次の方法で共有

Microsoft Exchange 2000 Server セキュリティ運用ガイド

  • [アーティクル]

第 4 章 ‐ Exchange の通信セキュリティを強化する

最終更新日: 2002年9月27日

トピック

Outlook 2002 における通信セキュリティを強化する

OWA 通信のセキュリティを強化する

SMTP 通信のセキュリティを強化する

SMTP のセキュリティ強化のための付加的な対策

まとめ

ネットワークのセキュリティを強化するには、個々のコンピュータのセキュリティだけでなく、コンピュータ間で転送されるデータを検証する必要があります。どのような機能が使用可能かをチェックし、各機能に伴うリスクを考慮しながら、どの機能が実際に必要かを検証するのが最善のアプローチとなります。

このガイドでは、(a) インターネット経由で電子メールを送受信できること、(b) Outlook Web Access を使用してインターネット経由で Exchange にアクセスできることの 2 つの必要条件を想定しています。このような機能が必要でないなら、システムをさらに強固にロックダウンすることが可能です。一方、POP3 と IMAP4 の機能を使用する場合は、外部との通信を処理するしくみが必要になります。

このガイドで推奨しているフロントエンドおよびバックエンド環境では、インターネット経由でメールを送受信できると共に、インターネット経由で Exchange にアクセスすることができます。この章では、外部からのアクセスに対するセキュリティを強化する方法を述べ、クライアント側でのセキュリティ強化についても検証します。

メモ : ISA Server に用意されている Exchange リモート プロシージャ コール (RPC) アプリケーション フィルタを使用すると、インターネット経由で Outlook にアクセスすることができますが、この方法による Exchange へのアクセスについては、ここでは説明しません。この章の末尾の「詳細情報」に示すホワイト ペーパー 「Microsoft Exchange 2000 サーバーおよびクライアントの構成とセキュリティ保護」 および 『Microsoft Exchange 2000 Server Hosting Series』 (英語文献、Microsoft Press、ISBN : 0-7356-1829-1 および 0-7356-1830-5) を参照してください。

Outlook 2002 における通信セキュリティを強化する

Outlook 2002 では、以下のような方法で通信セキュリティを強化できます。

  • Outlook 2002 から Exchange サーバーへの MAPI 接続を暗号化する。

  • S/MIME 証明書によるメッセージの署名と暗号化を行う。

Outlook 2002 から Exchange サーバーへの MAPI 接続を暗号化する

Windows 2000 には、RPC 通信の 128 ビット暗号化を実現するセキュリティ機能が組み込まれています。MAPI 接続は RPC 上で確立されるので、この機能を使用すると、Outlook 2002 クライアントから Exchange サーバーへの接続のセキュリティを強化できます。

Outlook 2002 から Exchange サーバーへの MAPI 接続を暗号化する方法

  1. Outlook 2002 で、[ツール] メニューの [電子メール アカウント] をクリックします。

  2. [次へ] をクリックします。

  3. Exchange サーバーが選択されていることを確認し、[変更] をクリックします。

  4. [詳細設定] をクリックします。

  5. [詳細設定] タブをクリックします。

  6. [ネットワークを使用しているとき] チェック ボックスをオンにします。

  7. [OK] をクリックします。

  8. [次へ] をクリックします。

  9. [完了] をクリックします。

メモ : Outlook 2002 でユーザー プロファイルを設定するときにも、上記の設定を指定できます。

RPC 暗号化では、MAPI クライアントから Exchange サーバーへのデータだけが暗号化されます。メッセージ自体は暗号化されません。

メッセージの署名と暗号化を行う

Outlook 2002 では、内部または外部の受信者に送信するメッセージに署名を付けて暗号化することができます。この暗号化を行うには、証明書が必要です。署名と暗号化の一方または両方を適用した電子メールをインターネット上の受信者に送信するには、サードパーティ ベンダから発行された証明書 (デジタル ID) を使用する必要があります。

クライアントに証明書をインストールすると、S/MIME を使用して署名付き暗号化メッセージを送信できるようになります。ただし、他のユーザーに暗号化メールを送信するには、送信先のユーザーの公開キーにアクセスできる必要があります。送信先のユーザーに署名付きメッセージを送信してもらい、そのユーザーを連絡先に追加すると、そのユーザーの公開キーにアクセスできるようになります。

メモ : メッセージの署名と暗号化の詳細については、マイクロソフト サポート技術情報 Q286159「Encryption and Message Security Overview」(英語) を参照してください。

キー マネージメント サービス

Exchange 組織内のユーザー間で署名付き暗号化メッセージを日常的に送受信する場合は、Exchange 2000 に用意されているキー マネージメント サービスの使用を検討してください。このサービスでは、Windows 2000 の証明書サービスを使用して、公開キーへのアクセスを提供すると共に、秘密キーについては、セキュリティの高い方法で集中管理します。これにより、クライアントは署名付き暗号化メッセージにシームレスにアクセスでき、グローバル アドレス一覧 (GAL) に登録されている受信者にメッセージを送信することができます。

メモ : サードパーティ証明機関 (CA) に従属する証明機関と共にキー マネージメント サーバーを使用する場合は、キー マネージメント サービスをインターネット上の他のサービスと統合することができます。

ページのトップへ

OWA 通信のセキュリティを強化する

OWA との通信は、非常にシンプルです。クライアントは、電子メールを送受信するときに Web ブラウザを通じて OWA サーバーと通信します。この通信には、ポート 80 が使用されます。通信がセキュリティで保護されている場合は、ポート 443 が使用されます。しかし、他にも考慮しなければならない点があります。クライアントがポート 80 またはポート 443 を通じてフロントエンド サーバーに接続するときには、フロントエンド サーバーがドメイン内のドメイン コントローラと通信してユーザーを認証する必要があります。また、適切なメールボックスまたはパブリック フォルダの情報に実際にアクセスするには、フロントエンド サーバーが Exchange バックエンド サーバーと通信する必要があります。

バックエンド サーバーを内部ファイアウォールの内側に置く一方で、OWA フロントエンド サーバーを境界領域のネットワーク (DMZ) 内に置けば、OWA フロントエンド サーバーのセキュリティを強化できます。ただし、この方法を実際に使用するには、内部ファイアウォール上で多数のポートを公開しなければならなくなります。

ISA Server を使用して OWA のセキュリティを強化する

Microsoft ISA (Internet Security and Acceleration) Server などのアプリケーション レイヤ ファイアウォールを使用すると、内部ファイアウォール上で開放するポートの数をできるだけ少なくすることができます。ISA Server では、SMTP サーバーと OWA フロントエンド サーバーの両方をファイアウォールの内側に配置することができます。ISA Server は、サーバー公開ルールと Web 公開ルールに基づいて、実際にはファイアウォールの内側に存在するサーバーをあたかもファイアウォール外のサーバーのように偽装します。つまり、外部からアクセスされるサーバーを DMZ 内に配置する必要がありません。

メモ : フロントエンド サーバーとその他のサーバーの間の通信に使用されるポートの一覧については、ホワイト ペーパー「Exchange におけるフロントエンド/バックエンド サーバー環境の詳細について」を参照してください。

次の図は、インターネット上の OWA クライアントに対して ISA Server が OWA Server を公開するしくみを示しています。

図 4.1: セキュリティを強化したファイアウォール構造

拡大表示する

メモ : この構成の場合、OWA サーバーに対応する外部 DNS エントリからは、OWA フロントエンド サーバーのアドレスではなく、ISA Server 上で公開されている IP アドレスを参照する必要があります。

メモ : 既存の二重ファイアウォール インフラストラクチャを ISA Server による偽装に対応した構成に変更できない場合は、ISA Server を現在の内部ファイアウォールの内側に配置し、TCP ポート 443 を ISA Server に開放することで対処できます。

ファイアウォールは、サーバーを攻撃から保護するための手段ですが、サーバーとの間で転送されるデータについても保護が必要です。インターネット上の Web ブラウザ クライアントが HTTP を使用して OWA 経由で Exchange にアクセスするときには、以下のような処理が行われます。

  • Web ブラウザから ISA Server に HTTP 要求が送信されます。これらの要求は、ISA の公開ルールを満たしていれば、OWA フロントエンド サーバーに渡されます。

  • ISA Server からフロントエンド サーバーに対して、新しい HTTP 接続が確立されます。この接続では、ISA Server の IP アドレスがソース IP アドレスとして使用されます。

  • OWA フロントエンド サーバー上で HTTP 要求が処理されます。このとき OWA フロントエンド サーバーが行う処理は、以下のとおりです。

    • グローバル カタログ サーバーに対してユーザーと連絡先を認証し、ユーザー メールボックスの場所を判別します。

    • ユーザー メールボックス サーバーの IP アドレスを解決します。

  • OWA フロントエンド サーバーからバックエンド Exchange サーバーに対して、新しい HTTP セッションが確立されます。

IIS を構成して OWA をサポートさせるときに、基本認証を有効化する必要があります。基本認証では、通信に使用するプロトコルが HTTP または HTTPS だけに制限されるので、統合 Windows 認証は使用できません。また、匿名アクセスを使用すると電子メール環境がインターネットに対して完全に開放されてしまうので、匿名アクセスは使用しないでください。

基本認証では、パスワードと電子メールが暗号化されずにインターネット上の HTTP 接続を通じて転送されます。付加的な暗号化方法を使用しなければ、ISA Server と OWA フロントエンド サーバーの間で、これらのパケットが暗号化されず、クリア テキストのまま転送され続けることになります。OWA が認証を実行した後も、パスワードなどの情報が暗号化されずに OWA フロントエンド サーバーとバックエンド サーバーの間で HTTP 送信されることになります。この問題に対処するには、Web ブラウザからバックエンド Exchange サーバーの間の全経路にわたってユーザー資格情報を暗号化することが必須になります。つまり、以下のセキュリティ対策が必要です。

  • SSL 暗号化を使用して Web ブラウザと ISA Server の間の通信を保護する。

  • SSL を使用して ISA Server と OWA フロントエンド サーバーの間の通信を保護する。

  • IPSec 暗号化を使用して OWA フロントエンド サーバーとバックエンド Exchange サーバーの間の通信を保護する。

この後の節では、それぞれの対策について詳しく述べます。

Web ブラウザと ISA Server の間の通信を保護する

SSL を使用して Web ブラウザと ISA Server の間の通信を暗号化するには、ISA Server 上に SSL 証明書をインストールして、適切な SSL リスナを構成する必要があります。組織インフラストラクチャに含まれていない外部 Web クライアントからも証明書が使用されることになるので、グローバルに信頼されている CA によって発行された証明書をインストールすることが必要です。

ISA Server を構成して SSL 通信を可能にする

ISA Server は、Web ブラウザからの SSL 要求を受け付けるように構成できます。SSL 要求をどのように処理するかについては、以下の選択肢があります。

  • 受信した SSL パケットをそのままファイアウォールの内側のサーバーに転送する。

  • 受信した SSL パケットを暗号化解除し、暗号化されていない状態でバックエンド サーバーに転送する。

  • 受信した SSL パケットを暗号化解除し、再暗号化してからバックエンド サーバーに転送する。

メモ : SSL 通信の暗号化解除と再暗号化には、ISA Server SP1 以降が必要です。ISA Server SP1 以降がインストールされていないと、下記の手順で正しい結果が得られません。

上記の 3 つの処理方法のうち、パケットを暗号化解除してから再暗号化する方法を使用すると、ISA Server 上でデータの脆弱性を検査できるので、最も高いセキュリティが得られます。しかも、ISA Server より内側ではデータが再暗号化されているので、攻撃から保護されます。

メモ : 国によっては、ネットワーク内の中間点でデータを暗号化解除してチェックすることが法律上禁止されていることがあります。このソリューションを採用する前に、法的な制限がないかどうかを確認してください。

メモ : パフォーマンスを向上させ SSL のオーバーヘッドを軽減するには、SSL アクセラレータ機能つきの ネットワーク アダプタの採用を検討してください。

データが正しく暗号化されるように、以下の条件が満たされていることを確認してください。

  • OWA 用の ISA Server 証明書には、Web ブラウザが OWA リソースを参照するときに使用される完全修飾ドメイン名 (FQDN) に一致する共通名 (フレンドリ名) が記載されている必要があります。たとえば、クライアントの使用する OWA URL が "https://mail.nwtraders.com/exchange" なら、証明書の共通名は "mail.nwtraders.com" となります。

  • 証明書は、OWA リソースを公開している ISA Server の [個人] コンピュータ ストアにインポートする必要があります。ISA Server に証明書をインポートするときは、[エクスポート可能なキーとしてマークする] チェック ボックスがオンになっていることを確認してください。

  • クリア テキスト パスワードが誤って転送されるのを避けるために、ISA Server は、セキュリティで保護されたチャネルだけを受け付け、公開 OWA サイトに対するクリア テキスト HTTP 接続を拒否するように構成する必要があります。

ISA Server では、Web 公開ルールに基づいて、OWA サーバーをインターネット クライアントに提供しますが、Web 公開ルールを作成する前に、Web 公開自体を ISA Server 上で準備しておく必要があります。これを行うには、[着信方向の Web 要求] と [発信方向の Web 要求] の設定を構成します。

メモ : 下記の手順を実施する前に、外部証明書をインポートしておく必要があります。

[着信方向の Web 要求] を構成する方法

  1. [ISA の管理] を起動します。

  2. ISA Server を右クリックし、[プロパティ] をクリックします。

  3. [着信方向の Web 要求] タブをクリックします。

  4. [IP アドレスごとにリスナを構成する] をクリックし、[追加] をクリックします。

  5. ISA Server を選択し、ISA Server の外部 IP アドレスを選択します。

  6. [Web クライアントの認証にサーバー証明書を使う] チェックボックスをオンにします。

  7. [選択] をクリックし、クライアントから SSL サイトへのアクセスに使用する FQDN の証明書を選択します。

  8. [OK] をクリックします。

  9. [SSL リスナを有効にする] チェックボックスをオンにします。

  10. [OK] をクリックします。

  11. [OK] をクリックします。

  12. [変更を保存して、サービスを再起動する] をクリックし、[OK] をクリックします。

[発信方向の Web 要求] を構成する方法

メモ : 以下の手順を実施すると、内部ネットワーク上のユーザーが ISA Server をプロキシ サーバーとして使用してインターネット上の Web サイトにアクセスすることはできなくなります。この手順は、ISA を通じて OWA を利用できるようにすることではなく、セキュリティを強化することを目的としています。

  1. [ISA の管理] を起動します。

  2. ISA Server を右クリックし、[プロパティ] をクリックします。

  3. [発信方向の Web 要求] タブをクリックします。

  4. [IP アドレスごとにリスナを構成する] をクリックし、IP アドレスが示されていないことを確認した後、[OK] をクリックします。

  5. [変更を保存して、サービスを再起動する] をクリックし、[OK] をクリックします。

この時点で、OWA をサポートするように Web 公開を構成することができます。

OWA をサポートするように Web 公開を構成する方法

  1. [ISA の管理] で、ISA Server を展開し、[公開] を展開します。

  2. [Web 公開ルール] を右クリックし、[新規作成] をクリックし、次に [ルール] をクリックします。

  3. 「OWA – <OWA フロント エンド サーバー の FQDN> 」のような名前を入力し、[次へ] をクリックします。

  4. [すべての宛先] が選択されていることを確認し、[次へ] をクリックします。

  5. [すべての要求] がオンになっていることを確認し、[次へ] をクリックします。

  6. [要求をこの内部 Web サーバーへリダイレクトする (名前または IP アドレス)] をクリックし、[参照] をクリックして、OWA フロントエンド サーバーを選択します。

