現在オフラインです。再接続するためにインターネットの接続を待っています

Exchange Server で TLS プロトコルを使用して SMTP 通信を保護する方法

概要
この資料では、Microsoft Exchange Server 2003 および Microsoft Exchange 2000 Server における SMTP (Simple Mail Transfer Protocol) 通信のセキュリティを、TLS (Transport Layer Security) プロトコルを使用して強化する方法について説明します。

TLS プロトコルを SMTP 経由で使用すると、証明書ベースの認証が可能になり、対称暗号化キーを使用してセキュリティ強化されたデータ転送を行うことができます。対称キー暗号化 (共有シークレットと呼ばれます) では、同じキーを使用してメッセージの暗号化と暗号化解除が行われます。TLS により、HMAC (ハッシュベース メッセージ認証符号) が適用されます。HMAC では、ハッシュ アルゴリズムを共有秘密キーと組み合わせて使用して、転送中にデータが変更されていないことが保証されます。共有秘密キーは、ハッシュ対象のデータに添付されます。これにより、データが本物であることを確認するために同じ共有秘密キーを双方が持たなければならないため、ハッシュのセキュリティが強化されます。

X.509 サーバー証明書は、通常は証明機関 (CA) によって発行され、ID 情報、有効期限、公開キー、シリアル番号、発行者のデジタル署名を含むデジタル形式の ID です。キー ペアの暗号化レベルを 40 ビット (デフォルト) から 128 ビットに上げることにより、通信を保護することができます。ビット数が大きくなるほど、暗号化解除の難易度が高まります。輸出規制のため、128 ビットのキー強度の暗号化機能は、米国およびカナダでのみ使用できます。

詳細については、次の Internet Engineering Task Force (IETF) Web サイトで次の Requests for Comments (RFC) を参照してください。基本認証を要求するように仮想サーバーを構成するときは、TLS 暗号化も使用することを強くお勧めします。暗号化を使用しないと、ユーザー名やパスワードが簡単に傍受可能になります。アクセスするユーザーが、設定されている暗号化レベルと同じレベルを使用しなければ、メッセージは返送され、配信不能レポート (NDR) が生成されます。

TLS は送信メッセージの保護に役立つように設計されていますが、クライアントからサーバーへのトラフィックは保護されません。該当するクライアントは、具体的には Microsoft Outlook Web Access (OWA)、POP3、IMAP4 などです。この問題を修正するために、Outlook Web Access での SSL (Secure Sockets Layer) の使用を有効にすることができます。また、POP3 や IMAP4 のユーザーに、POP3 や IMAP4 での SSL の使用をサポートするクライアント (Microsoft Outlook Express など) を使用するように提案することもできます。

クライアントに対して TLS 暗号化を要求する方法

クライアントに対して TLS 暗号化を要求するには、次の手順を実行します。
  1. 次の手順に従って、キー証明書の作成および管理を行います。
    1. X.509 サーバー証明書をサーバーにインストールします。X. 509 証明書の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
      319574 [HOWTO] Exchange 2000 Server の仮想サーバーで証明書を使用する方法
    2. Exchange システム マネージャを起動します。
    3. Exchange Server を展開し、[プロトコル]、[SMTP] の順にクリックします。SMTP 仮想サーバーを右クリックし、[プロパティ] をクリックします。
    4. [アクセス] タブをクリックし、[証明書] をクリックして、SMTP 仮想サーバー用に新しいキー証明書をセットアップし、インストールされたキー証明書を管理します。
  2. 次の手順に従って、サーバーの TLS 暗号化レベルを設定します。
    1. Exchange システム マネージャを起動します。
    2. SMTP 仮想サーバーを右クリックし、[プロパティ] をクリックします。
    3. [アクセス] タブをクリックし、[認証] をクリックします。
    4. [基本認証] チェック ボックスをオンにし、[TLS 暗号化を要求する] チェック ボックスをオンにして、[OK] をクリックします。

Exchange 組織内の特定のリモート ドメインに関して TLS 暗号化を有効にする

Exchange Server の特定のリモート ドメインに関して TLS 暗号化を有効にするには、次の手順を実行します。
  1. X.509 サーバー証明書をサーバーにインストールします。X. 509 証明書の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    319574 [HOWTO] Exchange 2000 Server の仮想サーバーで証明書を使用する方法
  2. 新規の SMTP コネクタを作成します。新規の SMTP コネクタを作成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    314961 [HOWTO] Exchange 2000 Server に SMTP コネクタをインストールして構成する方法
  3. TLS 暗号化を有効にするには、SMTP コネクタを右クリックし、[プロパティ] をクリックします。[詳細設定] タブをクリックし、[送信セキュリティ] をクリックし、[TLS 暗号化] チェック ボックスをオンにします。
: リモート ドメインで TLS 暗号化がサポートされていない場合、メッセージはすべて返送され、NDR が生成されます。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
329061 [XADM] Exchange Server と非 TLS ドメインが通信できない

Exchange Server のすべての送信 SMTP 接続に関して TLS 暗号化を有効にする

すべての送信 SMTP 接続に関して TLS 暗号化を有効にするには、次の手順を実行します。
  1. X.509 サーバー証明書をサーバーにインストールします。X. 509 証明書の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    319574 [HOWTO] Exchange 2000 Server の仮想サーバーで証明書を使用する方法
  2. Exchange システム マネージャを起動します。
  3. SMTP 仮想サーバーを右クリックし、[プロパティ] をクリックします。
  4. SMTP 仮想サーバーの [配信] タブで、[送信セキュリティ] をクリックし、[TLS 暗号化] チェック ボックスをオンにします。
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
319278 [HOWTO] Exchange 2000 で IMAP クライアントのアクセスをセキュリティを保護する方法
282835 暗号化された電子メール メッセージが信頼されていない受信者に正常に送信されるが、警告やイベントが表示されない
823019 Exchange 2003 で SMTP クライアントのメッセージ配信をセキュリティ保護する方法
TLS transport security layer smtp exchange virtual server certificate 509 encryption secure XCON
プロパティ

文書番号:829721 - 最終更新日: 11/26/2007 01:41:00 - リビジョン: 3.2

  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
  • kbhowtomaster kbtransport KB829721
フィードバック