アクセス制御 (RBAC) という新しい承認階層を備えます。これにより、適切なアクセス許可を必要とするすべてのアカウントにアクセス制御エントリ (ACE) を適用する必要はなくなりました。 以前のバージョンの Microsoft Exchange では、Exchange 管理者がドメイン パーティション内のオブジェクトを管理できるようにするために、Exchange セットアップは Active Directory 内の ACE に依存していました。Exchange 管理者には RBAC 経由で、特定範囲内の操作を実行する権限が与えられます。 Exchange サーバーは、ExchangeWindows アクセス許可および Exchange 信頼されたサブシステム セキュリティ グループ経由で Active Directory 内で与えられたアクセス許可を使用することにより、管理者またはユーザーの代理として承認されたアクションを実行します。 RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。

Exchange 2010 では、/PrepapareDomain は Active Directory 内の AdminSDHolder コンテナーに、ExchangeWindows アクセス許可ユニバーサル セキュリティ グループの ACE を適用しません。 ExchangeWindows アクセス許可ユニバーサル セキュリティ グループに与えられた ACE を /PrepareDomain が検出すると、その ACE は削除されます。 これには、次のような影響があります。

  • ExchangeWindows アクセス許可ユニバーサル セキュリティ グループのメンバーは、Enterprise Admins および Domain Admins などの保護されたセキュリティ グループのメンバーシップを変更できません。 これには、次のような影響があります。

  • ExchangeWindows アクセス許可ユニバーサル セキュリティ グループのメンバーは、AdminSDHolder によって保護されるアカウントのパスワードを強制的にリセットできません。

  • ExchangeWindows アクセス許可ユニバーサル セキュリティ グループのメンバーは、AdminSDHolder によって保護されるグループまたはアカウントのアクセス許可を変更できません。

ベスト プラクティスとして、AdminSDHolder で保護されたアカウントのメールボックスを有効にせず、個別の Active Directory 管理者向けアカウント (Active Directory 管理用アカウント、および電子メールを含む通常の日常業務用アカウント) を保持することを推奨します。 詳細については、以下のトピックを参照してください。

Exchange サービス アカウント

Exchange 2010 セットアップは、ルート ドメインに MicrosoftExchange セキュリティ グループという新しい組織単位 (OU) を作成します。 次の表に、新しいユニバーサル セキュリティ グループを示します。

Microsoft Exchange セキュリティ グループ

セキュリティ グループ 説明

Exchange All Hosted Organizations

このグループには、Exchange Hosted Organization Mailboxes グループすべてが含まれます。 すべてのホスト メールボックスにパスワード設定オブジェクトを適用するのに使用します。 このグループは削除できません。

Exchange Servers

このグループには Exchange サーバーすべてが含まれます。 このグループは削除できません。 このグループのメンバーシップを変更することは極力避けてください。

Exchange Trusted Subsystem

このグループには、管理サービス経由でユーザーの代理として Exchange コマンドレットを実行する Exchange サーバーが含まれます。 このグループのメンバーには Exchange 構成とユーザー アカウントとグループすべての読み取りと変更のためのアクセス許可が与えられます。 このグループは削除できません。

ExchangeWindows Permissions

このグループには、管理サービス経由でユーザーの代理として Exchange コマンドレットを実行する Exchange サーバーが含まれます。 このグループのメンバーには Windows ユーザー アカウントとグループすべての読み取りと変更のためのアクセス許可が与えられます。 このグループは削除できません。 このグループのメンバーシップを変更することは極力避け、グループ メンバーシップを監視することを推奨します。

ExchangeLegacyInterop

このグループは、同一フォレスト内の Exchange 2003 サーバーとの相互運用を目的としています。 このグループは削除できません。

これらのセキュリティ グループに加え、セットアップは、同じ名前の RBAC 役割グループに対応する次のセキュリティ グループも作成します。

RBAC 役割グループに対応するセキュリティ グループ

セキュリティ グループ RBAC 役割グループ

"Delegated Setup/委任されたセットアップ"

委任されたセットアップ

"Discovery Management/検出の管理"

検出の管理

"Help Desk/ヘルプデスク"

Help Desk (ヘルプ デスク)

"Hygiene Management/検疫管理"

検疫管理

"Organization Management/組織の管理"

組織の管理

"Public Folder Management/パブリック フォルダーの管理"

パブリック フォルダーの管理

"Recipient Management/受信者の管理"

受信者の管理

"Records Management/レコードの管理"

レコードの管理

"Server Management/サーバー管理"

サーバー管理

"UM Management/UM 管理"

UM 管理

"View-Only Organization Management/表示専用組織の管理"

表示専用組織の管理

また、新しい役割グループを作成すると、Exchange 2010 は、同じ名前のセキュリティ グループを役割グループとして作成します。詳細については、以下のトピックを参照してください。

Add-RoleGroupMember または Remove-RoleGroupMember コマンドレットを使用するか、ECP で [役割ベースのアクセス制御 (RBAC) ユーザー エディター] を使用して、役割グループに対してユーザーを追加または削除すると、これらのセキュリティ グループに対してもユーザーが追加または削除されます。

ファイル システム

Exchange 2010 セットアップは、Exchange 2010 が機能するために必要な最小限のアクセス許可のディレクトリを作成します。 セットアップによって作成されたディレクトリの既定アクセス制御リスト (ACL) のアクセス許可をさらに強化することは推奨しません。

サービス

Exchange 2010 セットアップは、既定では Windows サービスを無効にしません。 次の表に、各サーバーの役割で既定で有効なサービスを一覧します。 特定の Exchange 2010 サーバーの役割の操作に必要なサービスのみが既定で有効です。

Exchange セットアップによってインストールされるサービス

サービス名 サービスの短縮名 セキュリティ コンテキスト 説明および依存関係 既定の開始方法 サーバーの役割 必須 (R) またはオプション (O)

Microsoft ExchangeActive Directory トポロジ

MSExchangeADTopology

ローカル システム

Active Directory トポロジ情報を Exchange サービスに提供します。 このサービスが停止すると、大部分の Exchange サービスは開始できません。 このサービスには依存関係はありません。

自動

メールボックス、ハブ トランスポート、クライアント アクセス、ユニファイド メッセージング

R

Microsoft Exchange ADAM

ADAM_MSExchange

ネットワーク サービス

構成データと受信者データをエッジ トランスポート サーバーに格納します。 このサービスは、エッジ トランスポート サーバーのインストール時にセットアップ プログラムによって自動的に作成される Active Directory ライトウェイト ディレクトリ サービス (AD LDS) の名前付きインスタンスを表します。 このサービスは、COM+ イベント システム サービスに依存します。

自動

エッジ トランスポート

R

Microsoft Exchange アドレス帳

MSExchangeAB

ローカル システム

アドレス帳のクライアント接続を管理します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

自動

クライアント アクセス

R

Microsoft Exchange Anti-spam Update

MSExchangeAntispamUpdate

ローカル システム

MicrosoftForefront Protection 2010 for Exchange Server スパム対策更新サービスを提供します。 ハブ トランスポート サーバーでは、このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。 エッジ トランスポート サーバーでは、このサービスは、Microsoft Exchange ADAM サービスに依存します。

自動

ハブ トランスポート、エッジ トランスポート

O

Microsoft Exchange Credential Service

MSExchangeEdgeCredential

ローカル システム

AD LDS 内の資格情報の変更を監視し、変更をエッジ トランスポート サーバーにインストールします。 このサービスは、Microsoft Exchange ADAM サービスに依存します。

自動

エッジ トランスポート

R

Microsoft Exchange EdgeSync

MSExchangeEdgeSync

ローカル システム

セキュリティで保護された LDAP チャネルを介して、購読済みのエッジ トランスポート サーバー上の AD LDS インスタンスに接続し、ハブ トランスポート サーバーとエッジ トランスポート サーバーの間でデータを同期します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。 エッジ サブスクリプションが構成されていない場合、このサービスは無効にできます。

自動

ハブ トランスポート

O

Microsoft Exchange ファイル配布

MSExchangeFDS

ローカル システム

オフライン アドレス帳 (OAB) およびユニファイド メッセージングのカスタム プロンプトを配布します。 このサービスは、Microsoft Exchange Active Directory トポロジとワークステーション サービスに依存します。

自動

クライアント アクセス、ユニファイド メッセージング

R

Microsoft Exchange フォーム ベース認証

MSExchangeFBA

ローカル システム

Outlook Web App と Exchange コントロール パネルにフォームベースの認証を提供します。 このサービスを停止すると、Outlook Web App と Exchange コントロール パネルはユーザーを認証しません。 このサービスには依存関係はありません。

自動

クライアント アクセス

R

Microsoft Exchange IMAP4

MSExchangeIMAP4

ネットワーク サービス

IMAP4 サービスをクライアントに提供します。 このサービスを停止すると、クライアントは IMAP4 プロトコルを使用してこのコンピューターに接続できなくなります。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

手動

クライアント アクセス

O

Microsoft Exchange Information Store

MSExchangeIS

ローカル システム

Exchange インフォメーション ストアを管理します。 これには、メールボックス データベースおよびパブリック フォルダー データベースが含まれます。 このサービスを停止すると、そのコンピューターのメールボックス データベースとパブリック フォルダー データベースが使用できなくなります。 このサービスを無効にすると、明示的に依存しているすべてのサービスを開始できなくなります。 このサービスは、RPC、サーバー、Windows イベント ログ、およびワークステーション サービスに依存します。

自動

メールボックス

R

Microsoft Exchange メール発信サービス

MSExchangeMailSubmission

ローカル システム

メールボックス サーバーから Exchange 2010 ハブ トランスポート サーバーにメッセージを送信します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

自動

メールボックス

R

Microsoft Exchange メールボックス アシスタント

MSExchangeMailboxAssistants

ローカル システム

Exchange ストア内のメールボックスをバックグランドで処理します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

自動

メールボックス

R

Microsoft Exchange メールボックス レプリケーション サービス

MSExchangeMailboxReplication

ローカル システム

メールボックスの移動と移動要求を処理します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスおよび Net.Tcp Port Sharing サービスに依存します。

自動

クライアント アクセス

O

Microsoft Exchange Monitoring

MSExchangeMonitoring

ローカル システム

アプリケーションによる Exchange の診断コマンドレットの呼び出しを許可します。 このサービスには依存関係はありません。

手動

すべて

O

Microsoft Exchange POP3

MSExchangePOP3

ネットワーク サービス

クライアントに POP3 サービスを提供します。 このサービスを停止すると、クライアントは POP3 プロトコルを使用してこのコンピューターに接続できなくなります。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

手動

クライアント アクセス

O

Microsoft Exchange Protected Service Host

MSExchangeProtectedServiceHost

ローカル システム

その他のサービスから保護する必要があるいくつかの Exchange サービスにホストを提供します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

自動

ハブ トランスポート、クライアント アクセス

R

Microsoft Exchange レプリケーション サービス

MSExchangeRepl

ローカル システム

データベース可用性グループ (DAG) のメールボックス サーバー上のメールボックス データベースに複製機能を提供します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

自動

メールボックス

O

Microsoft Exchange RPC クライアント アクセス

MSExchangeRPC

ネットワーク サービス

Exchange のクライアント RPC 接続を管理します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

自動

メールボックス、クライアント アクセス

O (メールボックス)、R (クライアント アクセス)

Microsoft Exchange Search Indexer

MSExchangeSearch

ローカル システム

メールボックスのコンテンツのインデックスを作成します。これにより、コンテンツの検索のパフォーマンスが向上します。 このサービスは、Microsoft Exchange Active Directory トポロジと Microsoft Search (Exchange Server) サービスに依存します。

自動

メールボックス

O

Windows Server バックアップ用の Microsoft Exchange Server 拡張機能

WSBExchange

ローカル システム

Windows Server バックアップ ユーザーが Microsoft Exchange のアプリケーション データをバックアップおよび回復できるようにします。 このサービスには依存関係はありません。

手動

メールボックス

O

Microsoft Exchange Service Host

MSExchangeServiceHost

ローカル システム

さまざまな Exchange サービスに対してホストを提供します。 内部サーバーの役割では、このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。 エッジ トランスポート サーバーでは、このサービスは、Microsoft Exchange ADAM サービスに依存します。

自動

すべて

R

Microsoft Exchange 音声認識エンジン

MSSpeechService

ネットワーク サービス

ユニファイド メッセージングに音声処理サービスを提供します。 このサービスは、Windows Management Instrumentation (WMI) サービスに依存します。

自動

ユニファイド メッセージング

R

Microsoft Exchange System Attendant

MSExchangeSA

ローカル システム

従来の Outlook クライアントのグローバル カタログ サーバーに対するディレクトリ参照の送信、電子メール アドレスと OAB の生成、従来のクライアントに関する空き時間情報の更新、およびサーバーのアクセス許可とグループ メンバーシップの維持を行います。このサービスを無効にすると、明示的に依存しているすべてのサービスを開始できなくなります。 このサービスは、RPC、サーバー、Windows イベント ログ、およびワークステーション サービスに依存します。

自動

メールボックス

R

Microsoft Exchange Throttling

MSExchangeThrottling

ネットワーク サービス

ユーザー操作の速度を制限します。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。

自動

メールボックス

R

Microsoft Exchange Transport

MSExchangeTransport

ネットワーク サービス

SMTP サーバーおよびトランスポート スタックを提供します。 ハブ トランスポート サーバーでは、このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。 エッジ トランスポート サーバーでは、このサービスは、Microsoft Exchange ADAM サービスに依存します。

自動

ハブ トランスポート、エッジ トランスポート

R

Microsoft Exchange Transport Log Search

MSExchangeTransportLogSearch

ローカル システム

Microsoft Exchange トランスポート ログ ファイルのリモート検索機能を提供します。 ハブ トランスポート サーバーでは、このサービスは、Microsoft Exchange Active Directory トポロジ サービスに依存します。 エッジ トランスポート サーバーでは、このサービスは、Microsoft Exchange ADAM サービスに依存します。

自動

ハブ トランスポート、メールボックス、エッジ トランスポート

O

Microsoft Exchange ユニファイド メッセージング

MSExchangeUM

ローカル システム

Microsoft Exchange ユニファイド メッセージング機能を有効にします。 これにより、音声メッセージおよび FAX メッセージが Exchange に格納され、ユーザーは電話で電子メール、ボイス メール、予定表、連絡先、または自動応答にアクセス可能になります。 このサービスが停止している場合、ユニファイド メッセージングは使用できません。 このサービスは、Microsoft Exchange Active Directory トポロジ サービスおよび Microsoft Exchange 音声認識エンジン サービスに依存します。

自動

ユニファイド メッセージング

R

Microsoft Search (Exchange Server)

msftesql-Exchange

ローカル システム

これは、Microsoft Search の Microsoft Exchange 用カスタマイズ版です。 このサービスは、RPC サービスに依存します。

手動

ハブ トランスポート、メールボックス

O

証明書

Exchange 2010 セットアップは、さまざまなプロトコル (HTTP、SMTP、POP3、および IMAP4 など) 経由の通信をセキュリティ保護するため、自己署名証明書を作成します。 セットアップで作成される自己署名証明書は 5 年間有効です。 これにより、Exchange 2010 展開の重要な部分について自己署名証明書を更新する必要はなく、メッセージング サービスは自己署名証明書の期限切れの影響を受けずに済みます。

外部クライアント アクセス メカニズムとプロトコル (Outlook Web App、POP3、IMAP4、Outlook Anywhere、および AutoDiscover など) では、次の事項を推奨します。

  • サービスにアクセスするクライアントが信頼する商用証明機関 (CA) が署名した証明書を使用する。

  • Exchange 証明書の新規作成ウィザード、または New-ExchangeCertificate コマンドレットを使用して、商用 CA に対する証明書署名要求を作成する。 これらのツールを使用して証明書要求を生成することにより、Exchange 証明書の要件をすべて確実に満たせます。

  • 外部クライアント アクセスを許可する各プロトコルまたはサービスの証明書要件を検討する。

    • クライアント アクセス サーバーでは、Secure Sockets Layer を使用して HTTP トラフィック (Outlook Anywhere、Outlook Web App、AutoDiscover、Exchange ActiveSync、および Exchange Web サービス) を保護し、SSL またはトランスポート層セキュリティ (TLS) を使用して POP3 と MAP4 トラフィックを保護するために証明書が使用されます。 詳細については、「クライアント アクセス サーバーの SSL の管理」を参照してください。

    • トランスポート サーバーでは、TLS を使用して SMTP トラフィックを保護するために証明書が使用されます。 詳細については、「TLS 証明書について」を参照してください。

    • ユニファイド メッセージング サーバーでは、Voice over Internet Protocol (VoIP) トラフィックを保護するために証明書が使用されます。 詳細については、「ユニファイド メッセージング VoIP セキュリティについて」を参照してください。

    • フェデレーションでは、Microsoft フェデレーション ゲートウェイ (MFG)、およびフェデレーション パートナー組織と交換する SAML トークンを暗号化するために証明書が使用されます。 詳細については、「フェデレーションについて」を参照してください。

  • 証明書の有効期日を監視し、CA からの証明書を遅延なく更新して、サービスの中断を防ぐ。

  • エクスポートされた証明書を関連する秘密キーと格納する場合、格納先のフォルダー/ファイルに適切なアクセス制御を使用して、エクスポートされたファイルを保護します。 組織のセキュリティ要件に応じて、証明書ファイルが秘密キーと一緒に格納されているフォルダーのファイル アクセスの監査を有効にすることを検討します。

NTLM 検討事項

NTLM プロトコルは、Kerberos プロトコルに比べ、安全性がはるかに劣ります。 Exchange 2010 では、SecureLoginLoginType として指定されている場合、POP3 および IMAP4 プロトコルは NTLM 認証をサポートしません。 詳細については、「POP3 用および IMAP4 用の認証の構成」を参照してください。Windows 統合認証を使用する Exchange 2010 サービスは、NTLM または Kerberos プロトコルのいずれかを使用できます。 Kerberos は、クライアント アクセス サーバーの Exchange 2010 メールボックス サーバーへの通信、および Outlook Web App、Exchange ActiveSync、および Exchange Web サービスのクライアント アクセス サーバー間の通信に使用されます。 NTLM を使用して認証するサービスの詳細については、「Exchange ネットワーク ポートのリファレンス」を参照してください。

デュアル ファクター認証

デュアル ファクター認証メカニズムでは、ユーザーのログイン資格情報 (ユーザー名とパスワード) に加え、他の認証子 (ランダム生成トークン、または PIN 付きスマートカードのデジタル証明書など) が使用されます。 多くの組織が、組織のネットワークへのアクセスをセキュリティで保護するため、デュアル ファクター認証を展開しています。