  7. [公開サーバーに送信されたオリジナルのホスト ヘッダーを、上で指定したサーバーに送信する] チェック ボックスをオンにし、[次へ] をクリックします。

  8. [完了] をクリックします。

  9. フォルダ ペインで [Web 公開ルール] をクリックし、新しいルールをダブルクリックします。

  10. [ブリッジ] タブをクリックします。

  11. [公開されたサイト用には保護されたチャネル (SSL) を要求する] チェック ボックスをオンにし、[128 ビット暗号化を必要とする] チェック ボックスをオンにして、[OK] をクリックします。

メモ : 環境内の適切なルーターおよびファイアウォールのポート 80 およびポート 443 に対しても、適切なルールを構成する必要があります。

メモ : ISA Server を使った SMTP および OWA の公開の詳細については、マイクロソフト サポート技術情報 JP290113「[ISA] 内部の Outlook Web Access サーバーを公開する方法」および JP308599「[XCCC] 内部 Exchange Server を公開するための Internet Seurity and Acceleration Server の設定」を参照してください。

ISA Server と OWA フロントエンド サーバー間を暗号化する

ISA Server と OWA フロントエンド サーバー間の HTTP トラフィックを暗号化するには、OWA フロントエンド サーバーに SSL 証明書をインストールする必要があります。ISA Server と OWA フロントエンド サーバーは組織の一部なので、組織の内部ルート CA、またはその CA に従属している信頼済み証明機関から OWA フロントエンド証明書を発行できます。

OWA フロントエンド サーバー用の証明書を要求する方法

メモ : 以下の手順では、環境内に CA が既にインストールされていることを前提としています。

  1. OWA フロントエンド サーバー上でインターネット サービス マネージャを起動します。

  2. [既定の Web サイト] を右クリックし、[プロパティ] をクリックします。

  3. [ディレクトリ セキュリティ] タブをクリックし、[サーバー証明書] をクリックします。

  4. [次へ] をクリックし、[証明書の新規作成] をクリックして、[次へ] をクリックします。

  5. [オンライン証明機関に直ちに要求を送信する] をクリックして、[次へ] をクリックします。

  6. [名前] ボックスに名前を入力して、[次へ] をクリックします。

  7. [組織] ボックスに組織名を入力します。

  8. [部門] ボックスに組織単位名を入力して、[次へ] をクリックします。

  9. [一般名] ボックスに OWA フロントエンド サーバーの FQDN を入力して、[次へ] をクリックします。

  10. 所在地情報を入力して、[次へ] をクリックします。

  11. [証明機関] ボックスの一覧で、使用する証明機関が選択されていることを確認し、[次へ] をクリックします。

  12. [次へ] をクリックして要求を送信し、[完了] をクリックしてウィザードを終了します。

  13. [ディレクトリ セキュリティ] タブの [セキュリティ保護された通信] で、[編集] をクリックします。

  14. [保護されたチャンネル (SSL) を要求する] チェック ボックスをオンにし、[128 ビット暗号化を要求する] チェック ボックスをオンにして、[OK] をクリックします。

  15. [ディレクトリ セキュリティ] タブの [匿名アクセスおよび認証コントロール] で、[編集] をクリックします。

  16. [基本認証 (パスワードはクリア テキストで送信されます] チェック ボックスをオンします。警告に対して [はい] をクリックします。

  17. その他のオプションをすべてオフにして、[OK] をクリックします。

  18. [OK] をクリックします。

  19. [OK] をクリックして [継承/優先] ダイアログ ボックスを閉じ、インターネット サービス マネージャを終了します。

メモ : ISA Server 上の OWA 公開ルール プロパティに従って、OWA サーバーの FQDN が共通名として使用されます。ISA Server で行われる公開処理中には、OWA Web 証明書の妥当性、証明書の信頼連鎖、および証明書の有効期限がチェックされます。

OWA フロントエンド サーバーとバックエンド Exchange サーバー間を暗号化する

OWA フロントエンド サーバーとバックエンド サーバーの間で SSL を使用してデータを暗号化することはできませんが、フロントエンド サーバーとバックエンド サーバーはどちらも Windows 2000 上で稼動しているので、IPSec を使用するとデータを暗号化できます。IPSec には、SSL よりも処理速度が大幅に高いという利点があります。

メモ : パフォーマンスを向上して IPSec のオーバーヘッドを軽減するには、IPSec 処理専用のプロッサを内蔵したネットワーク アダプタの採用を検討してください。

IPSec では、どのプロトコルをネットワーク アダプタで受け付けるかを制御できるので、特定のポートをブロックまたは許可して、他のポートのデータを暗号化することが可能です。フロントエンド/バックエンド サーバー通信の場合は、ポート 80 を必ず暗号化しなければなりません。

