Exchange の通信セキュリティを強化する

  • [アーティクル]

公開日: 2004年6月2日

トピック

モジュールの内容

目的

適用対象

モジュールの使用方法

はじめに

Outlook 2002 における通信セキュリティを強化する

OWA 通信のセキュリティを強化する

SMTP 通信のセキュリティを強化する

要約

モジュールの内容

このモジュールでは、Microsoft® Exchange サーバーとクライアント間の通信のセキュリティを強化する方法について説明します。Microsoft Outlook® メッセージングおよびコラボレーション クライアント、およびサーバーの間で暗号化されたリモート プロシージャ コール (RPC) トラフィックを有効にする方法について説明します。Microsoft ISA (Internet Security and Acceleration) Server を使用して、Web クライアントと Exchange サーバー間のトラフィックをセキュリティで保護する方法について、詳しく説明します。Exchange フロントエンド/バックエンド トポロジと、それを使用してクライアントとサーバー間のトラフィックのセキュリティを強化する方法についても説明します。最後に、Simple Mail Transfer Protocol (SMTP) トラフィックのセキュリティを強化する方法について説明します。

ページのトップへ

目的

このモジュールの目的は次のとおりです。

  • Outlook 2002 と Exchange の間の RPC 通信を暗号化する。

  • Outlook 2002 を使用してメッセージのデジタル署名と暗号化を行う。

  • SSL (secure sockets layer) の有無にかかわらず、ISA Server を使用して Exchange サーバーとの Web ブラウザ通信をセキュリティで保護する。

  • SSL を使用して、ISA Server と Outlook Web Access (OWA) フロントエンド間の通信を暗号化する。

  • IPSec を使用して、OWA フロントエンド サーバーとバックエンド Exchange サーバーの間の通信を暗号化する。

  • ISA Server とメッセージ スクリーナを併用または別個の SMTP ゲートウェイを使用して、SMTP トラフィックをセキュリティで保護する。

  • 不要な SMTP 中継処理を防止する。

ページのトップへ

適用対象

このモジュールは、次の製品および技術に適用されます。

  • Microsoft Exchange 2000 Server

  • Microsoft Outlook 2002

  • Microsoft Windows® 2000 オペレーティングシステム Active Directory® ディレクトリサービス

  • Microsoft Internet Security and Acceleration (ISA) Server

ページのトップへ

モジュールの使用方法

このモジュールは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』(日経 BP ソフトプレス発行、ISBN: 4-89100-334-0) の補足として利用できるように構成されています。このモジュールを読む前に、このガイドの内容を理解しておくことをお勧めします。このモジュールの各セクションは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』に対応しています。『Microsoft Exchange 2000 Server Operations』(Microsoft Press、ISBN: 0-7356-1831-3、英語) の内容を理解しておくこともお勧めします。この本には、Exchange 2000 の全般的な運用に関する詳細情報が記載されています。

このモジュールの目的は、Exchange のコア機能にできるだけ影響を与えずに Exchange 2000 環境のセキュリティを確保できるようにすることです。このモジュールでは、Exchange 2000 を実行するサーバーの安全な環境を作成および維持するために必要な操作に焦点を当てています。このガイドは、セキュリティで保護された環境の作成および保守のすべてを網羅する完全なリファレンスとしてではなく、Exchange の全体的なセキュリティ計画の一部として使用してください。

このモジュールは、モジュール「Exchange 環境のセキュリティを確保する」およびモジュール「役割に基づいて Exchange 2000 サーバーのセキュリティを強化する」と共に使用してください。

このモジュールでは、暗号化された RPC、ISA Server、SSL、および IPSec を使用して Exchange フロントエンドおよびバックエンド サーバーのセキュリティを確保する方法だけでなく、SMTP トランスポートのセキュリティを確保する方法についても説明します。手順はモジュール方式で、サーバーの設定を構成する方法についてわかりやすく解説します。それらの手順を、新規または既存の Exchange 環境に適用できます。

ページのトップへ

はじめに

ネットワークのセキュリティを強化するには、個々のコンピュータのセキュリティだけでなく、コンピュータ間で転送されるデータについても検証する必要があります。どのような機能が使用可能かをチェックし、各機能に伴うリスクを考慮しながら、どの機能が実際に必要かを検証するのが最善のアプローチとなります。

このガイドでは、インターネット経由で電子メールを送受信できること、Outlook Web Access を使用してインターネット経由で Exchange にアクセスできることの必要条件を想定しています。このような機能が必要でないなら、システムをさらに強固にロックダウンすることが可能です。一方、POP3 と IMAP4 の機能を使用する場合は、その機能に対応した環境を整える必要があります。

このガイドで推奨しているフロントエンドおよびバックエンド環境では、インターネット経由でメールを送受信できると共に、インターネット経由で Exchange にアクセスすることができます。このモジュールでは、外部からのアクセスに対するセキュリティを強化する方法を述べ、クライアント側でのセキュリティ強化についても検証します。

注: ISA Server に用意されている Exchange リモート プロシージャ コール (RPC) アプリケーション フィルタを使用すると、インターネット経由で Outlook にアクセスすることができますが、このガイドでは、この方法による Exchange へのアクセスについては説明しません。「関連情報」セクションに示すホワイトペーパー「Microsoft ISA Server 2000 - Configuring and Securing Microsoft Exchange 2000 Server and Clients」(英語) および『Microsoft Exchange 2000 Server Hosting Series』(Microsoft Press、ISBN: 0-7356-1829-1 および 0-7356-1830-5、英語) を参照してください。