Exchange 2010 には、デュアル ファクター認証のネイティブ サポートは含まれません。Exchange 2010 は、HTTP 経由のクライアント アクセスに Internet Information Sever (IIS) 7 を使用します (AutoDiscover、Outlook Web App、Outlook Anywhere、Exchange ActiveSync、および Exchange Web サービス) を使用します。 IIS と統合された多くのデュアル ファクター認証製品がパートナーおよびサードパーティ各社から販売されており、Outlook Web App などの Exchange クライアント アクセス サービスと動作します。 Exchange サービス向けデュアル ファクター認証製品を展開する前に、製品が組織のセキュリティ要件を持たし、必要な機能を提供することを確認するため、製品を適切にテストすることを推奨します。

フェデレーション

Exchange 2010 には、フェデレーション Exchange 組織間のコラボレーションをセキュリティで保護する、新しいフェデレーション機能が導入されています。Exchange 2010 組織は Microsoft Federation Gateway 付きフェデレーション信頼を作成して、その他のフェデレーション組織と組織関係を確立し、空き時間情報と予定表を共有できます。 組織は、共有ポリシーを使用して、ユーザーが空き時間情報、予定表および連絡先情報を外部のフェデレーション組織のユーザーと共有可能にすることもできます。 フェデレーション信頼とフェデレーション共有の詳細については、「フェデレーションについて」および「フェデレーション委任について」を参照してください。

MFG 付きフェデレーション信頼を確立すると、組織上の関係を作成しない限り、2 つのフェデレーション組織間での共有は行われません。 ただし、既定では、ユーザーと外部フェデレーション組織のユーザー間の共有は、ユーザーに割り当てられた既定の共有ポリシーを使用して有効になっています。 このポリシーにより、すべての外部フェデレーション組織内のユーザーに対して、予定表の空き時間情報のみを共有することが可能になります。 ユーザーに、すべての外部フェデレーション ドメインのユーザーと予定表と空き時間情報を共有させない場合、既定の共有ポリシーを無効にするか、ポリシー内で指定されたドメイン名を共有を許可するドメインのみに変更します。 MFG 付きフェデレーション信頼を作成する前に、この変更を行う必要があります。 詳細については、「共有ポリシーを無効にする」および「共有ポリシーのプロパティの構成」を参照してください。

組織の MFG 付きフェデレーション信頼を削除することにより、フェデレーション委任を含む、組織のすべてのフェデレーション機能を無効にできます。 詳細については、「フェデレーション信頼の削除」を参照してください。

Secure/Multipurpose Internet Mail Extensions (S/MIME)

Secure/Multipurpose Internet Mail Extensions (S/MIME) は公開キーによる暗号化と MIME データ署名の標準であり、メッセージング データに認証、メッセージの整合性、否認不可性、およびデータの機密性を提供します。 ユーザーは、S/MIME 証明書を使用して、メッセージの署名、暗号化、またはその両方を実行できます。 S/MIME の詳細については、「S/MIME について」を参照してください。

S/MIME は、電子メール サーバーに相互運用性のための要件を必要としない、クライアント側の技術です。 メッセージの転送という観点では、S/MIME で署名または暗号化されたメッセージは、クリア テキスト (暗号化されていない) メッセージと同じ方法で転送されます。 メッセージの実際のレンダリングは、証明書とメッセージの検証チェック後にクライアント側で行われます。 Outlook Web App では、S/MIME サポートは ActiveX コントロールを使用して提供されます。 Outlook Web App では、Microsoft Internet Explorer、Mozilla FireFox および Safari などの多くの有名なブラウザーがサポートされますが、ActiveX コントロールが Internet Explorer の機能になります。その他のブラウザーを使用する Outlook Web App ユーザーは S/MIME 機能にアクセスできず S/MIME をサポートする別の電子メール クライアントの使用が必要となる場合があります。 Outlook Web App の S/MIME の詳細については、「Outlook Web App と S/MIME」を参照してください。

Outlook での S/MIME サポートの詳細については、「Outlook の証明書と暗号化電子メール メッセージングの概要」を参照してください。

S/MIME は組織にセキュリティ上の利点をもたらしますが、この技術を評価するにあたっては、次の点を検討する必要があります。

  • S/MIME で暗号化されたメッセージは、組織からは内容を確認できません。 ウイルス対策およびスパム対策などのメッセージング セキュリティソフトウェアは、メッセージの本文と添付ファイルを含む、メッセージのコンテンツを調べることはできません。

  • メッセージのコンテンツと添付ファイルが暗号化されているため、トランスポート ルールを含む組織のメッセージング ポリシーは S/MIME で暗号化されたメッセージに適用できません。

  • 組織のメッセージング ポリシーに準拠するように S/MIME で署名されたメッセージを変更 (免責事項または個人用の署名の適用など) すると、メッセージが無効になります。

  • 暗号化されたメッセージ コンテンツは、コンテンツの違反について調べることができないため、組織は機密情報を保護できません。 これには、組織から漏えいする個人を特定できる情報 (PII) が含まれます。

  • S/MIME で暗号化されたメッセージは Exchange Search でインデックス処理できないため、探索で検索することはできません。

  • 訴訟中の法令や開示の要件を満たすため、組織は暗号化されたメッセージすべてについて、暗号化されていないコピーの作成が必要になる可能性があります。

Exchange 2010 は、組織が機密メッセージ コンテンツに永続的な保護を適用し、指定された受信者のみが IRM 保護メッセージにアクセス可能となるようにするための Information Rights Management (IRM) 機能を提供します。 組織は、受信者に配信された後の、このようなコンテンツの使用方法に関する制御を実装することもできます。 たとえば、メッセージの印刷、返信、または組織内外への転送などを防ぐことができます。 また、組織は IRM 保護コンテンツを復号化して、ウイルス対策、スパム対策ソフトウェア、およびその他のトランスポート エージェントによるスキャンを可能にしたり、トランスポート ルールを使用してメッセージング ポリシーを適用することができます。IRM 保護メッセージのアーカイブと探索を有効にすることもできます。 IRM 機能は、Outlook Web App でサポートされるすべての Web ブラウザー、および Windows モバイル デバイスでも利用できます。 IRM の詳細については、「Information Rights Management について」を参照してください。

サーバーの役割の検討事項

ここでは、Exchange 2010 サーバーの役割のセキュリティ関連の検討事項を一覧します。

メールボックス サーバーの検討事項

Exchange 2010 では、Exchange ストア、および Outlook などの MAPI クライアントからの接続にアーキテクチャ上の変更が行われました。 MAPI クライアントはクライアント アクセス サーバーに接続します。このため、メールボックス サーバーはクライアント トラフィックから隔離されます。 メールボックス サーバーは RPCSec を使用するクライアント アクセス サーバー、および組織内の Active Directory ドメイン サービス (AD DS) サーバーとのみ通信します。 メールボックス サーバーはインターネット接続を必要としません。