IPSec の制御には、Windows 2000 グループ ポリシー内で定義される IPSec ポリシーが適用されます。

表 4.1 IPSec ポリシー設定

ポリシー 設定
OWA フロントエンド ポート 80 発信 : 暗号化 ポート 80 着信 : ブロック
バックエンド ポート 80 着信 : 暗号化
フロントエンド サーバーとバックエンド サーバーの間の通信は、常にフロントエンド サーバーから開始されるので、フロントエンド サーバーからの着信要求はブロックが可能です。これらの要求をブロックすると、ユーザー資格情報が誤ってクリア テキストで転送されるのを防止でき、フロントエンド サーバーがバッファ オーバーフロー攻撃にさらされるリスクを最小化できます。 **OWA フロントエンド サーバーの IPSec ポリシーを作成する** 最初に、OWA フロントエンド サーバー用の IPSec ポリシーを作成して構成します。 **発信方向 TCP 80 フィルタを作成する方法** 1. \[Active Directory ユーザーとコンピュータ\] を起動します。 2. \[メンバ サーバー\]、\[アプリケーション サーバー\]、\[Exchange サーバー\] を順に展開します。 3. \[OWA フロントエンド サーバー\] 組織単位を右クリックし、\[プロパティ\] をクリックします。 4. \[グループ ポリシー\] タブをクリックします。 5. \[OWA フロントエンド増分ポリシー\] グループ ポリシー オブジェクトを選択します。 6. \[編集\] をクリックします。 7. \[Windows の設定\]、\[セキュリティの設定\] と展開し、\[Active Directory の IP セキュリティ ポリシー\] を右クリックします。 8. \[IP フィルタ一覧とフィルタ操作の管理\] をクリックします。 9. \[追加\] をクリックします。 10. \[名前\] ボックスに「発信方向 TCP 80 - OWA FE」と入力します。 11. \[説明\] ボックスに「OWA フロントエンド サーバー上の発信方向 TCP 80 トラフィックに一致するフィルタ」と入力します。 12. \[追加\] をクリックし、\[次へ\] をクリックします。 13. \[発信元アドレス\] ボックスに \[このコンピュータの IP アドレス\] が表示されていることを確認して、\[次へ\] をクリックします。 14. \[宛先アドレス\] ボックスに \[任意の IP アドレス\] が表示されていることを確認して、\[次へ\] をクリックします。 15. \[プロトコルの種類の選択\] ボックスの一覧の \[TCP\] をクリックし、\[次へ\] をクリックします。 16. \[IP プロトコル ポートの設定\] で、\[任意の発信ポート\] がオンになっていることを確認し、\[次の宛先ポート\] をクリックして「80」と入力します。 17. \[次へ\] をクリックし、\[完了\] をクリックします。 18. \[閉じる\] をクリックして、\[IP フィルタ一覧\] ウィンドウを閉じます。 **着信方向 TCP 80 フィルタを作成する方法** 1. \[追加\] をクリックします。 2. \[名前\] ボックスに「着信方向 TCP 80 - OWA FE」と入力します。 3. \[説明\] ボックスに「OWA フロントエンド サーバー上の着信方向 TCP 80 トラフィックに一致するフィルタ」と入力します。 4. \[追加\] をクリックし、\[次へ\] をクリックします。 5. \[発信元アドレス\] ボックスの一覧の \[任意の IP アドレス\] をクリックし、\[次へ\] をクリックします。 6. \[宛先アドレス\] ボックスの一覧の \[このコンピュータの IP アドレス\] をクリックし、\[次へ\] をクリックします。 7. \[プロトコルの種類の選択\] ボックスの一覧の \[TCP\] をクリックし、\[次へ\] をクリックします。 8. \[IP プロトコル ポートの設定\] で、\[任意の発信ポート\] がオンになっていることを確認し、\[次の宛先ポート\] をクリックして「80」と入力します。 9. \[次へ\] をクリックし、\[完了\] をクリックします。 10. \[閉じる\] をクリックします。 11. \[閉じる\] をクリックします。 **着信方向 TCP ポート 80 フィルタにブロック操作を関連付ける方法** 1. \[グループ ポリシー\] ウィンドウから、\[Active Directory の IP セキュリティ ポリシー\] を右クリックし、\[IP フィルタ一覧とフィルタ操作の管理\] を選択します。 2. \[フィルタ操作の管理\] タブをクリックします。 3. \[追加\] をクリックし、\[次へ\] をクリックします。 4. \[名前\] ボックスに「ブロック」と入力して、\[次へ\] をクリックします。 5. \[ブロック\] をクリックし、\[次へ\] をクリックします。 6. \[完了\] をクリックします。 **発信方向 TCP ポート 80 フィルタに暗号化操作を関連付ける方法** 1. \[フィルタ操作の管理\] タブをクリックします。 2. \[追加\] をクリックし、\[次へ\] をクリックします。 3. \[名前\] ボックスに「暗号化」と入力して、\[次へ\] をクリックします。 4. \[セキュリティのネゴシエート\] をクリックし、\[次へ\] をクリックします。 5. \[IPSec をサポートしないコンピュータと通信しない\] をクリックし、\[次へ\] をクリックします。 6. \[高 (Encapsulated Secure Payload)\] がオンになっていることを確認して、\[次へ\] をクリックします。 7. \[プロパティを編集する\] チェック ボックスをオンにして、\[完了\] をクリックします。 8. \[追加\] をクリックします。 9. \[カスタム (詳しい知識のあるユーザー向け)\] をクリックし、\[設定\] をクリックします。 10. \[データの整合性と暗号化 (ESP)\] チェック ボックスだけがオンになっていることを確認します。 11. \[暗号化アルゴリズム\] ボックスの一覧の \[3DES\] をクリックします。 12. \[OK\] をクリックします。 13. \[OK\] をクリックします。 14. \[カスタム\] をクリックし、\[上へ移動\] をクリックします。 15. \[OK\] をクリックします。 16. \[閉じる\] をクリックします。 **IP Security ポリシーを作成してフィルタを適用し、操作を指定する方法** 1. \[Active Directory の IP セキュリティ ポリシー\] を右クリックし、\[IP セキュリティ ポリシーの作成\] をクリックして、\[次へ\] をクリックします。 2. \[名前\] ボックスに「TCP 80 トラフィックのブロックと暗号化 - OWA FE」と入力して、\[次へ\] をクリックします。 3. \[既定の応答規則をアクティブにする\] がオンになっていることを確認し、\[次へ\] をクリックします。 4. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] がオンになっていることを確認し、\[次へ\] をクリックします。 5. \[プロパティを編集する\] チェック ボックスがオンになっていることを確認し、\[完了\] をクリックします。 6. \[規則\] タブで \[追加\] をクリックして、\[次へ\] をクリックします。 7. \[この規則ではトンネルを指定しない\] がオンになっていることを確認し、\[次へ\] をクリックします。 8. \[すべてのネットワーク接続\] がオンになっていることを確認し、\[次へ\] をクリックします。 9. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] がオンになっていることを確認し、\[次へ\] をクリックします。 10. \[IP フィルタ一覧\] ボックスから \[着信方向 TCP 80 - OWA FE\] を選択して、\[次へ\] をクリックします。 11. \[フィルタ操作\] ボックスの一覧の \[ブロック\] をクリックし、\[次へ\] をクリックします。 12. \[プロパティを編集する\] チェック ボックスがオフになっていることを確認し、\[完了\] をクリックします。 13. \[規則\] タブで \[追加\] をクリックして、\[次へ\] をクリックします。 14. \[この規則ではトンネルを指定しない\] がオンになっていることを確認し、\[次へ\] をクリックします。 15. \[すべてのネットワーク接続\] がオンになっていることを確認し、\[次へ\] をクリックします。 16. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] がオンになっていることを確認し、\[次へ\] をクリックします。 17. \[IP フィルタ一覧\] ボックスの一覧の \[発信方向 TCP 80 - OWA FE\] をクリックし、\[次へ\] をクリックします。 18. \[フィルタ操作\] ボックスの一覧の \[暗号化\] をクリックし、\[次へ\] をクリックします。 19. \[プロパティを編集する\] チェック ボックスがオフになっていることを確認し、\[完了\] をクリックします。 20. \[閉じる\] をクリックします。 **グループ ポリシーに発信方向フィルタを適用する方法** 1. グループ ポリシーの内容ペインで、\[TCP 80 トラフィックのブロックと暗号化 - OWA FE\] を右クリックし、\[割り当て\] をクリックします。 2. \[グループ ポリシー\] を閉じ、\[OK\] をクリックします。 **OWA フロントエンド サーバーにグループ ポリシーを適用する方法** 1. OWA フロントエンド サーバー上で、コマンド プロンプトを開きます。 2. 「secedit /refreshpolicy machine\_policy /enforce」と入力し、**Enter** キーを押します。 3. サーバーを再起動します。 **バックエンド サーバーの IPSec ポリシーを作成する** バックエンド サーバー上のポリシーでは、着信方向ポート 80 トラフィックを暗号化します。 **着信方向 TCP 80 フィルタを作成する方法** 1. \[Active Directory ユーザーとコンピュータ\] を起動します。 2. \[メンバ サーバー\]、\[アプリケーション サーバー\]、\[Exchange サーバー\] を順に展開します。 3. \[バックエンド サーバー\] 組織単位を右クリックし、\[プロパティ\] をクリックします。 4. \[グループ ポリシー\] タブをクリックします。 5. \[バックエンド増分\] グループ ポリシー オブジェクトを選択します。 6. \[編集\] をクリックします。 7. \[Windows の設定\]、\[セキュリティの設定\] と展開し、\[Active Directory の IP セキュリティ ポリシー\] を右クリックします。 8. \[IP フィルタ一覧とフィルタ操作の管理\] をクリックします。 9. \[追加\] をクリックします。 10. \[名前\] ボックスに「着信方向 TCP 80 - BE」と入力します。 11. \[説明\] ボックスに「バックエンド サーバー上の着信方向 TCP 80 トラフィックに一致するフィルタ」と入力します。 12. \[追加\] をクリックし、\[次へ\] をクリックします。 13. \[発信元アドレス\] ボックスに \[このコンピュータの IP アドレス\] が表示されていることを確認して、\[次へ\] をクリックします。 14. \[宛先アドレス\] ボックスの一覧に \[任意の IP アドレス\] が表示されていることを確認して、\[次へ\] をクリックします。 15. \[プロトコルの種類の選択\] ボックスの一覧の \[TCP\] をクリックし、\[次へ\] をクリックします。 