ページのトップへ

Outlook 2002 における通信セキュリティを強化する

Outlook 2002 では、次のような方法で通信セキュリティを強化できます。

  • Outlook 2002 から Exchange サーバーへの MAPI 接続を暗号化する。

  • S/MIME 証明書によるメッセージの署名と暗号化を行う。

Outlook 2002 から Exchange サーバーへの MAPI 接続を暗号化する

Windows 2000 には、RPC 通信の 128 ビット暗号化を実現するセキュリティ機能が組み込まれています。MAPI 接続は RPC 上で確立されるので、この機能を使用すると、Outlook 2002 クライアントから Exchange サーバーへの接続のセキュリティを強化できます。

  • Outlook 2002 から Exchange サーバーへの MAPI 接続を RPC で暗号化するには

    1. Outlook 2002 で、[ツール] メニューの [電子メールアカウント] をクリックします。

    2. [次へ] をクリックします。

    3. Exchange サーバーが選択されていることを確認し、[変更] をクリックします。

    4. [詳細設定] をクリックします。

    5. [詳細設定] タブをクリックします。

    6. [ネットワークを使用しているとき] チェック ボックスをオンにします。

    7. [OK] をクリックします。

    8. [次へ] をクリックします。

    9. [完了] をクリックします。

注: Outlook 2002 でユーザープロファイルを設定する場合も、上記設定を指定できます。

RPC 暗号化では、MAPI クライアントから Exchange サーバーへのデータだけが暗号化されます。メッセージ自体は暗号化されません。

メッセージの署名と暗号化を行う

Outlook 2002 では、内部または外部の受信者に送信するメッセージに署名を付けて暗号化することができます。この暗号化を行うには、証明書が必要です。署名と暗号化の一方または両方を適用した電子メールをインターネット上の受信者に送信するには、サードパーティ ベンダから発行された証明書 (デジタル ID) を使用する必要があります。

クライアントに証明書をインストールすると、S/MIME を使用して署名付き暗号化メッセージを送信できるようになります。ただし、他のユーザーに暗号化メールを送信するには、送信先のユーザーの公開キーにアクセスできる必要があります。送信先のユーザーに署名付きメッセージを送信してもらい、そのユーザーを連絡先に追加すると、そのユーザーの公開キーにアクセスできるようになります。

注: メッセージの署名と暗号化の詳細については、マイクロソフト サポート技術情報の 286159「[OL2002] 暗号化とメッセージ保護の概要」 を参照してください。

Key Management Service

Exchange 組織内のユーザー間で署名付き暗号化メッセージを日常的に送信する場合は、Exchange 2000 に用意されている Key Management Service の使用を検討してください。このサービスでは、Windows 2000 の証明書サービスを使用して、公開キーへのアクセスを提供すると共に、プライベート キーについては、セキュリティの高い方法で集中管理します。これにより、クライアントは署名付き暗号化メッセージにシームレスにアクセスでき、グローバル アドレス リスト (GAL) に登録されている受信者にメッセージを送信することができます。

注: サードパーティ証明機関 (CA) に従属する証明機関と共にキー マネージメント サーバーを使用する場合は、Key Management Service をインターネット上の他のサービスと統合することができます。

ページのトップへ

OWA 通信のセキュリティを強化する

OWA との通信は非常にシンプルです。クライアントは、電子メールを送受信するときに Web ブラウザを通じて OWA サーバーと通信します。この通信には、ポート 80 が使用されます。通信がセキュリティで保護されている場合は、ポート 443 が使用されます。しかし、クライアントがポート 80 またはポート 443 を通じてフロントエンド サーバーに接続するときには、フロントエンド サーバーがドメイン内のドメイン コントローラと通信してユーザーを認証する必要があります。また、適切なメールボックスまたはパブリック フォルダの情報に実際にアクセスするには、フロントエンド サーバーが Exchange バックエンド サーバーと通信する必要があります。

バックエンド サーバーをファイアウォールの内側に置く一方で、OWA フロントエンド サーバーを境界領域のネットワーク (非武装地帯、すなわち DMZ) 内に置けば、OWA フロントエンド サーバーのセキュリティを強化できます。ただし、この方法を実際に使用するには、内部ファイウォールで多数のポートを開放しなければならなくなります。

ISA Server を使用して OWA のセキュリティを強化する

Microsoft ISA (Internet Security and Acceleration) Server などのアプリケーション レイヤ ファイアウォールを使用すると、内部ファイウォール上で開放するポートの数をできるだけ少なくすることができます。ISA Server では、SMTP サーバーと OWA フロントエンド サーバーの両方をファイアウォールの内側に配置することができます。ISA Server は、サーバー公開ルールと Web 公開ルールを使用し、実際にはファイアウォールの内側に存在するサーバーを、あたかもファイアウォール外のサーバーのように偽装します。つまり、外部からアクセスされるサーバーを DMZ 内に配置する必要がありません。

注: フロントエンド サーバーとその他のサーバーの間の通信に使用されるポートの一覧については、モジュールの最後の「関連情報」に記載されている「Exchange 2000 Front-end and Back-end Topology」を参照してください。

図 1 は、インターネット上の OWA クライアントに対して ISA Server が OWA Server を公開するしくみを示しています。

図 1 セキュリティを強化したファイアウォール構造

注: この構成の場合、フロントエンド OWA サーバーに対応する外部 DNS エントリからは、OWA フロントエンド サーバーのアドレスではなく、ISA Server 上で公開されている IP アドレスを参照する必要があります。

注: 既存の二重ファイアウォール インフラストラクチャを ISA Server による偽装に対応した構成に変更できない場合は、ISA Server を現在の内部ファイアウォールの内側に配置し、TCP ポート 443 を ISA Server に開放することで対処できます。

ファイアウォールは、サーバーを攻撃から保護するための手段ですが、サーバーとの間で転送されるデータについても保護が必要です。インターネット上の Web ブラウザ クライアントが HTTP を使用して OWA 経由で Exchange にアクセスするときには、次のような処理が行われます。