記憶域

記憶域は、メールボックス サーバーの重要なコンポーネントです。 展開で十分なパフォーマンスと適切な記憶域領域が得られるように、メールボックス サーバーの記憶域サブシステムを計画する必要があります。 メールボックス サーバー記憶域の計画の詳細については、「メールボックス サーバーの記憶域設計」を参照してください。

メールボックス サーバーの展開後、次の項目を監視する必要があります。

  • 記憶域サブシステムの可用性。

  • メールボックス データベースとトランザクション ログを含むボリュームに、利用可能なディスクの空き領域が十分にあること。 データベースやトランザクション ログを格納するボリュームの空きディスク容量が不足すると、メールボックスまたはパブリック フォルダー データベースはマウント解除されます。

Microsoft Federation Gateway Systems Center Operations Manager を使用して、記憶域の可用性とディスク空き領域を確認できます。詳細については、「Systems Center Operations Manager 2007」を参照してください。

記憶域を計画して監視する場合、次の機能を使用する予定であれば、機能の記憶域に関する要件を検討する必要があります。

  • ジャーナリング   ジャーナリングを使用して、長期間のアーカイブ用にメッセージを保持する場合、標準ジャーナリング (メールボックス データベースごと)、またはプレミアム ジャーナリング (ジャーナル ルール) のいずれを使用するかに応じて、メールボックス データベースにあるすべての受信者が送受信するメッセージ、またはジャーナル ルールで指定された受信者が送受信するメッセージは、ジャーナル レポートとしてジャーナル メールボックス、または指定された受信者に配信されます。 多数のジャーナル レポートが、ジャーナル メールボックスに配信される可能性があります。 メールボックス サーバーの記憶域を計画するときには、ジャーナル メールボックスのサイズを検討する必要があります。 ジャーナル メールボックスに十分なメールボックス クォータを構成することにより、ジャーナル メールボックスのサイズを制御できます。 ジャーナリングおよびメールボックス クォータの詳細については、以下のトピックを参照してください。

  • 訴訟ホールド   メールボックスを訴訟ホールドに設定すると、Outlook と Outlook Web App で [削除済みアイテムを復元] 機能を使用してユーザーが削除したアイテム、および MRM などの自動化プロセスにより削除されたメッセージは、訴訟ホールドが解除されるまで維持されます。 Exchange 2010 では、回復可能な項目の警告クォータと回復可能な項目のクォータは、20 ~ 30 GB に設定されます。 詳細については、以下のトピックを参照してください。

高可用性

メールボックス サーバーの高可用性は、メッセージング サービスの可用性を維持する上で重要です。Exchange 2010 は、メールボックス サーバーの高可用性の実現のためのデータベース可用性グループ (DAG) を備えます。 DAG は、Exchange 展開で、記憶域サブシステム、サーバー、またはネットワーク接続の障害、またはデータセンター全体の停止が発生した場合に、可用性を提供できます。 可用性が高い Exchange 2010 展開の計画および実装の詳細については、「高可用性とサイト復元」を参照してください。

Exchange 2010 では、異なる Active Directory サイトに配置された DAG メンバー間のレプリケーション (ログ配布) トラフィックは既定で暗号化されます。 DAG の NetworkEncryption プロパティを "有効" に設定することで、同じ Active Directory サイトにあるサーバー間のレプリケーション トラフィックを暗号化できます。 DAG のこのプロパティを変更するには、Set-DatabaseAvailabilityGroup コマンドレットを使用します。

レプリケーションは、単一の TCP ポート (既定では TCP ポート 64327) 経由で行われます。レプリケーションに使用するポートは変更できます。 詳細については、「データベース可用性グループのプロパティの構成」を参照してください。

高可用性のためのパラメーター

パラメーター 説明

NetworkEncryption

NetworkEncryption パラメーターには、ネットワーク暗号化を有効にするかどうかを指定します。 有効な値は次のとおりです。

  • Disabled   すべてのネットワークで無効

  • Enabled   すべてのネットワークで有効

  • InterSubnetOnly   サブネット間通信でのみ有効

  • SeedOnly   シードでのみ有効

既定値   InterSubnetOnly

ReplicationPort

ReplicationPort パラメーターは、レプリケーション (ログ配布とシード) 処理用の TCP (伝送制御プロトコル) ポートを指定します。

既定値   このパラメーターを指定しない場合、TCP 64327 がレプリケーション用の既定ポートになります。

メールボックスのアクセス許可とアクセス

Exchange 2010 では、管理者によるメールボックスへのアクセスは、既定では許可されていません。 組織で、メールボックスへのアクセスが必要なアプリケーションまたはサービスを使用する場合、そのようなアプリケーションまたはサービスが使用するアカウントに、適切なメールボックス アクセス許可を割り当てる必要があります。 このようなアプリケーションまたはサービスに管理者の資格情報を使用しないように構成することを推奨します。

すべてのメールボックスに組織にとって重要な機密情報が含まれる可能性がありますが、セキュリティの観点からは以下のメールボックスに特に注意し、組織のセキュリティ要件を満たすように、これらのメールボックスにアクセスするためのアクセス許可を制御し、監視する必要があります。

  • 探索メールボックス   探索メールボックスは Exchange 2010 複数のメールボックスの検索機能により使用されます。 これにより、"Discovery Management/検出の管理" 役割グループのメンバーである検出マネージャーは、Exchange 2010 組織内のメールボックスすべてのメッセージを検索できます。 探索検索によって返されるメッセージは、指定された探索メールボックスにコピーされます。 Exchange 2010 セットアップでは、既定の探索検索メールボックスが作成されます。 詳細については、「複数のメールボックスの検索について」を参照してください。

  • ジャーナル メールボックス   メールボックス データベースのジャーナルを構成するか、指定された受信者が送受信するメッセージをジャーナルするジャーナル ルールを作成すると、指定されたジャーナル メールボックスにジャーナル レポートが配信されます。 詳細については、以下のトピックを参照してください。

これらのメールボックスの保護に加え、管理者はトランスポート ルールを使用してメッセージ コンテンツを調べることができ、別の受信者にメッセージのコピーを配信することもできます。受信者を Bcc 受信者にすることもできます。 トランスポート ルールの管理に必要なアクセス許可を、「メッセージングのポリシーと準拠のアクセス許可」の「トランスポート ルール」に一覧します。 適切な制御方法を用いて、トランスポート ルールの作成と変更を監視して制御すること、およびすべてのルールに対するトランスポート ルールのアクションを定期的に監査することを推奨します。