16. \[IP プロトコル ポートの設定\] で、\[任意の発信ポート\] がオンになっていることを確認し、\[次の宛先ポート\] をクリックして「80」と入力します。 17. \[次へ\] をクリックし、\[完了\] をクリックします。 18. \[閉じる\] をクリックして、\[IP フィルタ一覧\] ウィンドウを閉じます。 **IP Security ポリシーを作成してフィルタを適用し、操作を指定する方法** 1. \[Active Directory の IP セキュリティ ポリシー\] を右クリックし、\[IP セキュリティ ポリシーの作成\] をクリックして、\[次へ\] をクリックします。 2. \[名前\] ボックスに「TCP 80 トラフィックの暗号化 - BE」と入力して、\[次へ\] をクリックします。 3. \[既定の応答規則をアクティブにする\] がオンになっていることを確認し、\[次へ\] をクリックします。 4. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] がオンになっていることを確認し、\[次へ\] をクリックします。 5. \[プロパティを編集する\] チェック ボックスがオンになっていることを確認し、\[完了\] をクリックします。 6. \[規則\] タブで \[追加\] をクリックして、\[次へ\] をクリックします。 7. \[この規則ではトンネルを指定しない\] がオンになっていることを確認し、\[次へ\] をクリックします。 8. \[すべてのネットワーク接続\] がオンになっていることを確認し、\[次へ\] をクリックします。 9. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] がオンになっていることを確認し、\[次へ\] をクリックします。 10. \[IP フィルタ一覧\] から \[着信方向 TCP 80 - BE\] を選択して、\[次へ\] をクリックします。 11. \[フィルタ操作\] ボックスの一覧の \[暗号化\] をクリックし、\[次へ\] をクリックします。 12. \[プロパティを編集する\] チェック ボックスがオフになっていることを確認し、\[完了\] をクリックします。 13. \[閉じる\] をクリックします。 **グループ ポリシーに着信方向フィルタを適用する方法** 1. グループ ポリシーの内容ペインで、\[TCP 80 トラフィックの暗号化 - BE\] を右クリックし、\[割り当て\] をクリックします。 2. \[グループ ポリシー\] を閉じ、\[OK\] をクリックします。 **バックエンド サーバーにグループ ポリシーを適用する方法** 1. OWA フロントエンド サーバー上で、コマンド プロンプトを開きます。 2. 「secedit /refreshpolicy machine\_policy /enforce」と入力し、**Enter** キーを押します。 3. サーバーを再起動します。 **メモ** : ローカル コンピュータごとに IPSec 設定を適用することもできます。このように適用すると、障害が発生してドメイン コントローラからグループ ポリシーにアクセスできなくなった場合でも各ローカル コンピュータで IPSec を使用できます。 **IP セキュリティ接続を監視する** IPSec を構成し終えた後、IPSec 関連のイベントを監査し、IP セキュリティ モニタ ツールを使用して IPSec が正しく機能しているかどうかを確認することをお勧めします。 **IP セキュリティ モニタ を起動して構成する方法** 1. OWA フロントエンド サーバーまたはバックエンド サーバー上で、\[スタート\] ボタンをクリックし、\[ファイル名を指定して実行\] をクリックします。\[名前\] ボックスに「ipsecmon」と入力し、IP セキュリティ モニタ ツールを起動します。 2. \[オプション\] をクリックし、\[更新間隔の秒数\] の値を 15 から 1 に変更します。 3. \[OK\] をクリックします。 **IPSec が正しく構成されていることを確認する方法** 1. ユーザーに OWA を使って電子メールを送信させ、OWA フロントエンド サーバーとバックエンド サーバー間にトラフィックを発生させます。 2. IP セキュリティ モニタ に切り替えて、OWA フロントエンド サーバーとバックエンド サーバー間のトラフィックが暗号化されていることを確認します。 **メモ** : IPSec の詳細については、「詳細情報」に示す「エンド ツー エンドのセキュリティ IPSec (Internet Protocol Security) の概要」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### SMTP 通信のセキュリティを強化する インターネット上で広く使用されている SMTP プロトコルが Exchange サーバー間のメール トランスポートにも使用されるので、すべての Exchange バックエンド サーバー上で SMTP サービスが稼動します。ここでは、組織が攻撃にさらされるリスクを最小化しながら、ネットワークに SMTP 通信を実装するうえでの指針を示します。 **ISA Server を使用して SMTP のセキュリティを強化する** OWA フロントエンド サーバーの場合と同様に、ISA Server を使用すると、内部ファイアウォール上で開放するポートの数を最小化することができます。これを行うには、ISA Server の公開機能を使用して SMTP サーバーを公開し、Exchange サーバー自体はファイアウォールの内側に配置します。ISA Server は、実際にはファイアウォールの内側に存在する SMTP サーバーをあたかもファイアウォール外のサーバーのように偽装します。Exchange サーバーを境界ネットワーク内に配置する必要はありません。 **メモ** - この構成の場合、SMTP サーバーに対応する外部 DNS エントリからは、SMTP サーバーのアドレスではなく、ISA Server 上で公開されている IP アドレスを参照する必要があります。