  • Web ブラウザから ISA Server に HTTP 要求が送信されます。これらの要求は、ISA の公開ルールによって許可された場合は、OWA フロントエンド サーバーに渡されます。

  • ISA Server からフロントエンド サーバーに対して、新しい HTTP 接続が確立されます。この接続では、ISA Server の IP アドレスがソース IP アドレスとして使用されます。

  • OWA フロントエンド サーバー上で HTTP 要求が処理されます。このとき OWA フロントエンド サーバーが行う処理は、次のとおりです。

    • グローバル カタログ サーバーに対してユーザーと連絡先を認証し、ユーザー メールボックスの場所を判別します。

    • ユーザー メールボックス サーバーの IP アドレスを解決します。

  • OWA フロントエンド サーバーからバックエンド Exchange サーバーに対して、新しい HTTP セッションが確立されます。

IIS を構成して OWA をサポートさせるときに、基本認証を有効にする必要があります。統合 Windows 認証は HTTP または HTTPS で通信するための唯一のプロトコルとしては動作しません。また、匿名のアクセスを使用すると、電子メール環境がインターネットに対して完全に開放されてしまうので、匿名のアクセスは使用しないでください。

基本認証では、パスワードと電子メールが暗号化されずにインターネット上の HTTP 接続を通じて転送されます。付加的な暗号化方式を使用しなければ、ISA Server と OWA フロントエンド サーバーの間で、これらのパケットが暗号化されず、クリア テキストのまま転送され続けることになります。OWA が認証を実行した後も、パスワードなどの情報が暗号化されずに OWA フロントエンド サーバーとバックエンド サーバーの間で HTTP 送信されることになります。この問題に対処するには、Web ブラウザからバックエンド Exchange サーバーの間の全経路にわたってユーザー資格情報を暗号化することが必須になります。つまり、次のセキュリティ対策が必要です。

  • SSL 暗号を使用して Web ブラウザと ISA Server の間の通信を保護する。

  • SSL を使用して ISA Server と OWA フロントエンド サーバーの間の通信を保護する。

  • IPSec 暗号化を使用して OWA フロントエンド サーバーとバックエンド Exchange サーバーの間の通信を保護する。

それぞれの対策について順を追って検討します。

Web ブラウザと ISA Server の間の通信を保護する

SSL を使用して Web ブラウザと ISA Server の間の通信を暗号化するには、ISA Server 上に SSL 証明書をインストールして、適切な SSL リスナを構成する必要があります。組織のインフラストラクチャに含まれていない外部 Web クライアントからも証明書が使用されることになるため、グローバルに信頼されている CA によって発行された証明書をインストールすることが必要です。

ISA Server を構成して SSL 通信を可能にする

ISA Server は、Web ブラウザからの SSL 要求を受け付けるように構成できます。SSL 要求をどのように処理するかについては、次の選択肢があります。

  • 受信した SSL 通信をそのままファイアウォールの内側のサーバーに転送する。

  • 受信した SSL 通信を暗号化解除し、暗号化されていない状態でバックエンド サーバーに転送する。

  • 受信した SSL 通信を暗号化解除し、再暗号化してからバックエンド サーバーに転送する。

注: SSL 通信の暗号化解除と再暗号化には ISA Server SP1 以降が必要です。ISA Server SP1 以降がインストールされていない場合は、次の手順が正しく実行されません。

次の 3 つの処理方法のうち、パケットを暗号化解除してから再暗号化する方法を使用すると、ISA Server 上でデータの脆弱性を検査できるため、最も高いセキュリティが得られます。また、ISA Server の内側ではデータが攻撃から保護されます。

注: 国によっては、ネットワークの中間点でデータを暗号化解除して検査することが法律上禁止されている場合があります。このソリューションを採用する前に、法的な制限がないかどうかを確認してください。

注: パフォーマンスを向上させ SSL のオーバーヘッドを軽減するには、SSL アクセラレータ機能付きのネットワーク アダプタの採用を検討してください。

データが正しく暗号化されるように、次の条件が満たされていることを確認してください。

  • OWA 用の ISA Server 証明書には、Web ブラウザが OWA リソースを参照するときに使用される完全修飾ドメイン名 (FQDN) に一致する共通名 (フレンドリ名) が記載されている必要があります。たとえば、クライアントの使用する OWA URL が https://mail.nwtraders.com/exchange なら、証明書の共通名は mail.nwtraders.com となります。

  • 証明書は、OWA リソースを公開している ISA Server の "パーソナル" コンピュータ ストアにインポートする必要があります。ISA Server に証明書をインポートする場合は、[エクスポート可能なキーとしてマークする] チェック ボックスがオンになっていることを確認してください。

  • クリア テキスト パスワードが誤って転送されるのを避けるために、ISA Server は、セキュリティで保護されたチャネルだけを受け付け、公開 OWA サイトに対するクリア テキスト HTTP 接続を拒否するように構成する必要があります。

ISA Server では、Web 公開ルールを使用して、OWA サーバーをインターネット クライアントに提供しますが、Web 公開ルールを作成する前に、Web 公開自体を ISA Server 上で準備しておく必要があります。これを行うには、[着信方向の Web 要求] と [発信方向の Web 要求] の設定を構成します。