クライアント アクセス サーバーの検討事項

Exchange 2010 では、次のクライアントがメールボックスにアクセスするため、クライアント アクセス サーバーに接続します。

  • Outlook クライアント(MAPI 使用)

  • Outlook クライアント (Outlook Anywhere 使用)

  • Web ブラウザー (Outlook Web App 使用)

  • モバイル デバイス (Exchange ActiveSync 使用)

  • POP3 クライアントと IMAP4 クライアント

  • Exchange Web サービス (EWS) を使用するアプリケーション

既定で、これらのクライアントのアクセス方法は、暗号化されたデータ パスによりセキュリティ保護されます。 既定で、MAPI を使用してクライアント アクセス サーバーに接続する Outlook クライアントも、RPC 暗号化を使用します。 Outlook Web App、Outlook Anywhere および Exchange ActiveSync アクセスは、Secure Sockets Layer (SSL) を使用してセキュリティ保護されます。

外部クライアント アクセスの場合、クライアントによって信頼される証明機関 (CA) によって署名された証明書を取得してインストールする必要があります。 詳細については、「クライアント アクセス サーバーの SSL の管理」を参照してください。

POP3 と IMAP4 は、既定では Exchange 2010 クライアント アクセス サーバーで無効になっています。 有効にする場合、トランスポート層セキュリティ (TLS) または Secure Sockets Layer (SSL) を使用して、これらのプロトコルを使用した通信をセキュリティ保護することを推奨します。 詳細については、以下のトピックを参照してください。

外部アクセス用にクライアント アクセス サーバーを公開するときには、適切なファイアウォールとアクセス制御を使用することを推奨します。 MicrosoftForefront Threat Management Gateway (TMG) 2010 には、外部アクセス用に Exchange 2010 クライアント アクセス サーバーを簡単かつ安全に公開するための公開ウィザードがあります。 詳細については、「Forefront Threat Management Gateway (TMG) 2010」を参照してください。

重要

境界ネットワーク上にクライアント アクセス サーバーを配置することはサポートされていません。

クライアント アクセスサーバーでは、Internet Information Server (IIS) を使用してサービスへの HTTP プロトコル アクセスを提供します。これらのサービスには、Outlook Web App、Exchange ActiveSync、Outlook Anywhere、AutoDiscover、Exchange コントロール パネル (ECP)、Exchange Web サービスとオフライン アドレス帳 (OAB) などがあります。 リモート PowerShell も IIS を使用します。すべてのRPS 要求 (Exchange 管理コンソール (EMC) の要求を含む) が、IIS ログに記録されます。 IIS ログは増加にもとない、多量のディスク領域を消費する場合があります。 Windows Server コンポーネントである IIS には、ログ ファイルが存在するディレクトリのサイズをもとにして、古いログを消去するためのメカニズムはありません。 ベスト プラクティスとして、IIS ログを非システムのボリュームに移動し、ログ ファイルの増加によってサービス停止の原因となる可能性がある、システム ボリュームのディスク領域の不足を防ぐことをお勧めします。 ログ ファイルの増加を監視し、必要に応じてログを手動でアーカイブしたり削除する必要があります。詳細については、「IIS 7 でログ記録を構成する」を参照してください。

トランスポート サーバーの検討事項

Exchange 2010 には、異なる目的のために 2 つのトランスポート サーバーの役割があります。

  • エッジ トランスポート   エッジ トランスポート サーバーの役割は、非ドメイン参加型のトランスポート サーバーです。通常は境界ネットワークに配置され、Exchange 組織と外部 SMTP ホスト間でメッセージを転送します。 境界ネットワーク用に設計されていますが、エッジ トランスポートサーバーを内部ネットワークに配置し、Active Directory ドメインにメンバー サーバーとして参加させることもできます。

  • ハブ トランスポート   ハブ トランスポート サーバーの役割は、組織内でメッセージを転送することにあります。対象となるメッセージには、Exchange サーバー間のメッセージ、POP3 と IMAP4 を使用するユーザーなどの SMTP クライアント、およびアプリケーション サーバーとデバイスからのメッセージが含まれます。

既定で Exchange 2010 では、SMTP 通信は TLS を使用してセキュリティ保護されます。

ハブ トランスポート サーバー間の SMTP 通信   Exchange 組織内のハブ トランスポート サーバーは、TLS を使用して組織間のSMTP 通信をセキュリティ保護します。 ハブ トランスポート サーバー上では、TLS を常に有効にしておくことを推奨します。 Exchange 2010 では、非 Exchange デバイス、またはアプライアンスを使用して TLS 暗号化を実行する組織は、ハブ トランスポート サーバーからそれらのアプライアンスに TLS をオフロードできます。 詳細については、「WAN 組織の最適化のサポートのために、Active Directory サイト間の TLS を無効にする」を参照してください。

ハブ トランスポート サーバーとエッジ トランスポート サーバー間の SMTP 通信   ハブ トランスポート サーバーとエッジ トランスポート サーバー間のすべてのトラフィックは、認証され暗号化されます。 認証および暗号化の基になるメカニズムは相互 TLS です。 Exchange 2010 は、X.509 検証を使用して証明書を検証する代わりに、直接信頼を使用して証明書を認証します。 直接信頼とは、Active Directory または Active Directory Lightweight Directory Services (AD LDS) の存在が、その証明書の検証になっていることを意味します。Active Directory は、信頼された記憶域メカニズムと見なされます。 直接認証を使用する場合、証明書が自己署名であるか証明機関 (CA) による署名であるかは重要ではありません。Active Directory サイトにエッジ トランスポート サーバーを購読すると、エッジ サブスクリプションは Active Directory のエッジ トランスポート サーバーの証明書を公開します。 ハブ トランスポート サーバーは、公開された証明書が有効であるとみなします。 Microsoft EdgeSync サービスは、エッジ トランスポート サーバーで有効とみなされる、ハブ トランスポート サーバーの証明書があるエッジ トランスポート サーバー上の AD LDS を更新します。

