ビジネスサポートポータルアカウントでログイン
IMSVA における SMTP 接続の暗号化  

IMSVA における SMTP 接続の暗号化

    • 更新日:
    • 30 Dec 2019
    • 製品/バージョン:
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Virtual Appliance すべて
概要
InterScan Messaging Security Virtual Appliance (IMSVA) 9.1 は TLS で SMTP 接続を暗号化できますか。
詳細
Public

IMSVA 9.1 は初期設定で受信トラフィック、送信トラフィックともに STARTTLS を用いた SMTP 接続の暗号化 (SMTP over TLS) に対応しています。

受信トラフィックでは IMSVA は SMTP サーバとして動作します。送信元メールサーバやメールクライアント (SMTP クライアント) が STARTTLS を用いた SMTP over TLS に対応していれば、SMTP クライアントと IMSVA 間の通信は暗号化されます。

一方、送信トラフィックでは IMSVA は SMTP クライアントとして動作します。配送先のメールサーバ (SMTP サーバ) が STARTTLS を用いた SMTP over TLS に対応していれば、IMSVA と SMTP サーバ間の通信は暗号化されます。

受信トラフィックにおける SMTP クライアント、送信トラフィックにおける SMTP サーバが STARTTLS を用いた SMTP over TLS に対応していなければ、SMTP クライアントと IMSVA 間、IMSVA と SMTP サーバ間のトラフィックは暗号化されず、プレーンテキストでやり取りされます。

SMTP 接続暗号化の無効化

SMTP 接続を暗号化せず、常にプレーンテキストでやり取りすよう設定するのであれば、以下を実施してください。

受信トラフィック

IMSVA サーバに root でログインして、Postfix の設定ファイル main.cf を vi で開き、次のようにパラメータ smtpd_tls_security_level の値を "may" から "none" に変更します。設定ファイル編集後、postfix reload を実行して、設定を反映してください。

/opt/trend/imss/postfix/etc/postfix/main.cf:
#smtpd_tls_security_level=may
smtpd_tls_security_level=none

送信トラフィック

管理コンソールにログインして、管理 > IMSVA設定 > Transport Layer Security > IMSVAから送信されるメッセージ の画面を開き、「初期設定」のセキュリティレベルを「透過的」から「使用しない」に変更して [OK] ボタンで設定を保存します。もし他のエントリが登録されていれば、すべてステータスを無効化するか、セキュリティレベルを「使用しない」に変更してください。

確認方法

SMTP 接続が暗号化されているかを確認するには、管理コンソールの ログ > ログクエリ 画面を開き、種類に「メッセージ追跡」を選択してメッセージを検索します。

受信トラフィックまたは送信トラフィックにおいて TLS 接続が確立され、暗号化されていれば、以下のように件名のところに "TLS" のマークが表示されます。受信トラフィックおよび送信トラフィックにおいて、いずれも暗号化されていなければ、"TLS" マークは表示されません。

メッセージ追跡

また、検索されたメッセージの日時をクリックすると詳細画面が表示されます。受信トラフィックにおいて SMTP 接続が暗号化されていれば、接続元に「(TLS経由)」と表示されます。送信トラフィックにおいて SMTP 接続が暗号化されていれば、配信IPに「(TLS経由)」と表示されます。SMTP 接続が暗号化されていなければ、「(TLS経由)」が表示されません。

メッセージ追跡の詳細

送信元に応じた設定 (受信トラフィック)

管理 > IMSVA設定 > Transport Layer Security > IMSVAに着信するメッセージ では、SMTP クライアントから IMSVA 間の SMTP 接続 (受信トラフィック) に対して、送信元IPアドレスまたは送信者のドメインに応じてセキュリティレベルや暗号強度を設定することができます。

IMSVAに着信するメッセージ

追加方法

  1. [追加] ボタンをクリックします。「TLS IPアドレスまたはドメインの追加」の画面がポップアップします。

    TLS IPアドレスまたはドメインの追加
  2. 「有効」にチェックを入れた上で各項目を設定して、[OK] ボタンをクリックします。

    IPアドレスまたはドメイン: 送信元のIPアドレスまたは送信者のドメイン
    セキュリティレベル: 「透過的」「必須」「確認」のいずれかを選択
    暗号強度: 「中」または「強」を選択

セキュリティレベル

セキュリティレベルプレーンテキストの通信暗号化された通信説明
使用しない不可SMTP クライアントからの暗号化の要求を受け付けません
透過的SMTP クライアントに応じて SMTP 接続はプレーンテキストでやり取りされるか、暗号化されます
必須不可SMTP クライアントに TLS による暗号化を強制します
確認不可SMTP クライアントに TLS による暗号化を強制し、クライアント証明書を要求します