注: 次の手順を実行する前に、外部証明書をインポートしておく必要があります。

  • [着信方向の Web 要求] を構成するには

    1. [ISA の管理] を起動します。

    2. ISA Server を右クリックして、[プロパティ] を選択します。

    3. [着信方向の Web 要求] タブをクリックします。

    4. [IP アドレスごとにリスナを構成する] を選択し、[追加] をクリックします。

    5. ISA Server を選択し、ISA Server の外部 IP アドレスを選択します。

    6. [Web クライアントの認証にサーバー証明書を使う] を選択します。

    7. [選択] をクリックし、クライアントから SSL サイトへのアクセスに使用する FQDN の証明書を選択します。

    8. [OK] をクリックします。

    9. [SSL リスナを有効にする] を選択します。

    10. [OK] をクリックします。

    11. [OK] をクリックします。

    12. [変更を保存して、サービスを再起動する] をクリックし、[OK] をクリックします。

  • [発信方向の Web 要求] を設定するには

注: 次の手順を実行すると、内部ネットワーク上のユーザーが ISA Server をプロキシ サーバーとして使用してインターネット上の Web サイトにアクセスすることはできなくなります。この手順は、ISA を通じて OWA を利用できるようにすることではなく、セキュリティを強化することを目的としています。

  1. [ISA の管理] を起動します。

  2. ISA Server を右クリックして、[プロパティ] を選択します。

  3. [発信方向の Web 要求] タブをクリックします。

  4. [IP アドレスごとにリスナを構成する] を選択し、IP アドレスが示されていないことを確認した後、[OK] をクリックします。

  5. [変更を保存して、サービスを再起動する] をクリックし、[OK] をクリックします。

この時点で、OWA をサポートするように Web 公開を構成することができます。

  • OWA をサポートするように Web 公開を構成するには

    1. [ISA の管理] で、ISA Server を展開し、[公開] を展開します。

    2. [Web 公開ルール] を右クリックして、[新規作成]、[ルール] の順に選択します。

    3. OWA <OWA フロントエンド サーバーの FQDN> のような名前を指定し、[次へ] をクリックします。

    4. [すべての宛先] が選択されていることを確認し、[次へ] をクリックします。

    5. [すべての要求] が選択されていることを確認し、[次へ] をクリックします。

    6. [要求をこの内部 Web サーバーへリダイレクトする (名前または IP アドレス)] を選択し、[参照] をクリックして、OWA フロントエンド サーバーを選択します。

    7. [公開サーバーに送信されたオリジナルのホスト ヘッダーを、上で指定したサーバーに送信する] を選択し、[次へ] をクリックします。

    8. [完了] をクリックします。

    9. フォルダ ウィンドウで [Web 公開ルール] をクリックし、新しいルールをダブルクリックします。

    10. [ブリッジ] タブをクリックします。

    11. [公開されたサイト用には保護されたチャネル (SSL) を要求する]、[128 ビット暗号化を必要とする] の順に選択し、[OK] をクリックします。

注: 環境内の適切なルーターおよびファイアウォールのポート 80 およびポート 443 に対しても、適切なルールを構成する必要があります。

注: ISA Server を使用した SMTP および OWA の公開の詳細については、マイクロソフト サポート技術情報の 290113「[ISA] Internet Security and Acceleration Server の背後から Outlook Web Access を公開する方法」および 308599「[XCCC] 内部 Exchange Server を公開するための Internet Security and Acceleration Server の設定」を参照してください。

ISA Servers と OWA フロントエンド サーバー間を暗号化する

ISA Servers と OWA フロントエンド サーバー間の HTTP トラフィックを暗号化するには、OWA フロントエンド サーバーに SSL 証明書をインストールする必要があります。ISA Servers と OWA フロントエンド サーバーは組織のインフラストラクチャの一部であるため、組織の内部ルート CA、またはその CA に従属している信頼された証明機関から OWA フロントエンド証明書を発行できます。

  • OWA フロントエンドサーバー用の証明書を要求するには

注: 次の手順では、環境内に CA が既にインストールされていることを前提としています。

  1. OWA フロントエンド サーバーの上でインターネット サービス マネージャを起動します。

  2. [既定の Web サイト] を右クリックして、[プロパティ] をクリックします。

  3. [ディレクトリ セキュリティ] タブをクリックし、[サーバー証明書] をクリックします。

  4. [次へ] をクリックし、[証明書の新規作成] をクリックして、[次へ] をクリックします。

  5. [オンライン証明機関に直ちに要求を送信する] オプションボタンをクリックして、[次へ] をクリックします。

  6. [名前] フィールドに名前を入力して、[次へ] をクリックします。

  7. [組織] フィールドに組織名を入力します。

  8. [部門] フィールドに組織単位名を入力して、[次へ] をクリックします。

  9. [一般名] フィールドに OWA フロントエンド サーバーの FQDN を入力して、[次へ] をクリックします。

  10. 所在地情報を入力して、[次へ] をクリックします。

  11. [証明機関] ドロップダウン リスト ボックスで、使用する証明機関が選択されていることを確認し、[次へ] をクリックします。

  12. [次へ] をクリックして要求を送信し、[完了] をクリックしてウィザードを終了します。

  13. [ディレクトリ セキュリティ] タブの [セキュリティ保護された通信] グループボックスで、[編集] をクリックします。

  14. [保護されたチャンネル (SSL) を要求する]、[128 ビット暗号化を要求する] の順に選択して、[OK] をクリックします。

  15. [ディレクトリ セキュリティ] タブの [匿名アクセスおよび認証コントロール] グループ ボックスで、[編集] をクリックします。

  16. [基本認証 (パスワードはクリア テキストで送信されます)] を選択します。警告に対して [はい] をクリックします。

  17. その他のオプションをすべてオフにして、[OK] をクリックします。

  18. [OK] をクリックします。

  19. [OK] をクリックして、[継承優先] ダイアログ ボックスを閉じ、インターネット サービス マネージャを終了します。

注: ISA Server 上の OWA 公開ルール プロパティに従って、OWA サーバーの FQDN が共通名として使用されます。ISA Server で行われる公開処理中には、OWA Web 証明書の妥当性、証明書の信頼連鎖、および証明書の有効期限がチェックされます。

OWA フロントエンド サーバーとバックエンド Exchange サーバー間を暗号化する

OWA フロントエンド サーバーとバックエンド サーバーの間で SSL を使用してデータを暗号化することはできませんが、フロントエンド サーバーとバックエンド サーバーはどちらも Windows 2000 上で稼動しているため、IPSec を使用するとデータを暗号化できます。IPSec には、SSL よりも処理速度が大幅に速いという利点があります。

注: パフォーマンスを向上させて IPSec のオーバーヘッドを軽減するには、IPSec の処理をアダプタに任せる専用のネットワーク アダプタの採用を検討してください。

IPSec では、どのプロトコルをネットワーク アダプタで受け付けるかを制御できるため、特定のポートをブロックまたは許可して、他のポートのデータを暗号化することが可能です。フロントエンド/バックエンド サーバー通信の場合は、ポート 80 を必ず暗号化しなければなりません。

IPSec の制御には、Windows 2000 グループ ポリシー内で定義される IPSec ポリシーが適用されます。

1. IPSec ポリシーの設定

ポリシー 設定
OWA フロントエンド ポート 80 発信 ‐ 暗号化
ポート 80 着信‐ ブロック
バックエンド ポート 80 着信‐ 暗号化
フロントエンド サーバーとバックエンド サーバーの間の通信は、常にフロントエンド サーバーから開始されるため、フロントエンド サーバーからの着信要求はブロックが可能です。これらの要求をブロックすると、ユーザー資格情報が誤ってクリア テキストで送信されるのを防止でき、フロントエンド サーバーがバッファ オーバーフロー攻撃にさらされるリスクを最小化できます。 ##### OWA フロントエンド サーバーの IPSec ポリシーを作成する 最初に、OWA フロントエンド サーバー用のポリシーを作成して構成します。 - **発信方向** **TCP 80** **フィルタを作成するには** 1. \[Active Directory ユーザーとコンピュータ\] を起動します。 2. \[Member Servers\]、\[Application Servers\]、\[Exchange 2000\] の順に展開します。 3. \[OWA Servers\] OU を右クリックして、\[プロパティ\] をクリックします。 4. \[グループ ポリシー\] タブをクリックします。 5. \[OWA Front-end Incremental Policy\] グループ ポリシー オブジェクトを選択します。 6. \[編集\] をクリックします。 7. \[Windows の設定\]、\[セキュリティの設定\] と展開し、\[Active Directory の IP セキュリティ ポリシー\] を右クリックします。 8. \[IP フィルタ一覧とフィルタ操作の管理\] をクリックします。 9. \[追加\] をクリックします。 10. \[名前\] ボックスに「発信方向 TCP 80 ‐ OWA FE」と入力します。 11. \[説明\] ボックスに「OWA フロントエンド サーバー上の発信方向 TCP 80 トラフィックに一致するフィルタ」と入力します。 12. \[追加\] をクリックし、\[次へ\] をクリックします。 13. \[発信元アドレス\] ドロップダウン リスト ボックスに \[このコンピュータの IP アドレス\] が表示されていることを確認して、\[次へ\] をクリックします。 14. \[宛先アドレス\] ドロップダウン リスト ボックスに \[任意の IP アドレス\] が表示されていることを確認して、\[次へ\] をクリックします。 15. \[プロトコルの種類の選択\] ドロップダウン リスト ボックスで、\[TCP\] を選択し、\[次へ\] をクリックします。 16. \[IP プロトコル ポートの設定\] で、\[任意の発信ポート\] が選択されていることを確認し、\[次の宛先ポート\] を選択して「80」と入力します。 17. \[次へ\] をクリックして、\[完了\] をクリックします。 18. \[閉じる\] をクリックして \[IP フィルタ一覧\] ウィンドウを閉じます。 - **着信方向** **TCP 80** **フィルタを作成するには** 1. \[追加\] をクリックします。 2. \[名前\] ボックスに 「着信方向 TCP 80 ‐ OWA FE」と入力します。 3. \[説明\] ボックスに「OWA フロントエンド サーバー上の着信方向 TCP 80 トラフィックに一致するフィルタ」と入力します。 4. \[追加\] をクリックし、\[次へ\] をクリックします。 5. \[発信元アドレス\] ドロップダウン リスト ボックスで、\[任意の IP アドレス\] を選択し、\[次へ\] をクリックします。 6. \[宛先アドレス\] ドロップダウン リスト ボックスで、\[このコンピュータの IP アドレス\] を選択し、\[次へ\] をクリックします。 7. \[プロトコルの種類の選択\] ドロップダウン リスト ボックスで、\[TCP\] を選択し、\[次へ\] をクリックします。 8. \[IP プロトコル ポートの設定\] で、\[任意の発信ポート\] が選択されていることを確認し、\[次の宛先ポート\] を選択して「80」と入力します。 9. \[次へ\] をクリックして、\[完了\] をクリックします。 10. \[閉じる\] をクリックします。 11. \[閉じる\] をクリックします。 - **着信方向** **TCP** **ポート** **80** **フィルタに使用するブロック操作を作成するには** 1. \[グループポリシー\] ウィンドウで、\[Active Directory の IP セキュリティ ポリシー\] を右クリックして、\[IP フィルタ一覧とフィルタ操作の管理\] を選択します。 2. \[フィルタ操作の管理\] タブをクリックします。 3. \[追加\] をクリックし、\[次へ\] をクリックします。 4. \[名前\] ボックスに「ブロック」と入力して、\[次へ\] をクリックします。 5. \[ブロック\] を選択し、\[次へ\] をクリックします。 6. \[完了\] をクリックします。 - **発信方向** **TCP** **ポート** **80** **フィルタに使用する暗号化操作を作成するには** 1. \[フィルタ操作の管理\] タブをクリックします。 2. \[追加\] をクリックし、\[次へ\] をクリックします。 3. \[名前\] ボックスに「暗号化」と入力して、\[次へ\] をクリックします。 4. \[セキュリティのネゴシエート\] を選択し、\[次へ\] をクリックします。 