Exchange 2003 で SMTP クライアントのメッセージ配信をセキュリティ保護する方法

文書翻訳 文書翻訳
文書番号: 823019 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、受信クライアントから Exchange 2003 コンピュータへの SMTP (Simple Mail Transfer Protocol) 接続のセキュリティ設定を構成する方法について説明します。これによって、ユーザーを認証できるようになり、重要な情報が含まれる可能性のあるメッセージを取得するときに、ユーザー名、パスワード、またはメッセージの内容が他者に読み取られる危険を回避できます。場合によっては、POP3 (Post Office Protocol v.3) または IMAP4 (Internet Message Access Protocol) を使用して Exchange 2003 コンピュータに接続する必要のあるユーザーが存在することもあります。これらのプロトコルは、両方ともメッセージの配信に SMTP を使用します。

: Exchange 2003 のデフォルトのインストールでは、サーバーに接続する POP3 クライアントまたは IMAP4 クライアントで追加のオプションを設定する必要はありません。この資料では、いくつかのデフォルトのセキュリティ設定について説明し、Exchange 2003 で使用可能な追加のオプションに関する情報を提供します。

注意事項

次について考慮する必要があります。

追加の SMTP 仮想サーバーの作成



受信クライアント接続で使用する新しい SMTP 仮想サーバーを作成する必要があります。

接続制御



接続制御は、IP アドレスやドメイン名に基づいて接続を制限する機能であり、DNS (Domain Name System) 逆引き参照も利用できます。接続制御オプションでは、パスワードやメッセージ データは暗号化されません。

アクセス制御



アクセス制御では、基本認証、匿名認証、または統合 Windows 認証 (以前は NTLM または Windows NT チャレンジ/レスポンス認証と呼ばれていました) のいずれかを構成できます。基本認証ではユーザー名とパスワードがクリア テキストで送信されるため、安全ではありません。ユーザー名とパスワードの暗号化を有効にするには、TLS (Transport Layer Security) で基本認証を使用するか、統合 Windows 認証を使用します。TLS では、SSL (Secure Sockets Layer) と同様に、ユーザー名、パスワード、およびメッセージ データが暗号化されます。統合 Windows 認証は、クライアント コンピュータから Windows ベースのドメイン コントローラに接続して資格情報を検証できる場合にのみ機能することに注意する必要があります。ほとんどのファイアウォール構成では、この接続は行われません。ただし、ログオン セッションでインターネット上をスキャンすることがない場合、SMTP アクセスの内部実装としては統合 Windows 認証を使用できるようになっています。

暗号化



セキュリティが強化された通信では、ユーザー名、パスワード、メッセージ データも含めて、SMTP セッションが SSL 暗号化によって暗号化されます。Exchange 2003 への SMTP 接続がインターネットのようなパブリック ネットワークを越える場合は、すべての SMTP 接続で SSL を使用することをお勧めします。この場合は、SMTP 仮想サーバーに証明書をインストールする必要があります。証明書をインストールするには、外部の証明機関を使用するか、または Microsoft Active Directory ディレクトリ サービス フォレストに証明書サービスをインストールします。

中継の制御



デフォルトでは、Exchange 2003 で SMTP 仮想サーバーを作成すると、電子メール メッセージの中継を回避する構成になります。POP3 クライアントまたは IMAP4 クライアントに中継のアクセス許可がない場合は、ユーザーが SMTP 仮想サーバーを経由して外部ドメインに SMTP メールを送信することはできません。しかし、メッセージを中継できるようにすると、SMTP 仮想サーバーが迷惑な商業電子メール メッセージ (ジャンク電子メール メッセージ) の送信に利用されるおそれがあります。デフォルトの中継の設定では、認証されたクライアントだけが SMTP 仮想サーバーを経由してメッセージを中継できるようになっています。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
319278 HOW TO: Secure Internet Message Access Protocol Client Access in Exchange 2000
319278 [HOWTO] Exchange 2000 で IMAP クライアントのアクセスをセキュリティを保護する方法

新しい SMTP 仮想サーバーを作成する方法

  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。
  2. [管理グループ] (該当する場合) を展開し、[<管理グループ>]、[サーバー]、[<サーバー名>]、[プロトコル] の順に展開します。
  3. [SMTP] を右クリックし、[新規作成] をポイントして、[SMTP 仮想サーバー] をクリックします。
  4. [名前] ボックスに仮想サーバー名を入力し、[次へ] をクリックします。
  5. 使用する IP アドレスをクリックし、[完了] をクリックします。
  6. SMTP 仮想サーバーを作成したら、新しい仮想サーバーで正しい完全修飾ドメイン名 (FQDN) が使用されていることを確認します。この場合、以下の手順を実行します。
    1. 作成した SMTP 仮想サーバーを右クリックし、[プロパティ] をクリックします。
    2. [配信] タブをクリックして、[詳細設定] をクリックします。
    3. [完全修飾ドメイン名] ボックスに入力されているドメイン名が、ユーザーがクライアント ソフトウェアを構成するときに入力する名前と一致することを確認します。ユーザーは、この名前を使用して接続し、SMTP メールを配信します。ドメイン名が正しく解決されることを確認するには、[DNS の確認] をクリックします。
    4. [OK] を 2 度クリックします。
: クライアントからインターネット経由でアクセスされる SMTP 仮想サーバーを構成する場合は、その SMTP 仮想サーバーの FQDN が外部インターネット アドレスに解決されなければならないため、外部 DNS サーバーの構成が必要になることがあります。これを行うには、[詳細設定 (配信)] ダイアログ ボックスで [構成] をクリックし、[追加] をクリックして、外部 DNS サーバーの IP アドレスを入力します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
326992 Outgoing SMTP Mail Messages Are Not Sent
326992 [XFOR] 送信 SMTP メール メッセージが送信されない


IP アドレスの制限を構成する方法

IP アドレスの制限を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。
  2. [管理グループ] を展開し (該当する場合)、[<管理グループ>]、[サーバー]、[<サーバー名>]、[プロトコル] の順に展開します。
  3. [SMTP] を展開し、[既定の SMTP 仮想サーバー] を右クリックして、[プロパティ] をクリックします。
  4. [アクセス] タブをクリックして、[接続] をクリックします。
  5. [接続] ダイアログ ボックスで、[以下のリストに含まれるコンピュータのみ] をクリックします。

    この手順を実行すると、リスト内の IP アドレスおよびドメインのみが SMTP 仮想サーバーに接続できるようになります。
  6. 状況に応じて、1 台のコンピュータ、コンピュータのグループ、またはドメインを追加するには、[追加] をクリックし、次のいずれかの操作を行います。
    • 1 台のコンピュータを追加するには、[1 台のコンピュータ] をクリックし、ISP (Internet Service Provider) の電子メール メッセージ サーバーの IP アドレスを [IP アドレス] ボックスに入力して、[OK] をクリックします。

      または、[DNS の参照] をクリックし、ホスト名を入力して、[OK] をクリックします。
    • コンピュータのグループを追加するには、[複数のコンピュータ] をクリックし、グループのサブネット アドレスおよびサブネット マスクを対応するボックスに入力して、[OK] をクリックします。

      ISP が警告なしに電子メール メッセージ サーバーの IP アドレスを変更する可能性がある場合は、このオプションを使用することをお勧めします。
    • ドメインを追加するには、[ドメイン] をクリックし、使用するドメイン名を [名前] ボックスに入力して、[OK] をクリックします。

      このオプションを使用すると、受信接続ごとに DNS 逆引き参照を実行する必要が生じるため、注意が必要です。これにより、Exchange サーバーのパフォーマンスに悪影響が生じることがあります。詳細については、この資料の最後にある「トラブルシューティング」を参照してください。

アクセス制御を構成する方法

アクセス制御を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。
  2. [管理グループ] を展開し (該当する場合)、[<管理グループ>]、[サーバー]、[<サーバー名>]、[プロトコル] の順に展開します。
  3. [SMTP] を展開し、SMTP 仮想サーバーを右クリックして、[プロパティ] をクリックします。
  4. [アクセス] タブをクリックして、[認証] をクリックします。

    デフォルトでは、匿名アクセスが無効にされ、基本認証と統合 Windows 認証が有効にされています。基本認証を TLS 暗号化または統合 Windows 認証で使用するように SMTP 仮想サーバーを構成し、[OK] をクリックします。
: SMTP クライアント ソフトウェアの [セキュリティで保護されたパスワード認証でログオンする] オプションを使用してログオンすることもできます。この場合、Microsoft Outlook Express で次の手順を実行します。
  1. Outlook Express を起動します。
  2. [ツール] メニューの [アカウント] をクリックします。
  3. [メール] タブをクリックして、該当するアカウントをクリックし、[プロパティ] をクリックします。
  4. [サーバー] タブをクリックし、[セキュリティで保護されたパスワード認証でログオンする] チェックボックスをオンにします。[OK] をクリックして、[閉じる] をクリックします。
    セキュリティで保護されたパスワード認証では、ユーザー名とパスワードは暗号化されますが、メッセージ データは暗号化されません。

