SMTP プロキシ:STARTTLS 暗号化

トランスポート層セキュリティ (TLS) は、SMTP に追加のデータ セキュリティを提供します。TLS プロトコルは、インターネット上の通信セキュリティを提供し、クライアントとサーバー アプリケーション間の通信で盗聴、改ざん、またはメッセージの偽装を防ぐ設計を提供します。TLS プロトコルは、SSLv3 プロトコルをベースにしていますが、より強化されたデータ セキュリティを提供します。

SMTP プロキシでは暗黙的 TLS および明示的 TLS の両方をサポートします。明示的 TLS および 暗黙的 TLS の詳細については、次を参照してください: トランスポート層セキュリティ (TLS) について

SMTP プロキシ アクションでは、STARTTLS 暗号化 設定は明示的 TLS、TLS 設定は暗黙的 TLS 用です。

SMTP プロキシで暗黙的 TLS を構成する方法については、次を参照してください: SMTP プロキシ:TLS

STARTTLS 暗号化について

クライアント電子メール サーバー (送信者) から SMTP サーバー (受信者) に送信される電子メールを処理するために明示的 TLS 暗号化を使用するように SMTP プロキシを構成することができます。SMTP over TLS は SMTP サービスのセキュリティ拡張機能で、SMTP サーバーとクライアントが TLS を使用して認証済みの専用通信を提供できるようにします。明示的 TLS では、通常、STARTTLS キーワードが使用されます。SMTP プロキシの TLS 暗号化設定には構成可能な 2 つの部分、つまり暗号化を使用する時点 (送信者または受信者のチャンネル) とトラフィックを暗号化する方法 (SSL または TLS プロトコルおよび証明書の種類) があります。これらの設定を使用して、受信トラフィック (送信者の電子メール)、SMTP サーバー (受信者) からのトラフィック、またはその両方に対して暗号化の設定を指定することができます。

SMTP プロキシによって生成されたログ メッセージには、使用された TLS 暗号化のバージョンが記載されています。

ESMTP は明示的 TLS 暗号化に必須です。SMTP プロキシ アクションで ESMTP を無効にすると、プロキシ アクションで STARTTLS 暗号化が自動的に無効になります。詳細については、SMTP プロキシ:ESMTP 設定 を参照してください。

Fireware v12.1.x 以下の SMTP の STARTTLS 暗号化について

Fireware v12.1.x では、明示的 SMTP コンテンツ インスペクションの TLS 設定は TLS プロファイルではなく SMTP プロキシ アクションで構成します。Policy Manager v12.2 以降を使用して Firebox で SMTP プロキシの TLS プロファイルをサポートしないバージョンの Fireware を使用している場合、Policy Manager の TLS プロファイルでコンテンツ インスペクション設定を構成します。構成を Firebox に保存したとき、または ファイル > 保存 > バージョンとして コマンドを使用して、古い Fireware のバージョンの構成を保存すると、Policy Manager は古いバージョンの Fireware に互換性があるよう自動的に構成を変更します。

TLS 暗号化の証明書について

コンテンツ インスペクションが有効である場合、インスペクション後に着信トラフィックが暗号解除された時、プロキシ アクションは証明書を使用してそれを再暗号化します。

  • インバウンド トラフィックの場合、プロキシ アクションは規定のプロキシ サーバー証明書を使用します。
  • アウトバウンド トラフィックの場合、プロキシ アクションはプロキシ認証機関証明書を使用します。

これらの証明書の詳細については、次を参照してください: 証明書について

暗号化のルールについて

SMTP プロキシ アクションで TLS 暗号化を有効にした後に、送信者と受信者のドメインおよび各ドメインに必要な暗号化の詳細を指定するルールを追加します。暗号化のルール リストにルールを追加するとき、リスト中の最初のルールから最後のルールの順でルールが評価されます。もっとも柔軟性が高い順番でルールを配置してください。例えば、複数の SMTP サーバー ドメインがある場合、プライマリ SMTP サーバーをリストの最初に配置し、すべてのバックアップ SMTP サーバーのルールをその後に配置します。

暗号化のルールを追加するときに、特定の送信者と受信者のドメインのルールを作成できます。または、グローバル ルールを作成するために、送信者または受信者のドメインに対してワイルドカード文字 (*) を使用することができます。送信者または受信者のチャンネル、あるいはその両方に暗号化のルールを指定できます。それにより、SMTP サーバーに電子メールを送信する特定のドメインに別の暗号化のルールを設定することができます。各暗号化ルールは 200 以下の長さにする必要があります。