5. \[IPSec をサポートしないコンピュータと通信しない\] を選択し、\[次へ\] をクリックします。 6. \[高 (Encapsulated Secure Payload)\] が選択されていることを確認して、\[次へ\] をクリックします。 7. \[プロパティを編集する\] をクリックし、\[完了\] をクリックします。 8. \[追加\] をクリックします。 9. \[カスタム (詳しい知識のあるユーザー向け)\] を選択し、\[設定\] をクリックします。 10. \[データの整合性と暗号化 (ESP)\] だけが選択されていることを確認します。 11. \[暗号化アルゴリズム\] で \[3DES\] を選択します。 12. \[OK\] をクリックします。 13. \[OK\] をクリックします。 14. \[カスタム\] を選択し、\[上へ移動\] をクリックします。 15. \[OK\] をクリックします。 16. \[閉じる\] をクリックします。 - **IP** **セキュリティポリシーを作成してフィルタを適用し、操作を指定するには** 1. \[Active Directory の IP セキュリティ ポリシー\] を右クリックして、\[IP セキュリティ ポリシーの作成\] を選択して、\[次へ\] をクリックします。 2. \[名前\] ボックスに「TCP 80 トラフィックのブロックと暗号化‐ OWA FE」と入力して、\[次へ\] をクリックします。 3. \[既定の応答規則をアクティブにする\] が選択されていることを確認し、\[次へ\] をクリックします。 4. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] が選択されていることを確認し、\[次へ\] をクリックします。 5. \[プロパティを編集する\] が選択されていることを確認し、\[完了\] をクリックします。 6. \[規則\] タブで \[追加\] をクリックして、\[次へ\] をクリックします。 7. \[この規則ではトンネルを指定しない\] が選択されていることを確認し、\[次へ\] をクリックします。 8. \[すべてのネットワーク接続\] が選択されていることを確認し、\[次へ\] をクリックします。 9. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] が選択されていることを確認し、\[次へ\] をクリックします。 10. \[IP フィルタ一覧\] から \[着信方向 TCP 80 ‐ OWA FE\] を選択して、\[次へ\] をクリックします。 11. \[フィルタ操作\] ボックスの \[ブロック\] をクリックし、\[次へ\] をクリックします。 12. \[プロパティを編集する\] の選択が解除されていることを確認し、\[完了\] をクリックします。 13. \[規則\] タブで \[追加\] をクリックし、\[次へ\] をクリックします。 14. \[この規則ではトンネルを指定しない\] が選択されていることを確認し、\[次へ\] をクリックします。 15. \[すべてのネットワーク接続\] が選択されていることを確認し、\[次へ\] をクリックします。 16. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] が選択されていることを確認し、\[次へ\] をクリックします。 17. \[IP フィルタ一覧\] の \[発信方向 TCP 80 ‐ OWA FE\] を選択し、\[次へ\] をクリックします。 18. \[フィルタ操作\] ボックスの \[暗号化\] をクリックし、\[次へ\] をクリックします。 19. \[プロパティを編集する\] の選択が解除されていることを確認し、\[完了\] をクリックします。 20. \[閉じる\] をクリックします。 - **グループポリシーに発信方向フィルタを適用するには** 1. グループ ポリシーの内容ウィンドウで、\[TCP 80 トラフィックのブロックと暗号化‐ OWA FE\] を右クリックして、\[割り当て\] をクリックします。 2. \[グループ ポリシー\] を閉じ、\[OK\] をクリックします。 - **OWA** **フロントエンドサーバーにグループポリシーを適用するには** 1. OWA フロントエンド サーバー上で、コマンド プロンプトを開きます。 2. 「secedit /refreshpolicy machine\_policy /enforce」と入力して、**Enter** キーを押します。 3. サーバーを再起動します。 **バックエンドサーバーの** **IPSec** **ポリシーを作成する** バックエンド サーバー上のポリシーでは、着信方向ポート 80 トラフィックを暗号化します。 - **着信方向** **TCP 80** **フィルタを作成するには** 1. \[Active Directory ユーザーとコンピュータ\] を起動します。 2. \[Member Servers\]、\[Application Servers\]、\[Exchange 2000\] の順に展開します。 3. \[Exchange Back-end Servers\] OU を右クリックして、\[プロパティ\] をクリックします。 4. \[グループ ポリシー\] タブをクリックします。 5. \[Exchange Back-end Incremental Policy\] グループ ポリシー オブジェクトを選択します。 6. \[編集\] をクリックします。 7. \[Windows の設定\]、\[セキュリティの設定\] の順に展開し、\[Active Directory の IP セキュリティ ポリシー\] を右クリックします。 8. \[IP フィルタ一覧とフィルタ操作の管理\] をクリックします。 9. \[追加\] をクリックします。 10. \[名前\] ボックスに「着信方向 TCP 80 ‐ BE」と入力します。 11. \[説明\] ボックスに「バックエンド サーバー上の着信方向 TCP 80 トラフィックに一致するフィルタ」と入力します。 12. \[追加\] をクリックし、\[次へ\] をクリックします。 13. \[発信元アドレス\] ドロップダウン リスト ボックスに \[このコンピュータの IP アドレス\] が表示されていることを確認し、\[次へ\] をクリックします。 14. \[宛先アドレス\] ドロップダウン リスト ボックスに \[このコンピュータの IP アドレス\] が表示されていることを確認し、\[次へ\] をクリックします。 15. \[プロトコルの種類の選択\] ドロップダウン リスト ボックスで、\[TCP\] を選択し、\[次へ\] をクリックします。 