  • 既存の二重ファイアウォール インフラストラクチャを ISA Server による偽装に対応した構成に変更できない場合は、ISA Server を現在の内部ファイアウォールの内側に配置し、TCP ポート 25 を ISA Server に開放することで対処できます。

  • ポート 25 を通じてなんらかの認証を実装するのであれば、SMTP に対して SSL 認証を有効にする必要があります。

  • ISA Server が ISA アレイのメンバになっている場合、ISA Server 上で送信 SMTP を公開することはできません。

メッセージ スクリーナでコンテンツ フィルタを適用する

コンテンツ フィルタ機能では、ポート 25 上の着信トラフィックを受け付けてチェックし、ルールに一致している場合のみトラフィックを通過させる SMTP フィルタを適用します。このフィルタでは、送信者のユーザー名とドメイン名、添付ファイル、およびキーワードに基づいて、メッセージを受け付けるか拒否するかを決定でき、バッファ オーバーフロー攻撃への保護対策も用意されています。ただし、SMTP フィルタの全機能を使用するには、メッセージ スクリーナもインストールしておく必要があります。

メッセージ スクリーナは、ISA Server に用意されているユーティリティです。メッセージ スクリーナは、さまざまな構成でインストールできますが、IIS が稼動しているサーバー上に メッセージ スクリーナを SMTP 仮想サーバーと共に配置するのが最もセキュリティの高い構成になります。この仮想サーバーは、Exchange と通信して電子メールを送受信することになります。この構成には、Exchange サーバーを内部ネットワークのエッジからさらに分離できるという利点があります。

メモ : メッセージ スクリーナの展開の詳細については、この章の末尾にある「詳細情報」に示す マイクロソフト サポート技術情報 Q315132「HOW TO: Configure SMTP Message Screener in ISA Server 2000」(英語情報) を参照してください。

ページのトップへ

SMTP のセキュリティ強化のための付加的な対策

ISA Server を通じて SMTP を公開し、SMTP フィルタと メッセージ スクリーナを併用することは、Exchange SMTP サーバーを保護するための効果的な対策となりますが、以下のような付加的な対策も検討してください。

別個の SMTP ゲートウェイを使用する

多層防御戦略の一環として、Exchange バックエンド サーバーを SMTP 攻撃から保護するために、ネットワーク内に別の SMTP ゲートウェイを配置することが考えられます。インターネットから着信したメールは、このゲートウェイ サーバーを通過したうえで、各 Exchange サーバーに到着することになります。このサーバーは、Windows 2000 ドメインに所属しないものとします。したがって、このサーバーでは Exchange を実行しません。これにより、ハッカーが外部から SMTP を使用して Exchange サーバーを攻撃しようとしても、最初に別個の SMTP サーバーを突破しなければならなくなります。攻撃への防御として SMTP サーバーを停止すると、インターネット メールを送信することはできなくなりますが、内部メールは引き続き送信可能になります。ウィルス対策ソフトウェアをこのゲートウェイ サーバー上で実行させることも考えられます。

メモ : SMTP 仮想サーバーのインストールと構成の詳細については、マイクロソフト サポート技術情報 Q308161「HOW TO: Set Up and Configure an SMTP Virtual Server in Windows 2000」(英語情報) を参照してください。

メール中継 (リレー) を禁止する

メール中継 (リレー) 処理では、メールを転送途中のサーバーで受け付けて、他のサーバー上の受信者に再送信します。メール中継処理は、移動ユーザーがネットワーク外から SMTP サーバーに接続してメールを送信できるようにするなどの合法的な目的で使用できます。

ネットワーク外部からの中継処理を制限付きで許可すれば、実際に行われる操作を制限でき、中継を必要としているユーザーだけを認証することができます。認証は、既定の設定で有効化されます。SMTP 中継処理の制限を緩和しすぎると、SMTP サーバーを通過するメールの量が急増し、環境のパフォーマンスに悪影響が及ぶと共に、インターネットから送信されてくる迷惑メールも多くなります。また、外部から正当にアクセスしてメールを送信しているユーザーでも、スパム メールのブロック リストに登録されてしまい、メールを宛先に送信できなくなる可能性があります。

正当な目的で行うメール中継処理であっても、メール サーバーに問題を引き起こす可能性があります。メール サーバーが認証済み要求を受け付けるという事実は、ハッカーがサーバーにディレクトリ攻撃を仕掛けるときに悪用されます。

サーバーを保護するには、中継処理を可能な限り無効化することが効果的なアプローチの 1 つとなります。メールの送信については、OWA を使用すれば、外部ユーザーが SMTP サーバーに直接接続する必要はありません。

Exchange サーバーをメール中継処理から保護するには、内部 SMTP 仮想サーバーに以下のような対策を加えることを検討してください。

  • SMTP サーバーに対しては匿名接続だけを許可します。

  • 認証に成功したコンピュータによる中継を禁止します。

  • 特定の IP アドレスからの SMTP 接続だけを許可します。

ゲートウェイの SMTP サーバーでは、これらの制限を若干緩和する必要があります。実際の設定は、メッセージ フローと ISP のメール サーバーの構成によって異なります。ただし、セキュリティを強化するための最も効果的な方法は、システムを完全にロックダウンして、中継を禁止し、電子メールを正常に転送できる必要最小限の設定を確立することです。

メモ : 認証済みコンピュータに対して SMTP が必要になるのは、IMAP および POP3 をサポートする場合です。これらのプロトコルを有効化するのであれば、これらのトラフィック用に別個の仮想サーバーを用意し、その仮想サーバーを SSL で保護することを検討してください。

メモ : Exchange における不要な SMTP 中継処理の防止の詳細については、Microsoft TechNet の「Microsoft Exchange による SMTP 中継処理の制御」および マイクロソフト サポート技術情報 JP319356「[HOWTO] Exchange 2000 Server で不要な広告電子メールを防ぐ方法」を参照してください。

ページのトップへ

まとめ

Exchange のデータ フローのセキュリティを強化する対策を講じない限り、Exchange のセキュリティが最大限のレベルに達していると考えることはできません。このことは、特に、インターネット上で OWA へのアクセスを許可する場合に重要なポイントになります。セキュリティが確立されていないと、インターネット上でも内部ネットワークの内側でもパスワードがクリア テキストとして送信されることになるからです。この章に示したガイドラインを役立てて、Exchange 通信のセキュリティを強化してください。

詳細情報

ページのトップへ

目次

ページのトップへ