FOPE のトランスポート層セキュリティ (TLS) について

  • [アーティクル]

 

適用対象: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

トランスポート層セキュリティ (TLS) は、メッセージを暗号化して安全に配信するためのプロトコルであり、メール サーバー間でのメッセージの漏えいと "スプーフィング" を防ぎます。TLS が電子メールの安全性を確保する方法には、大きく分けて次の 2 つがあります。

  1. メッセージを暗号化する: TLS では、公開キー インフラストラクチャ (PKI) を使用して、メール サーバー間のメッセージを暗号化します。これにより、ハッカーは容易にはメッセージを傍受および表示できなくなります。

  2. メッセージを認証する: TLS 認証では、デジタル証明書を使用して、メッセージの送信元 (または送信先) サーバーが間違いなくその ID で示されているサーバーであることを確認します。これは、スプーフィングの防止に役立ちます。

Forefront Online Protection for Exchange (FOPE) で処理されるすべてのメッセージは、TLS を使用して暗号化されます。このサービスでは、プライバシーとメッセージの整合性を確保するために、サーバー間で TLS を使用したメッセージの送受信を試みますが、送信元または送信先のサーバーが TLS を使用するように構成されていない場合は、自動的に SMTP にロールオーバーします。

FOPE の TLS 暗号化

サーバーで TLS が証明書 (独自の証明機関 (CA) サーバーで生成された証明書も含む) と共に構成されている場合、FOPE データセンターとネットワークの間で送受信されるすべてのトラフィックが TLS で暗号化されます。FOPE サービスは便宜的な TLS をサポートしています。つまり、サービスはまず TLS での配信を試みますが、送信先サーバーとの TLS 接続を確立できない場合は、通常の SMTP 経由で配信します。

メール サーバーによっては、TLS で暗号化されていることを示す "スタンプ" がメッセージに付加されることがあります。"スタンプ" が付加された場合、メッセージ ヘッダーには、

"using TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)" のような行が挿入されています。

上の例では、メッセージの暗号化に使用されたアルゴリズムとビット サイズが示されています。

送信メッセージと TLS の適用

FOPE サービスでは、[ポリシー ルールの設定] ウィンドウの [アクション] セクションを使用して、TLS の適用を有効にするポリシー ルールを作成できます。このポリシー ルール設定により、送信メール転送エージェント (MTA) と受信者の MTA との間で TLS が適用されます。このポリシー ルールを構成すると、TLS の適用の制限が、一致する送信電子メールとドメイン全体に適用されます。

注意

送信側のサービスと受信者のメッセージング環境の間で TLS 接続を確立できない場合、メッセージの配信は 24 時間遅延されます。メッセージの配信に失敗した場合は、バウンス メッセージが送信者に送信されます。バウンス メッセージを受信するには、既知の有効な証明書がサーバーに必要です。

TLS の適用を有効にするポリシー ルールを作成する際、[一致 - 新しいポリシー ルール] の [受信者] 領域で、[未指定の受信者に対する便宜的な TLS を有効にする] チェック ボックスのオンとオフを選択できます。このボックスをオンにすると、ルールに一致する受信者への認証された TLS の適用は行われますが、TLS を適用する試みがすべて失敗した場合は、便宜的な TLS を使用して他のすべての受信者への送信も許可されます。FOPE サービスでは、メッセージの送信用の最も高いレベルの暗号化が常に使用され、使用できない場合はレベルが下げられます。[未指定の受信者に対する便宜的な TLS を有効にする] チェック ボックスをオフにすると、送信メッセージは 2 つに分岐されません。つまり、受信者がポリシー フィルター ルールに一致し、その受信者のメール転送エージェント (MTA) が TLS ベースの接続 (有効なパブリック証明書を含みます) を受け入れるように構成されている場合、認証された TLS がメッセージのすべての受信者の配信に適用されます。TLS 接続をサポートしない MTA を持つ受信者が含まれる場合、その受信者へのメッセージは拒否されます。このポリシー ルールとその設定の詳細については、「ポリシー ルールの設定について」を参照してください。

TLS 証明書

FOPE サービスでは、標準の X.509 TLS/SSL 証明書が必要です。また、証明書と共に最新の GTE Cybertrust Root 証明書がインストールされている必要があります。証明書は、証明機関 (CA) または認定されている証明書再販業者から直接購入してください。FOPE では、多くの一般的なルート CA がサポートされます。FOPE では、ポリシーとして、Microsoft ルート証明書プログラムの一部である現在有効なルート CA のみがサポートされます。FOPE でデジタル証明書の使用を検討している場合は、Microsoft ルート証明書プログラムのメンバーから最新のデジタル証明書を入手してください。目的の CA が一覧に含まれていない場合は、プログラムへの参加方法に関する「ルート証明書プログラム」を参照してください。

TLS ハンドシェイク エラー

FOPE では、TLS ハンドシェイクが失敗することがあります。TLS ハンドシェイクが失敗する理由はいくつか考えられます。その中でも一般的な原因は、次のとおりです。

  1. ハンドシェイクで使用される TLS/SSL 証明書の有効期限が切れているか、失効している。

  2. MTA で TLS が有効になっていない。MTA で TLS が有効になっていることを確認してください。

  3. 接続を処理するファイアウォールが、ポート 25 を使用した TLS 通信を許可するように構成されていない。

また、TLS で使用される詳細エラー レポートは、発生する可能性のあるハンドシェイクや接続上の問題を解決するうえで非常に役立ちます。

TLS に関してよく寄せられる質問

次に、FOPE サービスのお客様から TLS についてよく寄せられる質問の一部を紹介します。

Q. メールの送信時に TLS セッションを起動する方法を教えてください。

A. お使いのメール サーバーに TLS/SSL プロトコル スタックがインストールされている必要があります (ほとんどの新しいオペレーティング システムには既定でインストールされています)。また、TLS を使用した SMTP 接続を開始するようにメール サーバーを設定する必要があります。さらに、最新の証明書がインストールされている必要があります。

Q. TLS を使用する場合、ファイアウォールを構成する必要はありますか。

A. ほとんどのファイアウォールは、ポート 25 で TLS/SSL トラフィックを許可するようにあらかじめ構成されています。お使いのファイアウォールが TLS をサポートしているかどうかや、構成が必要かどうかがわからない場合は、ファイアウォールのベンダーにお問い合わせください。

Q. メール サーバーが TLS に対応しているかどうかを確認するには、どうすればよいですか。

A. サーバーが TLS に対応しているかどうかは、2 とおりの基本的な方法で確認できます。

  1. サーバーからメッセージの送受信を行い、メッセージのヘッダーを確認します。TLS に関連する内容が含まれていれば、このサーバーで TLS が有効になっている可能性は高いと言えます。

  2. Telnet 接続を使用してサーバーをテストします。

以下は、STARTTLS オプションを使用した、FOPE データセンターとの Telnet セッションの一例です。このテストは、任意のメール サーバーで行うことができます。次の例では、FOPE サーバーでテストを行っています。

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

"220 Ready to start TLS" は、サーバーで TLS 接続を開始する準備が整っていることを示します。