16. \[IP プロトコル ポートの設定\] で、\[任意の発信ポート\] が選択されていることを確認し、\[次の宛先ポート\] を選択し、「80」と入力します。 17. \[次へ\] をクリックして、\[完了\] をクリックします。 18. \[閉じる\] をクリックして \[IP フィルタ一覧\] ウィンドウを閉じます。 - **IP** **セキュリティポリシーを作成してフィルタを適用し、操作を指定するには** 1. \[Active Directory の IP セキュリティ ポリシー\] を右クリックして、\[IP セキュリティ ポリシーの作成\] を選択し、\[次へ\] をクリックします。 2. \[名前\] ボックスに「TCP 80 トラフィックの暗号化‐ BE」と入力して、\[次へ\] をクリックします。 3. \[既定の応答規則をアクティブにする\] が選択されていることを確認し、\[次へ\] をクリックします。 4. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] が選択されていることを確認し、\[次へ\] をクリックします。 5. \[プロパティを編集する\] が選択されていることを確認し、\[完了\] をクリックします。 6. \[規則\] タブで、\[追加\] をクリックし、\[次へ\] をクリックします。 7. \[この規則ではトンネルを指定しない\] が選択されていることを確認し、\[次へ\] をクリックします。 8. \[すべてのネットワーク接続\] が選択されていることを確認し、\[次へ\] をクリックします。 9. \[Windows 2000 既定値 (Kerberos V5 プロトコル)\] が選択されていることを確認し、\[次へ\] をクリックします。 10. \[IP フィルタ一覧\] から \[着信方向 TCP 80 ‐ BE\] を選択し、\[次へ\] をクリックします。 11. \[フィルタ操作\] ボックスで、\[暗号化\] をクリックし、\[次へ\] をクリックします。 12. \[プロパティを編集する\] の選択が解除されていることを確認し、\[完了\] をクリックします。 13. \[閉じる\] をクリックします。 - **グループポリシーに着信方向フィルタを適用するには** 1. グループ ポリシーの内容ウィンドウで、\[TCP 80 トラフィックの暗号化\] を右クリックして、\[割り当て\] をクリックします。 2. \[グループ ポリシー\] を閉じ、\[OK\] をクリックします。 - **バックエンドサーバーにグループポリシーを適用するには** 1. OWA フロントエンド サーバー上でコマンド プロンプトを開きます。 2. 「secedit /refreshpolicy machine\_policy /enforce」と入力し、**Enter** キーを押します。 3. サーバーを再度起動します。 **注:** ローカル コンピュータごとに IPSec 設定を適用することもできます。このように適用すると、ドメイン コントローラからグループ ポリシーにアクセスできなくなった場合でも、各コンピュータで IPSec を使用できます。 **IP** **セキュリティ接続を監視する** IPSec を構成し終えた後、IPSec 関連のイベントを監査し、IP セキュリティ モニタ ツールを使用して IPSec が正しく機能しているかどうかを確認することをお勧めします。 - **IP** **セキュリティモニタツールを起動して構成するには** 1. OWA フロントエンドまたはバックエンド サーバー上で、\[スタート\] ボタンをクリックし、\[ファイル名を指定して実行\] をクリックします。\[開く\] ボックスに「ipsecmon」と入力し、IP セキュリティ モニタ ツールを起動します。 2. \[オプション\] をクリックし、\[更新間隔の秒数\] 値を 15 から 1 に変更します。 3. \[OK\] をクリックします。 - **IPSec** **が正しく構成されていることを確認するには** 1. ユーザーに OWA を使って電子メールを送信させ、OWA フロントエンド サーバーとバックエンド サーバー間にトラフィックを発生させます。 2. IP セキュリティ モニタに切り替えて、OWA フロントエンド サーバーとバックエンド サーバー間のトラフィックが暗号化されていることを確認します。 **注:** IPSec の詳細については、「関連情報」セクションに記載されている「Step-by-Step Guide to Internet Protocol Security (IPSec)」(英語) を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### SMTP 通信のセキュリティを強化する SMTP は、Exchange サーバー間およびインターネット上でのメール トランスポートに使用されるため、すべての Exchange バックエンドサーバー上で稼動します。ここでは、組織が攻撃にさらされるリスクを最小限に抑えながら、ネットワークに SMTP 通信を実装するうえでの指針を示します。 #### ISA Server を使用して SMTP のセキュリティを強化する OWA フロントエンド サーバーの場合と同様に、ISA Server の機能を使用すると、内部ファイアウォール上で開放するポートの数を最小化することができます。これを行うには、ISA Server の公開機能を使用して SMTP サーバーを公開し、Exchange サーバー自体はファイアウォールの内側に配置します。ISA Server は、実際にはファイアウォールの内側に存在する SMTP サーバーをあたかもファイアウォール外のサーバーのように偽装します。Exchange サーバーを境界ネットワーク内に配置する必要はありません。 **注:** この構成の場合、SMTP サーバーに対応する外部 DNS エントリからは、SMTP サーバーのアドレスではなく、ISA Server 上で公開されている IP アドレスを参照する必要があります。 **注:** 既存の二重ファイアウォール インフラストラクチャを ISA Server による偽装に対応した構成に変更できない場合は、ISA Server を現在の内部ファイアウォールの内側に配置し、TCP ポート 25 を ISA Server に開放することで対処できます。 **注:** ポート 25 を通じて何らかの認証を実装する場合は、SMTP に対して SSL 認証を有効にする必要があります。 **注:** ISA Server が ISA アレイのメンバになっている場合、ISA Server 上で発信 SMTP を公開することはできません。 ##### メッセージ スクリーナでコンテンツ フィルタを使用する コンテンツ フィルタ機能では、ポート 25 で着信トラフィックを受け付けてチェックし、ルールに一致している場合にのみトラフィックを通過させる SMTP フィルタを有効にします。