エッジ トランスポート サーバーと外部ホスト間の SMTP 通信   Exchange 2010 では、エッジ トランスポート サーバーと匿名外部ホスト間の SMTP 通信は、既定で便宜的な TLS を使用してセキュリティ保護されます。 信頼された CA により発行された証明書、および構成の手順は必要ありません。 受信コネクタは、受信 SMTP 接続に TLS ネゴシエーションを提供します。 送信コネクタも、送信 SMTP 接続すべてに対して TLS ネゴシエーションを試みます。 便宜的な TLS は証明書の検証を実行しないため、自己署名証明書を使用できます。 詳細については、「Exchange 2010 の TLS 機能と関連用語」を参照してください。

注意

既定では、匿名ホストの通信を許可する受信コネクタがトランスポート サーバー上に存在しないため、ハブ トランスポート サーバーは外部 SMTP ホストと通信できません。 匿名ホストと通信できるように、ハブ トランスポート サーバーを構成できます。 詳細については、「ハブ トランスポート サーバーを直接介したインターネット メール フローを構成する」を参照してください。 このトポロジは、Exchange 2010 サーバーとサーバーにインストールされているすべての役割がインターネットに公開され、セキュリティ上のリスクが増大するため、お勧めしません。 代わりに、エッジ トランスポート サーバーなどの境界ネットワーク ベースの SMTP ゲートウェイを実装することをお勧めします。

ハブまたはエッジ トランスポート サーバーとスマート ホスト間の SMTP 通信   Exchange 2010 では、インターネット メールを含むリモート ドメインのメールを、SMTP ゲートウェイ (通常は境界ネットワーク上に存在) にルーティングするように送信コネクタを構成できます。 認証を使用せずにスマート ホストに電子メールをルーティングする送信コネクタを作成することは可能ですが、このようなコネクタには適切な認証を使用することを推奨します。 基本認証を使用する場合、TLS 経由の基本認証を使用することを推奨します。 外部でセキュリティ保護するオプションを選択すると、IPsec などの非 Exchange メカニズムを使用して認証を実行するとみなされます。 スマート ホストのアドレスでコネクタを構成すると、スマート ホストの IP アドレス、またはその FQDN を使用できます。 FQDN を使用すると便利ですが、DNS ポイズニングに対する保護が得られることから、スマート ホストの IP アドレスを使用することを推奨します。

パートナーとの SMTP 通信にドメイン セキュリティを使用    Exchange 2010 では、ドメイン セキュリティを使用して、パートナー ドメインとのメッセージ通信パスをセキュリティ保護できます。 ドメイン セキュリティは、相互 TLS 認証を使用して、セッションベースの暗号化と認証を提供します。 相互 TLS 認証では、ソース ホストとターゲットホストが、X.509 証明書の検証を実行して接続を確認します。 ドメイン セキュリティ用に構成されたパートナー ドメインと通信するトランスポート サーバーは、信頼された第三者証明機関または内部証明機関によって署名された証明書を必要とします。 内部 CA を使用する場合、証明書失効リスト (CRL) は公開され、パートナー ホストにより到達可能である必要があります。 詳細については、以下のトピックを参照してください。

Exchange 2010 は、SMTP 接続に既定の SMTP ポート (TCP ポート 25) を使用します。 Exchange セットアップは、Windows のセキュリティが強化されたファイアウォールで、必要なファイアウォール ルールを作成し、既定のポートを経由する通信を許可します。 コネクタに別のポートを指定すると、Exchange はファイアウォール ルールを変更しないか、非既定ポート経由の通信を許可するための新しいルールを自動的に作成します。 非既定ポート経由の通信を許可するには、ファイアウォール構成を手動で変更する必要があります。 非既定ポートの受信コネクタを構成する場合には、コネクタにメッセージを送信する SMTP クライアントもその非既定ポートを使用するように構成する必要があります。

Exchange 2010 では、Exchange 2010 メールボックス サーバーにハブ トランスポート サーバーの役割を配置できます。 これには、データベース可用性グループ (DAG) のメンバーであるメールボックス サーバーが含まれます。 特にエッジ トランスポート サーバーが展開されないトポロジでは、メールボックス サーバーをインターネットから隔離するため、メールボックス サーバーにハブ トランスポート サーバーの役割を配置しないことを推奨します。 クライアント アクセス サーバーにハブ トランスポート サーバーの役割を配置できます。 同一サーバー上に複数のサーバーの役割を配置する場合、各サーバーの役割のサイジングに関するガイドラインに従ってください。

ハブ トランスポートまたはエッジ トランスポート サーバー上に送信コネクタのスマート ホストを指定する場合、DNS ポイズニングとスプーフィングから保護するため、スマート ホストの完全修飾ドメイン名 (FQDN) ではなく IP アドレスを使用することを推奨します。 これにより、トランスポート インフラストラクチャでの DNS 停止の影響も最小限になります。 境界ネットワーク内で使用される DNS サーバーは、外向きの解決にのみ使用する必要があります。 境界 DNS サーバーは、ハブ トランスポート サーバーのレコードを記録できます。 エッジ トランスポート サーバー上でホスト ファイルを使用して、境界ネットワークに配置された DNS サーバー上にハブ トランスポート サーバー用のレコードが作成されることを防ぐこともできます。

このセクションで説明した手順に加え、コネクタで十分なメッセージ サイズの制限、およびトランスポート サーバーでメッセージ調整設定を使用することを検討してください。 詳細については、以下のトピックを参照してください。

ユニファイド メッセージングの検討事項

ユニファイド メッセージング (UM) サーバーの役割の展開を計画するときには、UM が異なる通信チャネルを使用して、IP ゲートウェイまたは IP PBX と通信することを検討する必要があります。

既定では、UM ダイヤル プランを作成すると、セキュリティ保護なしモードで通信します。 UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーは、IP ゲートウェイ、IP PBX、およびその他の Exchange 2010 コンピューターと暗号化を使用しないでデータを送受信します。 セキュリティ保護なしモードでは、リアルタイム転送プロトコル (RTP) メディア チャネルと SIP 信号情報のどちらも暗号化されません。

他のデバイスおよびサーバーとの間で送受信される SIP および RTP トラフィックを、相互 TLS を使用して暗号化するように、ユニファイド メッセージング サーバーを構成できます。 ユニファイド メッセージング サーバーを UM ダイヤル プランに追加し、セキュリティで保護された SIP モードを使用するようにダイヤル プランを構成すると、SIP 信号トラフィックのみが暗号化され、RTP メディア チャネルは TCP を使用します。 TCP は暗号化されません。 ただし、ユニファイド メッセージング サーバーを UM ダイヤル プランに追加して、セキュリティで保護されているモードを使用するようにダイヤル プランを構成すると、SIP 信号トラフィックと RTP メディア チャネルの両方が暗号化されます。 SRTP (Secure Real-time Transport Protocol) を使用する、セキュリティで保護された信号メディア チャネルも、相互 TLS を使用して VoIP データを暗号化します。

