SMTP プロキシ:TLS

トランスポート層セキュリティ (TLS) は、SMTP に追加のデータ セキュリティを提供します。TLS プロトコルは、インターネット上の通信セキュリティを提供し、クライアントとサーバー アプリケーション間の通信で盗聴、改ざん、またはメッセージの偽装を防ぐ設計を提供します。TLS プロトコルは、SSLv3 プロトコルをベースにしていますが、より強化されたデータ セキュリティを提供します。

TLS についての詳細は、次を参照してください: トランスポート層セキュリティ (TLS) について

SMTP プロキシでは暗黙的 TLS および明示的 TLS の両方をサポートします。SMTP プロキシ アクションでは、TLS 設定は暗黙的 TLS、STARTTLS 暗号化 設定は明示的 TLS 用です。

SMTP プロキシで TLS を構成する方法については、次を参照してください: SMTP プロキシ:STARTTLS 暗号化

SMTP プロキシの暗黙的 TLS は、Fireware OS v12.2 以降でサポートされています。

SMTP プロキシ ポリシーで TLS サポートを有効にするには、プロキシ アクションでコンテンツ インスペクションを有効にする必要があります。

TLS 暗号化の証明書について

コンテンツ インスペクションが有効である場合、インスペクション後に着信トラフィックが暗号解除された時、プロキシ アクションは証明書を使用してそれを再暗号化します。

  • インバウンド トラフィックの場合、プロキシ アクションは規定のプロキシ サーバー証明書を使用します。
  • アウトバウンド トラフィックの場合、プロキシ アクションはプロキシ認証機関証明書を使用します。

これらの証明書の詳細については、次を参照してください: 証明書について

SMTP プロキシ ポリシーで TLS サポート オプションを変更する

SMTP プロキシ アクションのコンテンツ インスペクションで暗黙的 TLS を使用するには、SMTP プロキシがポート 465 で待機するように SMTP プロキシ ポリシーで TLS サポートを有効または無効にする必要があります。

SMTP プロキシ ポリシーでは、TLS サポートを以下のいずれかのオプションに設定できます:

  • 無効 — SMTP プロキシはポート 25 でのみ待機します
  • 有効 — SMTP プロキシはポート 25 および 465 で待機します (既定)
  • 必須 — SMTP プロキシはポート 465 でのみ待機します
  1. SMTP プロキシ ポリシーを編集します。

SMTP プロキシ設定 タブのスクリーンショット

  1. 設定 タブの TLS サポート ドロップダウン リストから、有効 または 必須 を選択します。
    ポリシーの SMTP ポートおよび SMTP ポートは、選択するオプションに応じて更新されます。
  1. SMTP プロキシ ポリシーを編集します。

SMTP プロキシプロパティ タブのスクリーンショット

  1. ポリシー タブの TLS サポート ドロップダウン リストから、有効 または 必須 を選択します。ヒント!
    ポリシーの IMAP ポートおよび IMAPS ポートは、選択するオプションに応じて更新されます。

SMTP プロキシ アクションでコンテンツ インスペクションを有効にする

SMTP プロキシでコンテンツ インスペクションを有効にするには、SMTP プロキシ ポリシーで使用されるプロキシ アクションの TLS 設定で、インスペクション アクションを選択する必要がります。インスペクション アクションを選択すると、プロキシはコンテンツ インスペクションに TLS プロファイルの設定を使用します。TLS プロファイル設定は、プロキシ アクション、または TLS プロファイル ページから編集できます。

  1. SMTP プロキシ ポリシーで使用している SMTP プロキシ アクションを編集します。
  2. TLS タブをクリックします。
    コンテンツ インスペクション設定が表示されます。

  1. TLS プロファイル ドロップダウン リストから、使用する TLS プロファイルを選択します。
    選択したプロファイルの設定がコンテンツ インスペクションの概要に表示されます。
  • 最小プロトコル バージョン — 許可される最小プロトコル バージョンを表示します
  • OCSP — OCSP の設定 (無効、寛大、または厳格) を表示します (TLS クライアント プロファイルのみ)
  • PFS 暗号 — Perfect Forward Secrecy 暗号の設定 (許可、必須、または なし) を表示します
  • TLS 準拠 — TLS プロファイルが TLS プロトコル標準に準拠しているかを表示します
  1. コンテンツ検査を有効にするには、アクション ドロップダウン リストから インスペクション を選択します。
  2. Fireware Web UI で TLS プロファイルを編集するには、編集 をクリックします。Policy Manager で TLS プロファイルを編集するには、をクリックします 。事前定義された TLS プロファイルは編集できません。事前定義された TLS 設定を変更するには、クローン をクリックして編集可能な TLS プロファイルのコピーを作成します。
  3. TLS プロファイルをネットワークで要求される設定で構成します。詳細については、TLS プロファイルを構成する を参照してください。
  1. SMTP プロキシ ポリシーにより使用されている SMTP プロキシ アクションを編集します。
  2. カテゴリ リストで、TLS を選択します。
    コンテンツ インスペクション設定が表示されます。

Policy Manager の SMTP プロキシ アクションの TLS 設定のスクリーンショット

  1. TLS プロファイル ドロップダウン リストから、使用する TLS プロファイルを選択します。
    選択したプロファイルの設定がコンテンツ インスペクションの概要に表示されます。
  • 最小プロトコル バージョン — 許可される最小プロトコル バージョンを表示します
  • OCSP — OCSP の設定 (無効、寛大、または厳格) を表示します (TLS クライアント プロファイルのみ)
  • PFS 暗号 — Perfect Forward Secrecy 暗号の設定 (許可、必須、または なし) を表示します
  • TLS 準拠 — TLS プロファイルが TLS プロトコル標準に準拠しているかを表示します
  1. コンテンツ検査を有効にするには、アクション ドロップダウン リストから インスペクション を選択します。
  2. Fireware Web UI で TLS プロファイルを編集するには、編集 をクリックします。Policy Manager で TLS プロファイルを編集するには、をクリックします 。事前定義された TLS プロファイルは編集できません。事前定義された TLS 設定を変更するには、クローン をクリックして編集可能な TLS プロファイルのコピーを作成します。
  3. TLS プロファイルをネットワークで要求される設定で構成します。詳細については、TLS プロファイルを構成する を参照してください。

ポリシーの TLS 設定を表示する

プロキシ ポリシーでコンテンツの検査を実行するには、プロキシ ポリシーの TLS サポートオプションを 有効 または 必須 に設定する必要があります。プロキシ アクションリストにあるプロキシ アクションの TLS 設定を編集した場合、プロキシ アクションは複数のポリシーに適用される可能性があります。コンテンツの検査を有効にした後、プロキシ アクションを使用するすべてのポリシーの TLS サポートが有効または必須に設定されていることを確認してください。

プロキシ アクションを使用するすべてのポリシーで TLS サポート設定を確認するには、次の手順を実行します:

  1. プロキシ アクション リストからプロキシ アクションを編集します。
  2. プロキシ アクションの TLS 設定で、表示 をクリックします。
    各ポリシーの TLS サポート設定とともにプロキシ アクションを使用しているポリシーのリストが表示されます。

 

関連情報:

TLS プロファイルを構成する

SMTP プロキシについて

プロキシ アクションについて