暗号化を構成する方法

暗号化を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。
  2. [管理グループ] を展開し (該当する場合)、[<管理グループ>]、[サーバー]、[<サーバー名>]、[プロトコル] の順に展開します。
  3. [SMTP] を展開し、SMTP 仮想サーバーを右クリックして、[プロパティ] をクリックします。
  4. [アクセス] タブをクリックし、[証明書] をクリックします。Web サーバー証明書ウィザードが起動します。
  5. [次へ] をクリックします。
  6. ウィザードの残りのページの指示に従い新しい証明書を作成するか、既存の証明書を使用します。
証明書がサーバーにインストールされたら、通信方法を構成します。この場合、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。
  2. [管理グループ] を展開し (該当する場合)、[<管理グループ>]、[サーバー]、[<サーバー名>]、[プロトコル] の順に展開します。
  3. [SMTP] を展開し、SMTP 仮想サーバーを右クリックして、[プロパティ] をクリックします。
  4. [アクセス] タブをクリックして、[通信] をクリックします。
  5. [セキュリティ保護されたチャネルを要求] チェック ボックスをオンにします。
  6. Exchange 2003 コンピュータとクライアントの両方で 128 ビット暗号化がサポートされている場合は、[128 ビット暗号化を要求] をクリックします。
  7. [OK] を 2 度 クリックします。
  8. SMTP 仮想サーバーを停止して再起動します。
クライアントが Outlook Express を使用している場合、SSL を使用するように Outlook Express を構成します。この場合、以下の手順を実行します。
  1. Outlook Express を起動します。
  2. [ツール] メニューの [アカウント] をクリックします。
  3. [メール] タブをクリックします。
  4. Exchange Server のメール アカウントをダブルクリックし、[詳細設定] タブをクリックします。
  5. [送信メール (SMTP)] の [このサーバーはセキュリティで保護された接続 (SSL) が必要] チェック ボックスをオンにします。
  6. [OK] をクリックして、[閉じる] をクリックします。

中継を構成する方法

中継を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。
  2. [管理グループ] を展開し (該当する場合)、[<管理グループ>]、[サーバー]、[<サーバー名>]、[プロトコル] の順に展開します。
  3. [SMTP] を展開し、SMTP 仮想サーバーを右クリックして、[プロパティ] をクリックします。
  4. [アクセス] タブをクリックして、[中継] をクリックします。

    デフォルトの設定では、認証されたクライアントによるメッセージの中継が許可されます。適切な資格情報を持つクライアントのみに対して SMTP 仮想サーバーを経由してのメッセージ中継を許可する場合は、通常はこれらの設定で十分です。中継のアクセス許可は、単一の IP アドレス、IP アドレスの範囲、または DNS サフィックスによって制限することもできます。
  5. [OK] をクリックします。

SMTP 仮想サーバーの設定が正しく構成されていることを確認する方法

SMTP 仮想サーバーの設定が正しく構成されていることを確認するには、次の手順を実行します。
  • IP の制限が正しく機能することを確認するには POP3 クライアントと IMAP4 クライアントを使用して、除外されている IP アドレスから接続を行います。IP の制限が正しく構成されている場合、サーバーへの接続が拒否されたことを示すメッセージが表示されます。
  • 認証の暗号化を確認するには、次の手順を実行します。
    1. Exchange 2003 コンピュータでネットワーク モニタを実行します。その Exchange 2003 コンピュータで受信されるトラフィックをキャプチャしている間に、クライアントからデフォルトの認証設定を使用して SMTP セッションを開始します。
    2. SMTP セッションを確認し、クライアントからサーバーのポート 25 (0019h) に送信されるパケットを記録します。

      ユーザーのログオン名とパスワードがクリア テキストで送信されます。
    3. 基本認証のサポートを削除し、セキュリティで保護されたパスワード認証を要求するようにクライアントを構成します。クライアントから別の SMTP セッションを開始し、ネットワーク モニタでトラフィックをキャプチャします。

      ユーザー アカウントとパスワードが暗号化されます。
  • SSL 暗号化を確認するには、次の手順を実行します。
    1. 証明書を追加し、SMTP 仮想サーバーで設定を構成して、セキュリティが強化されたチャンネルが要求されるようにします。次に、SSL が使用されるようにクライアントを構成します。
    2. ネットワーク モニタを起動してキャプチャを実行し、クライアントから SMTP メールの収集セッションを開始します。
    3. キャプチャを停止して、送信されたパケットを調べます。

      クライアントからサーバーへのパケットのうち、宛先がポート 25 (0019h) のパケットがすべて暗号化されます。
    : POP3 または IMAP4 によるメールの収集に対して暗号化を有効にしていない場合は、クライアントからポート 110 (006Eh) またはポート 143 (008Fh) に送信されたパケットの一部が暗号化されないことがあります。
  • 中継の制限が機能していることを確認するには、除外されている IP アドレスから外部ドメインにメールを送信します。受信者のアドレスに対して中継できなかったことを示すエラー メッセージがユーザーに返されます。

トラブルシューティング

DNS 参照に基づいて IP アドレスを制限すると、Exchange 2003 コンピュータのパフォーマンスに悪影響が及ぶことがあります。Exchange 2003 サーバーでは受信接続ごとに DNS 逆引き参照が実行されるため、DNS 逆引き参照ゾーンが利用可能な状態にあり、そのゾーンに送信ホストが登録されている必要があります。

関連情報

Exchange Server 2003 の詳細については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/exchange/library

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 823019 (最終更新日 2003-07-09) を基に作成したものです。

プロパティ

文書番号: 823019 - 最終更新日: 2007年11月26日 - リビジョン: 1.2
この資料は以下の製品について記述したものです。
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
キーワード:?
kbhowto KB823019
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com