暗号強度

暗号強度説明
128-bit 以上の暗号スイート (MEDIUM と HIGH) に対応
128-bit 以上の暗号スイート (HIGH) に対応

例えば、セキュリティレベルが「必須」に設定された場合に SMTP クライアントがプレーテキストでやり取りしようとすると、IMSVA は SMTP クライアントに "530 5.7.0 <送信者のメールアドレス>: Sender address rejected: Must use TLS (in reply to MAIL FROM command))" の応答を返し、メッセージの受信を拒否します。IMSVA のメールログには次のようなログが出力されます。

/var/log/maillog:
Apr  1 10:40:24 imsva91 postfix/smtpd[769]: NOQUEUE: reject: MAIL from unknown[送信元IPアドレス]: 530 5.7.0 : Sender address rejected: Must use TLS; from= proto=ESMTP helo=

また、セキュリティレベルが「確認」に設定された場合に SMTP クライアントの SSL 証明書の検証に失敗すると、IMSVA は SMTP クライアントに "421 4.7.1 <送信者のメールアドレス>: Sender address rejected: Unverified client certificate" の応答を返し、メッセージの受信を一時的に拒否します。IMSVA のメールログには次のようなログが出力されます。

/var/log/maillog:
Apr  1 10:49:43 imsva91 postfix/smtpd[3651]: NOQUEUE: reject: MAIL from unknown[送信元IPアドレス]: 421 4.7.1 : Sender address rejected: Unverified client certificate; from= proto=ESMTP helo=

「初期設定」や任意に作成したエントリに対してセキュリティレベルを「使用しない」に設定しないでください。

「使用しない」に設定したとしても、IMSVA は SMTP クライアントに STARTTLS のコマンドを返すため、SMTP クライアントは SMTP 接続の暗号化に対応しているとみなし、TLS で接続を確立しようとします。しかし、IMSVA は SMTP クライアントに "421 4.7.0 <送信者のメールアドレス>: Sender address rejected: Must not use TLS" の応答を返し、メッセージの受信を一時的に拒否するため、IMSVA がメッセージを受信することはありません。

宛先に応じた設定 (送信トラフィック)

管理 > IMSVA設定 > Transport Layer Security > IMSVAから送信されるメッセージ では、IMSVA と配送先のメールサーバ (SMTP サーバ) 間の SMTP 接続 (送信トラフィック) に対して、宛先のドメインに応じてセキュリティレベルや暗号強度を設定することができます。

IMSVAから送信されるメッセージ

追加方法

  1. [追加] ボタンをクリックします。「TLSドメインの追加」の画面がポップアップします。

    TLSドメインの追加
  2. 「有効」にチェックを入れた上で各項目を設定して、[OK] ボタンをクリックします。

    ドメイン: 宛先のドメイン
    セキュリティレベル: 「使用しない」「透過的」「必須」「確認」のいずれかを選択
    暗号強度: 「中」または「強」を選択

セキュリティレベル

セキュリティレベルプレーンテキストの通信暗号化された通信説明
使用しない不可常にプレーンテキストでやり取りされます
透過的SMTP サーバに応じて SMTP 接続はプレーンテキストでやり取りされるか、暗号化されます
必須不可SMTP サーバに TLS による暗号化を強制します
確認不可SMTP サーバに TLS による暗号化を強制し、サーバ証明書の正当性をチェックします

暗号強度

暗号強度説明
128-bit 以上の暗号スイート (MEDIUM と HIGH) に対応
128-bit 以上の暗号スイート (HIGH) に対応

例えば、セキュリティレベルが「必須」に設定された場合に SMTP サーバが STARTTLS による SMTP 接続の暗号化に対応していなければ、IMSVA は "TLS is required, but was not offered by host" の理由で遅延キューにメッセージを保存し、再送設定にしたがって再送を試みます。最終的にメッセージの配送に失敗すれば、メッセージはバウンスします。

また、セキュリティレベルが「確認」に設定された場合に SMTP サーバの SSL 証明書の検証に失敗すると、IMSVA は "Server certificate not trusted" の理由で遅延キューにメッセージを保存し、再送設定にしたがって再送を試みます。最終的にメッセージの配送に失敗すれば、メッセージはバウンスします。

ログ > ログクエリ の画面で「メッセージ追跡」で検索し、その詳細画面を表示すると理由が記載されています。

対応する SSL/TLS プロトコル

IMSVA 9.1 では初期設定で TLS 1.0, TLS 1.1, TLS 1.2 のプロトコルに対応しています。SSL 3.0 には対応していません。

受信トラフィック (SMTP クライアントと IMSVA 間) では TLS 接続時に SMTP クライアントが TLS 1.2 を選択すれば、TLS 1.2 で、TLS 1.0 を選択すれば、TLS 1.0 で接続します。

送信トラフィック (IMSVA と SMTP サーバ間) では SMTP クライアントである IMSVA は TLS 1.2 で接続を試みます。SMTP サーバが TLS 1.2 に対応していなければ TLS 1.1 で、SMTP サーバが TLS 1.1 に対応していなければ、TLS 1.0 のプロトコルで TLS 接続を確立します。

Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1122413
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド