概要
Microsoftから、「Active Directoryに対するLDAPチャネルバインディングとLDAP署名を2020年3月のWindows Updateで有効化する」とのアナウンスがありました。InterScan Messaging Security Suite(以下、InterScan MSS)、InterScan Messaging Security Virtual Appliance (以下、IMSVA)でActive Directoryとの連携機能を使用しておりますが、影響ありますでしょうか。
詳細
概要
Microsoft社から、「Active Directoryに対するLDAPチャネルバインディングとLDAP署名を2020年3月のWindows Updateで有効化する」とのアナウンスがございます。それぞれの機能および手動での設定方法につきましては、Microsoft社より以下で紹介されております。LDAPチャネルバインディング
LDAP署名
IMSVA 9.1 / InterScan MSS 9.1 Linux版
1. 影響
管理コンソールの以下から、現在使用しているLDAPサーバの種類を確認可能です。LDAPサーバの種類が"MicroSoft Active Directory"または"MicroSoft Active Directoryグローバルカタログ"となっている場合、Active Directoryを使用しているため影響があります。その他の種類のLDAPサーバを使用している場合は影響ありません。
IMSVA 9.1:[管理] > [IMSVA設定] > [接続] > [LDAP] > (LDAPサーバを選択) > [LDAPサーバの種類]
InterScan MSS 9.1:[管理] > [IMSS設定] > [接続] > [LDAP] > (LDAPサーバを選択) > [LDAPサーバの種類]
Active Directoryを使用している場合、LDAPチャネルバインディングとLDAP署名を共に有効化したActive Directoryに対応するには、後述のLDAP over SSL (LDAPS) の設定が必要となります。既にLDAPSを利用している環境については設定は不要です。
Microsoft社からの公開情報等に進展がありましたら、内容を更新いたします。
2. 影響のある機能
Active Directoryにアクセスできなくなるため、LDAPサーバを参照する以下の機能が正しく動作しなくなります。- 管理コンソールの[クラウドプレフィルタ]にて、各ドメインの[条件] > [有効な受信者]で"有効な受信者のチェックを有効にする"をチェックし、当該機能を使用。
- 管理コンソールの[ポリシー] > [ポリシーリスト]で、"受信者と送信者"条件にて"LDAPユーザまたはグループの検索"で登録したLDAPユーザまたはLDAPグループを条件に設定したポリシー。
- 管理コンソールの[ポリシー] > [内部アドレス]で、"LDAPグループの検索"で登録した内部アドレス情報。
- 管理コンソールの[送信者フィルタ] > [ルール] > [DHA攻撃] または [バウンスメール]で設定した送信者フィルタ。
- 管理コンソールの[管理] > [IMSVA設定] > [SMTPルーティング] > [メッセージルール]で、"不明な受信者を拒否する(LDAP確認による)"をチェックし、当該機能を使用(IMSVAのみ)。
- [管理] > [管理者アカウント]にて、"認証"を"LDAP認証"としているアカウントの作成と使用。
- [管理] > [エンドユーザメール隔離] > [エンドユーザメール隔離管理]で”EUQ認証にLDAPを使用する"と"エンドユーザメールを隔離を有効にする"をチェックし、エンドユーザメール隔離機能を使用。
3. LDAP over SSLの設定方法
-
管理コンソールより[管理] > [接続]をクリックし、[LDAP]タブを表示します。
-
設定変更するエントリを選択、または新規に登録する場合は「追加」ボタンを押します
-
「待機ポート番号」にActive DirectoryサーバーのLDAP over SSL通信に利用するポート番号を指定します
-
「IMSVAとLDAP間の暗号化通信を有効にする」または「InterScan MSSとLDAP間の暗号化通信を有効にする」をチェックします。
-
[CA証明書ファイル] > [ファイルを選択]ボタンをクリックし、Active Directory サーバのサーバ証明書を署名しているCA証明書を設定します。
-
「追加」または「保存」ボタンをクリック、変更を保存します。
InterScan MSS 7.5 Windows版
1. 影響
管理コンソールの[管理] > [InterScan MSSの設定] > [接続] > [LDAP]の"LDAPサーバの種類"から、現在使用しているLDAPサーバの種類を確認可能です。LDAPサーバの種類が"MicroSoft Active Directory"となっている場合、Active Directoryを使用しているため影響があります。その他の種類のLDAPサーバを使用している場合は影響ありません。
Windows版では、LDAPチャネルバインディングとLDAP署名を共に有効化したActive Directoryには対応しておりません。そのため、Active Directoryを使用している場合、現状では後述の回避策による対応が必要となります。
Microsoft社からの公開情報等に進展がありましたら、内容を更新いたします。
2. 影響のある機能
Active Directoryにアクセスできなくなるため、LDAPサーバを参照する以下の機能が正しく動作しなくなります。- 管理コンソールの[ポリシー] > [ポリシーリスト]で、"受信者と送信者"条件にて"LDAPユーザまたはグループの検索"で登録したLDAPユーザまたはLDAPグループを条件に設定したポリシー。
- 管理コンソールの[ポリシー] > [内部アドレス]で、"LDAPグループの検索"で登録した内部アドレス情報。
- 管理コンソールの[IPフィルタ] > [ルール] > [DHA攻撃] または [バウンスメール]で設定したIPフィルタ。
- 管理コンソールの[管理] > [InterScan MSS設定] > [SMTPルーティング] で、"LDAPサーバ内の受信者を確認する"をチェックし、当該機能を使用。
- [管理] > [管理者アカウント]にて、"認証"を"LDAP認証"としているアカウントの作成と使用。
- [管理] > [エンドユーザメール隔離] > [エンドユーザメール隔離管理]で"エンドユーザアクセスを有効にする"をチェックし、エンドユーザメール隔離機能を使用。
3. 回避方法
現状、以下いずれかを実施いただくことになります。- 上述のMicrosoft社紹介の設定変更方法に従って、Active Directory側でLDAP署名を無効化いただく。
- Windows Updateを自動更新から手動更新に変更し、当該Windows Updateの自動適用を回避する。