使用する IP ゲートウェイまたは IP PBX が IPsec をサポートする場合、IPsec を使用して UM サーバーと IP ゲートウェイまたは IP PBX 間の通信をセキュリティ保護することもできます。

詳細については、「ユニファイド メッセージング VoIP セキュリティについて」を参照してください。

UM は、不在着信の通知およびボイス メール メッセージなどのメッセージもハブ トランスポート サーバーに送信します。 既定では、この通信は TLS 暗号化を使用して SMTP 経由で行われます。

PIN なしアクセス用に UM メールボックス ポリシーを構成できます。 これにより、発信者は呼び出しの CallerID をもとにして、PIN を入力する必要なしにボイス メールにアクセスできます。 CallerID のスプーフィングは重要ではありません。 ボイス メールへの PIN なしアクセスを有効にしないことを推奨します。 既定の PIN 設定を確認し、組織のセキュリティ要件を満たすように構成することも推奨します。 Set-UMMailboxPolicy コマンドレットを使用して、UM メールボックス ポリシーに次の設定を適用できます。

ボイス メール アクセス用ユーザー PIN を制御するためのパラメーター

パラメーター 説明

AllowCommonPatterns

AllowCommonPatterns パラメーターには、推測されやすい PIN を許可するかどうかを指定します。 推測されやすい PIN には、電話番号の一部、連続した数字、同じ数字の繰り返しなどがあります。 $false に設定されている場合、連続した数字、同じ数字の繰り返し、およびメールボックスの内線番号のサフィックスは拒否されます。 $true に設定されている場合、メールボックスの内線番号のサフィックスだけが拒否されます。

AllowPinlessVoiceMailAccess

AllowPinlessVoiceMailAccess パラメーターには、UM メールボックス ポリシーに関連付けられているユーザーがボイス メールにアクセスするために PIN を使用する必要があるかどうかを指定します。 この設定にかかわらず、電子メールと予定表にアクセスするには PIN が必要になります。

既定値   無効 ($false)。

LogonFailusresBeforePINReset

LogonFailuresBeforePINReset パラメーターには、連続して何回ログオンに失敗したらメールボックスの PIN を自動的にリセットするかを指定します。 この機能を無効にするには、このパラメーターを "無制限" に設定します。 このパラメーターを "無制限" に設定しない場合は、MaxLogonAttempts パラメーターの値よりも小さい値に設定する必要があります。 範囲は 0 ~ 999 です。

既定値   5 エラー。

MaxLogonAttempts

MaxLogonAttempts パラメーターには、UM メールボックスがロックされるまでに、ユーザーがログオンに連続して失敗できる回数を指定します。 範囲は 1 ~ 999 です。

既定値   15 回。

MinPINLength

MinPINLength パラメーターには、UM が有効なユーザーの PIN に必要な最小桁数を指定します。 範囲は 4 ~ 24 です。

既定値   6 桁

PINHistoryCount

PINHistoryCount パラメーターには、履歴に残され、PIN リセット中は許可されない以前の PIN の数を指定します。 この数は、その PIN が初めて設定された回を含んでいます。 範囲は 1 ~ 20 です。

既定値   5 個

PINLifetime

PINLifetime パラメーターには、新しいパスワードが必要になるまでの日数を指定します。 指定できる範囲は 1 ~ 999 です。'無制限' を指定した場合、ユーザーの PIN の期限切れは発生しません。

既定値   60 日

Exchange 2010 では、ボイス メール メッセージを保護対象として設定できます。 Information Rights Management (IRM) を使用してボイス メール メッセージを保護します。 UM メールボックス ポリシーで次のパラメーターを構成することにより、ボイス メール保護設定を構成できます。 詳細については、以下のトピックを参照してください。

保護されたボイス メール パラメーター

パラメーター 説明

ProtectAuthenticatedVoicemail

ProtectAuthenticatedVoiceMail パラメーターには、UM メールボックス ポリシーに関連付けられている UM が有効なユーザーへの Outlook Voice Access 呼び出しに応答するユニファイド メッセージング サーバーが、保護されたボイス メール メッセージを作成するかどうかを指定します。 値が "親展" に設定されている場合、"親展" として設定されているメッセージのみが保護されます。 値が "すべて" に設定されている場合、すべてのボイス メール メッセージが保護されます。

既定値   なし (ボイス メール メッセージに保護は適用されません)

ProtectUnauthenticatedVoiceMail

ProtectUnauthenticatedVoiceMail パラメーターには、UM メールボックス ポリシーに関連付けられている UM が有効なユーザーへの呼び出しに応答するユニファイド メッセージング サーバーが、保護されたボイス メール メッセージを作成するかどうかを指定します。 これはまた、メッセージが UM 自動応答から UM メールボックス ポリシーに関連付けられている UM が有効なユーザーに送信される場合にも当てはまります。 値が "親展" に設定されている場合、"親展" として設定されているメッセージのみが保護されます。 値が "すべて" に設定されている場合、すべてのボイス メール メッセージが保護されます。

既定値   なし (ボイス メール メッセージに保護は適用されません)

RequireProtectedPlayOnPhone

RequireProtectedPlayOnPhone パラメーターには、UM メールボックス ポリシーに関連付けられているユーザーが、電話においてのみ保護されたボイス メール メッセージを再生できるのか、またはマルチメディア ソフトウェアを使用できるのかどうかを指定します。

既定値   $false ユーザーは両方の方法を使用して、保護されたボイス メール メッセージを再生することができます。

重要

UM サーバーが引き続き呼び出しに応答するためには、UM サーバーが Active Directory にアクセスできることが重要です。 Active Directory 可用性を監視することを推奨します

付録 1 : セキュリティ関連の追加ドキュメント

ここでは、セキュリティ関連の追加の Exchange ドキュメントへのリンクを紹介します。

スパム対策およびウイルス対策向けの機能

証明書

クライアント認証およびセキュリティ

Outlook Web App

Outlook Anywhere

POP3 と IMAP

アクセス許可

メール フローの保護

メッセージングのポリシーと準拠

フェデレーション

 © 2010 Microsoft Corporation.All rights reserved.