このフィルタでは、送信者のユーザー名とドメイン名、添付ファイル、またはキーワードに基づいて、メッセージを受け付けるか拒否するかを決定でき、バッファ オーバーフロー攻撃への保護対策も用意されています。ただし、SMTP フィルタの全機能を使用するには、メッセージ スクリーナもインストールしておく必要があります。 メッセージ スクリーナは、ISA Server に用意されているユーティリティです。メッセージ スクリーナは、さまざまな構成でインストールできますが、IIS が稼動しているサーバー上にメッセージ スクリーナを SMTP 仮想サーバーと共に配置するのが最もセキュリティの高い構成になります。この仮想サーバーは、Exchange と通信して電子メールを送受信することになります。この構成には、Exchange サーバーを内部ネットワークのエッジからさらに分離できるという利点があります。 **注:** メッセージ スクリーナの展開については、マイクロソフト サポート技術情報の 315132「HOW TO: Configure SMTP Message Screener in ISA Server 2000」(英語) を参照してください。詳細については、このモジュールの最後の「関連情報」セクションを参照してください。 #### SMTP のセキュリティ強化のための付加的な対策 ISA Server を通じて SMTP を公開し、SMTP フィルタとメッセージ スクリーナを併用すると、Exchange SMTP サーバーを保護するための効果的な対策となりますが、次のような付加的な対策も検討してください。 ##### 別個の SMTP ゲートウェイを使用する 多層防御戦略の一環として、Exchange バックエンドサーバーを SMTP 攻撃から保護するために、ネットワーク内に別の SMTP ゲートウェイを配置することが考えられます。インターネットから着信したすべてのメールは、このゲートウェイ サーバーを通過したうえで、各 Exchange サーバーに到着することになります。このサーバーは Windows 2000 ドメインに所属しないものとします。したがって、このサーバーでは Exchange を実行しません。これにより、ハッカーが外部から SMTP を使用して Exchange サーバーを攻撃しようとしても、最初に別個の SMTP サーバーを突破しなければならなくなります。攻撃への防御として SMTP サーバーを停止すると、インターネットで電子メールを送信することはできなくなりますが、内部メールは引き続き送信可能になります。ウイルス対策ソフトウェアをこのゲートウェイ サーバーで実行させることも考えられます。 **注:** SMTP 仮想サーバーのインストールと構成の詳細については、マイクロソフト サポート技術情報の 308161「\[HOW TO\] Windows 2000 での SMTP 仮想サーバーのセットアップと構成」を参照してください。 ##### メール中継 (リレー) を禁止する メール中継 (リレー) 処理では、メールを転送途中のサーバーで受け付けて、他のサーバー上の受信者に再送信します。合法的な手段として使用できます。たとえば、移動ユーザーがネットワーク外から SMTP サーバーに接続してメールを送信できます。 ネットワーク外部からの中継処理を制限付きで許可すれば、実際に行われる操作を制限でき、中継を必要としているユーザーだけを認証することができます。認証は、既定の設定で有効化されます。SMTP 中継処理の規制を緩和しすぎると、SMTP サーバーを通過するメールの量が急増し、環境のパフォーマンスに悪影響が及ぶと共に、インターネットから送信されてくる迷惑メールも多くなります。また、外部から正当にアクセスしてメールを送信しているユーザーでも、スパム メールのブロックリストに登録されてしまい、メールを宛先に送信できなくなる可能性があります。 正当な目的で行うメール中継処理であっても、メール サーバーに問題を引き起こす可能性があります。メール サーバーが認証済み要求を受け付けるという事実は、ハッカーがサーバーに辞書攻撃を仕掛けるときに悪用されます。 サーバーを保護するには、中継処理を可能な限り無効化することが効果的なアプローチの 1 つとなります。メールの送信については、OWA を使用すれば、外部のユーザーが SMTP サーバーに直接接続する必要はありません。 Exchange サーバーをメール中継処理から保護するには、内部 SMTP 仮想サーバーに次のような対策を加えることを検討してください。 - SMTP サーバーに対しては匿名接続だけを許可します。 - 認証に成功したコンピュータによる中継を禁止します。 - 特定の IP アドレスからの SMTP 接続だけを許可します。 ゲートウェイの SMTP サーバーでは、これらの制限を若干緩和する必要があります。実際の設定は、メッセージ フローと ISP のメール サーバーの構成によって異なります。ただし、セキュリティを強化するための最も効果的な方法は、システムを完全にロック ダウンして、中継を禁止し、電子メールを正常に転送できる必要最小限の設定を確立することです。 **注:** 認証済みコンピュータに対して SMTP が必要になるのは、IMAP および POP3 をサポートする場合です。これらのプロトコルを有効化するのであれば、これらのトラフィック用に別個の仮想サーバーを用意し、その仮想サーバーを SSL で保護することを検討してください。 **注:** Exchange における不要な SMTP 中継処理の防止の詳細については、Microsoft TechNet の「Microsoft Exchange による SMTP 中継処理の制御」およびマイクロソフト サポート技術情報の 319356「\[HOW TO\] Exchange 2000 Server で不要な広告電子メールを防ぐ方法」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約 Exchange のデータ フローのセキュリティを強化する対策を講じない限り、Exchange のセキュリティが最大限のレベルに達していると考えることはできません。このことは、特に、インターネット上で OWA へのアクセスを許可する場合に重要なポイントになります。セキュリティが確立されていないと、インターネット上でも内部ネットワークの内側でもパスワードがクリア テキストとして送信されることになるからです。このモジュールに示したガイドラインを役立てて、Exchange 通信のセキュリティを強化してください。 #### 関連情報 「Microsoft ISA Server 2000 - Microsoft Exchange 2000 サーバーおよびクライアントの構成とセキュリティ保護」