[HOWTO] Exchange 2000 で IMAP クライアントのアクセスをセキュリティを保護する方法

この記事は、以前は次の ID で公開されていました: JP319278
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
この資料では、Exchange 2000 コンピュータへの受信 IMAP4 (Internet Message Access Protocol) 接続のセキュリティを構成する方法について詳しく説明します。これによって、ユーザーを認証できるようになり、重要な情報が含まれる可能性のあるメッセージを取得するときに、ユーザー名、パスワード、またはメッセージの内容が他者に読み取られる危険を回避できます。

場合により、IMAP4 を使用して Exchange 2000 コンピュータに接続する必要のあるユーザーが存在することがあります。一般に、帯域幅に制限がある場合、またはファイアウォールによってポートが制限されている場合に、POP3 (Post Office Protocol v.3) 接続の使用時よりも大きな柔軟性が必要なときは、IMAP4 接続を使用します。ただし、POP3 と同様に、IMAP4 による認証とメッセージ転送では、読み取られる可能性のあるクリア テキストのコマンドが使用されます。

先頭に戻る

必要条件

次の一覧は、推奨する必要なハードウェア、ソフトウェア、ネットワーク インフラストラクチャ、および Service Pack です。
  • Microsoft Windows 2000 Server および Service Pack 2 (SP2)
  • Active Directory
  • ドメイン内の Windows 2000 ベースのメンバ サーバーにインストールされた Exchange Server 2000 および Service Pack 1 (SP1)
  • Outlook Express Version 5.0 以降などの IMAP4 クライアント
この資料は、次のトピックについて詳しい知識のある読者を対象としています。
  • Exchange システム マネージャ
  • TCP/IP の構成に関する問題
  • SSL (Secure Sockets Layer) や暗号化などのセキュリティの概念
  • セキュリティ証明書
  • ネットワーク モニタによるキャプチャ
先頭に戻る

セキュリティ レベルを計画する方法

IMAP4 仮想サーバーの構成を開始する前に、実装するセキュリティ レベルを検討する必要があります。IMAP4 のセキュリティは、大きく次の 3 つのレベルで構成できます。
  • 接続制御

    接続制御は、インターネット プロトコル (IP) アドレスやドメイン名に基づいて接続を制限する機能であり、DNS 逆引き参照も利用できます。このセキュリティ レベルは、受信接続の IP アドレスを保証できる場合にのみ使用される基本的なレベルです。このセキュリティ レベルでは、パスワードやメッセージ データは暗号化されません。ただし、このレベルを他のセキュリティ設定と組み合わせて使用できます。
  • アクセス制御

    アクセス制御では、基本認証または統合 Windows 認証 (NTLM 認証) のどちらかを構成できます。基本認証ではクリア テキストのユーザー名とパスワードが使用されるため、この種類の認証は無効にすることをお勧めします。基本認証を無効にした場合は、セキュリティで保護されたパスワード認証を使用してログオンするように IMAP4 クライアント ソフトウェアを設定する必要があります。Microsoft Outlook Express では、アカウントのプロパティの [サーバー] タブをクリックして、セキュリティで保護されたパスワード認証を有効にします。セキュリティで保護されたパスワード認証では、ログオン セッションだけが暗号化され、メッセージ本文は暗号化されません。

    : 統合 Windows 認証は、クライアント コンピュータからドメイン コントローラに接続して資格情報を検証できる場合にのみ機能します。ほとんどのファイアウォール構成では、この条件は認められず、これを許容するのも望ましくありません。ただし、ログオン セッションでインターネット上をスキャンすることがない場合、IMAP4 アクセスの内部実装としては NTLM 認証を使用できるようになっています。
  • セキュリティで保護された通信

    セキュリティで保護された通信では、ログオン シーケンスやメッセージ本文の転送も含めて、IMAP4 セッション全体が SSL 暗号化によってエンコードされます。Exchange 2000 への IMAP4 接続がインターネットのようなパブリック ネットワークを越える場合は、すべての IMAP4 接続で SSL を使用することをお勧めします。この場合は、IMAP4 仮想サーバーに証明書をインストールする必要があります。証明書をインストールするには、外部の証明機関を使用するか、または Active Directory フォレストに証明書サービスをインストールします。
: IMAP4 プロトコルを暗号化すると、Exchange 2000 の IMAP4 仮想サーバーからメールを収集するときにのみセッションが保護されます。ただし、SMTP (Simple Mail Transfer Protocol) によるメッセージ配信は暗号化されません。そこで、SMTP によるメッセージ配信を暗号化するための対処も行うことをお勧めします。SMTP メッセージ配信を暗号化する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
319267 HOW TO: Secure Simple Message Transfer Protocol Client Message Delivery
先頭に戻る

IMAP4 仮想サーバー オブジェクトにアクセスする方法

  1. [スタート] ボタンをクリックし、[プログラム] をポイントします。次に [Microsoft Exchange] をポイントし、[システム マネージャ] をクリックします。
  2. 左ペインで [サーバー] をクリックします。
  3. 構成するサーバーをクリックし、[プロトコル] をクリックして、[IMAP4] をクリックします。
  4. [既定の IMAP4 仮想サーバー] を右クリックし、[プロパティ] をクリックします。
  5. [アクセス] タブをクリックして、アクセス制御の設定を構成します。
先頭に戻る

IP アドレスの制限を構成する方法

  1. 既定の IMAP4 仮想サーバーのプロパティを開きます。

    そのためには、前のセクションの手順に従います。
  2. [アクセス] タブをクリックし、[接続] をクリックします。
  3. [以下のリストに含まれるコンピュータのみ] をクリックします。

    この手順を実行すると、リスト内の IP アドレスおよびドメインだけが IMAP4 仮想サーバーに接続できるようになります。このリストにアイテムを追加するには、次のいずれかの方法を使用します。
    • 単一の IP アドレスを 1 つずつ追加する。そのためには、ホスト名を入力し、[DNS の参照] をクリックして、入力した名前を自動的に IP アドレスに解決します。常に固定 IP アドレスから接続するリモート ユーザーがいて、それらのアドレスが連続していない場合は、この方法を使用します。
    • アドレス範囲を追加する。たとえば、131.107.2.0 とサブネット マスク 255.255.255.0 を指定します。255.255.255.252 のようなサブネット マスクを使用すると、許可するホストを 6 つの IP アドレスの範囲に制限できます。
    • ドメインを基に制限を設定する。たとえば、contoso.com からの接続だけを許可するように接続を制限できます。ただし、この方法を使用すると、受信接続ごとに DNS 逆引き参照を実行する必要が生じるため、Exchange 2000 コンピュータのパフォーマンスに悪影響が及ぶことがあります。詳細については、この資料の最後にある「トラブルシューティング」を参照してください。
  4. [OK] をクリックして IP アドレスの制限を適用します。
先頭に戻る

アクセス制御を構成する方法

  1. 既定の IMAP4 仮想サーバーのプロパティを開きます。
  2. [アクセス] タブをクリックし、[認証] をクリックします。

    デフォルトでは、[基本認証] と [統合 Windows 認証] の両方がオンになっています。使用する環境で Windows 認証がサポートされている場合は、[基本認証] チェック ボックスをオフにできます。[OK] をクリックして変更を適用します。
  3. Outlook Express を起動し、IMAP4 アカウントの設定を構成して、セキュリティで保護されたパスワード認証が使用されるようにします。そのためには、次の手順に従います。
    1. [ツール] メニューの [アカウント] をクリックします。
    2. [メール] タブをクリックし、IMAP4 メール アカウントをダブルクリックします。
    3. [サーバー] タブをクリックし、[セキュリティで保護されたパスワード認証でログオンする] チェック ボックスをクリックしてオンにします。
  4. [OK] をクリックし、[閉じる] をクリックします。
先頭に戻る

セキュリティで保護された通信を構成する方法 (パート 1)

  1. 既定の IMAP4 仮想サーバーのプロパティを開きます。
  2. [アクセス] タブをクリックし、[証明書] をクリックします。
  3. IIS のサーバー証明書ウィザードが起動したら、[証明書の新規作成] または [既存の証明書を使用] のどちらかをクリックし、[次へ] をクリックします。
  4. 証明機関 (CA) がインストールされている場合は、[オンライン証明機関に直ちに要求を送信する] をクリックします。

    CA がインストールされていない場合は、[証明書の要求を作成して後で送信する] をクリックし、[次へ] をクリックします。
  5. オンライン CA に要求を送信する場合は、要求に適切な名前を付けるか、または "既定の IMAP4 仮想サーバー" というデフォルトの名前を受け入れます。ビット長を入力し、[次へ] をクリックします。

    : キーの長さを大きくすると、パフォーマンスに影響が及びます。
  6. 組織と部門の情報を適切なボックスに入力し、[次へ] をクリックします。これらの情報は、証明書の要求先の CA に渡されます。
  7. サイトの一般名を入力し、[次へ] をクリックします。

    : インターネットからのアクセスを許可する場合は、外部から解決できる完全修飾ドメイン名 (FQDN) を使用する必要があります。
  8. 国、都道府県、および市区町村を適切なボックスに入力し、[次へ] をクリックします。これらの情報は CA に渡されます。
  9. 手順 4. でオンライン CA に直ちに要求を送信するように選択した場合は、組織の CA が表示されていることを確認し、[次へ] をクリックします。

    手順 4. で要求を作成して後で送信するように選択した場合は、デフォルトの証明書要求ファイル名を受け入れるか、または別のファイルに保存して、[次へ] をクリックします。
  10. [証明書の要求の提出] の情報を確認し、[次へ] をクリックします。
  11. [完了] をクリックします。
先頭に戻る

セキュリティで保護された通信を構成する方法 (パート 2)

サーバーに証明書をインストールしたら、セキュリティで保護された通信が要求されるようにします。
  1. 既定の IMAP4 仮想サーバーのプロパティを開きます。
  2. [アクセス] タブをクリックし、[通信] をクリックします。
  3. [セキュリティ保護されたチャネルを要求] チェック ボックスをクリックしてオンにします。
  4. Exchange 2000 コンピュータとクライアントの両方で 128 ビット暗号化がサポートされている場合は、[128 ビット暗号化を要求] をクリックします。
  5. [OK] をクリックした後、もう一度 [OK] をクリックします。
  6. Exchange 2000 IMAP4 サービスを停止して再起動します。
  7. Outlook Express を起動し、[ツール] メニューの [アカウント] をクリックして、[メール] タブをクリックします。
  8. Exchange Server のメール アカウントをダブルクリックし、[詳細設定] タブをクリックして、[このサーバーはセキュリティで保護された接続 (SSL) が必要] をクリックします。

    受信メール (IMAP4) のポート番号が 143 から 993 に変更されます。
  9. [OK] をクリックし、[閉じる] をクリックします。
先頭に戻る

IMAP4 のセキュリティが正しく構成されていることを確認する方法

  • IP の制限が期待どおりに機能することを確認するには、有効なユーザー名を使用して、除外されている IP アドレスから接続を試みます。

    サーバーへの接続が拒否されたことを示すメッセージが表示されます。
  • 認証が暗号化されることを確認するには、次の手順に従います。
    1. Exchange 2000 コンピュータでネットワーク モニタを実行します。その Exchange 2000 コンピュータで受信されるトラフィックをキャプチャしている間に、クライアントからデフォルトの認証設定を使用して IMAP4 セッションを開始します。
    2. IMAP4 セッションを調べ、クライアントからサーバーのポート 143 (008Fh) に送信されるパケットを確認します。

      ユーザーのログオン名とパスワードがクリア テキストで送信されます。
    3. 基本認証のサポートを削除し、セキュリティで保護されたパスワード認証を要求するようにクライアントを構成します。クライアントから別の IMAP4 セッションを開始し、ネットワーク モニタでトラフィックをキャプチャします。

      ユーザー アカウントとパスワードの詳細が暗号化されます。
  • 完全な SSL 暗号化を確認するには、次の手順に従います。
    1. 証明書を追加し、IMAP4 仮想サーバーで設定を構成して、セキュリティで保護されたチャネルが要求されるようにします。次に、SSL が使用されるようにクライアントを構成します。
    2. ネットワーク モニタを起動してキャプチャを実行し、クライアントから IMAP4 メールの収集セッションを開始します。
    3. キャプチャを停止し、送信されたパケットを調べます。

      クライアントからサーバーへのパケットのうち、宛先がポート 993 (03E1h) のパケットがすべて暗号化されます。
: SMTP によるメール配信に対して暗号化を有効にしていない場合は、クライアントからポート 25 (0019h) に送信されたパケットの一部が暗号化されないことがあります。

IMAP4 のセキュリティが正しく構成されていることを確認したら、IMAP4 クライアント用の SMTP 配信をセキュリティで保護するように構成することをお勧めします。SMTP メール配信の暗号化の方法に関する詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
319267 HOW TO: Secure Simple Message Transfer Protocol Client Message Delivery in Exchange 2000
先頭に戻る

トラブルシューティング

DNS 参照に基づいて IP アドレスを制限すると、Exchange 2000 コンピュータのパフォーマンスに悪影響が及ぶことがあります。Exchange 2000 コンピュータでは受信接続ごとに DNS 逆引き参照が実行されるため、有効な DNS 逆引き参照ゾーンが利用可能な状態にあり、そのゾーンに IMAP4 クライアントが登録されている必要があります。受信 IMAP4 接続の数が多い場合は、DNS 逆引き参照を無効にすることを検討する必要があります。逆引き参照ゾーンの設定に関する詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
251509 XFOR: Cannot Restrict Access by Domain Name if DNS Is Not Configured Correctly
既定の IMAP4 仮想サーバーで SSL 証明書を作成するとき、サーバー名や組織名に適切な値を指定しないと、次のメッセージが表示されることがあります。
現在接続しているサーバーはインターネット アドレスと異なるセキュリティ証明を使用しています。このサーバーを使用し続けますか?
このメッセージが表示されるのを回避するには、証明書の共通名がそのインターネット アドレスと一致するようにします。

先頭に戻る


関連情報
IMAP4 のセキュリティを構成する方法の詳細については、Exchange 2000 のヘルプおよび Exchange 2000 Server Resource Kit を参照してください。

先頭に戻る
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 319278 (最終更新日 2002-04-08) をもとに作成したものです。

プロパティ

文書番号:319278 - 最終更新日: 01/11/2015 04:36:12 - リビジョン: 1.0

  • Microsoft Exchange 2000 Server Standard Edition
  • kbnosurvey kbarchive kbhowto kbhowtomaster KB319278
フィードバック