送信者の暗号化

  • 必須 — 送信者の SMTP サーバーは Firebox と暗号化をネゴシエートする必要があります。
  • なし — Firebox は送信者の SMTP サーバーと暗号化をネゴシエートしません。
  • 任意 — 送信者の SMTP サーバーは、受信者の SMTP サーバーと暗号化をネゴシエートできます。TLS 暗号化は、受信者の SMTP サーバーの暗号化能力と設定に依存します。

受信者の暗号化

  • 必須 — Firebox は受信者の SMTP サーバーと暗号化をネゴシエートする必要がありまます。
  • なし — Firebox は受信者の SMTP サーバーと暗号化をネゴシエートしません。
  • 優先 — Firebox は受信者の SMTP サーバーと暗号化のネゴシエーションを試みます。
  • 許可 — Firebox は送信者の SMTP サーバーの動作を使用して、受信者の SMTP サーバーと暗号化をネゴシエートします。

2 つ以上のドメインにルールを追加しない場合は、送信者の暗号化任意 に、受信者の暗号化優先 に設定し、ドメイン情報に対してワイルドカード文字 (*) を使用します。これらの暗号化設定によって、ほとんどの電子メールが安全に SMTP サーバーに送信されます。

ユーザーが公共インターネット接続でネットワークに接続する場合、WatchGuard は 送信者の暗号化必須 を選択することをお勧めします。SMTP サーバーが暗号化をサポートしていない場合、暗号化されていない電子メールでも受信が許可されるため、任意 を選択することをお勧めします。

保護された企業イントラネットからユーザーが SMTP サーバーに電子メールを送信する場合、送信者の暗号化オプショナル受信者の暗号化なし に設定するともっとも柔軟性が高くなります。

送信者のドメインからのトラフィック暗号化を常に要求するルールを追加する場合、電子メール メッセージの受信者、送信者、および本文の情報に TLS プロトコルを使用するように指定することもできます。

STARTTLS 暗号化設定を構成する

TLS 暗号化を有効にして SMTP プロキシ アクションのルールを構成するには:

  1. SMTP プロキシ アクションで、ESMTP > STARTTLS 暗号化 の順に選択します。

TLS 暗号化の設定のスクリーンショット
Fireware Web UI における SMTP プロキシ アクションの TLS 暗号化の構成

TLS 暗号化 ページ、SMTP プロキシ アクションの構成 ダイアログ ボックスのスクリーンショット
Policy Manager における SMTP プロキシ アクションの TLS 暗号化の構成

  1. コンテンツ インスペクションで STARTTLS を有効化する チェックボックスを選択します。
  2. TLS プロファイル ドロップダウン リストから、使用する TLS プロファイルを選択します。
    選択したプロファイルの設定がコンテンツ インスペクションの概要に表示されます。
  3. Fireware Web UI で TLS プロファイルを編集するには、編集 をクリックします。Policy Manager で TLS プロファイルを編集するには、をクリックします 。事前定義された TLS プロファイルは編集できません。事前定義された TLS 設定を変更するには、クローン をクリックして編集可能な TLS プロファイルのコピーを作成します。
  4. TLS プロファイルをネットワークで要求される設定で構成します。詳細については、TLS プロファイルを構成する を参照してください。
  5. 暗号化のルールを追加するには、ルール セクションで、追加 をクリックします。
    新しい暗号化のルールが 暗号化のルール リストに表示されます。
  6. 宛先ドメイン テキスト ボックスに、SMTP サーバーのドメイン名を入力し、キーボードの Enter キーを押します。
  7. クライアントのトラフィックの受信元であるドメインを指定するには、 送信元ドメイン 列の既定設定 (*) をダブルクリックし、テキスト ボックスに新しい設定を入力して、キーボードの Enter キーを押します。
    任意のドメインからのトラフィックを許可するには、既定設定の (*) を保持します。
  8. 宛先の暗号化 オプションを変更するには、既定設定 (優先) をクリックし、ドロップダウン リストからオプションを選択します:
  9. 送信元の暗号化 オプションを変更するには、既定設定 (オプションで暗号化) をクリックし、ドロップダウン リストからオプションを選択します。
  10. ルールの適用順を変更するには、暗号化のルール リストでルールを選択し、上へ または 下へ をクリックします。
  11. リストでルールを無効にするには、そのルールの 有効 チェックボックスの選択を解除します。
  12. リストからルールを削除するには、削除 をクリックします。
  13. 暗号化された送信者トラフィックに使用される TLS プロトコルを要求するには、送信者の暗号化が要求される場合、送信者、受信者、および本文情報に TLS を使用する チェックボックスを選択します。
    このオプションは、常に暗号化送信元の暗号化 の設定でルールを構成する場合にのみ使用できます。
    プロキシ アクションのルールの詳細については、次を参照してください: ルールを追加、削除、または変更する
  14. このプロキシ アクションの他のカテゴリの設定を変更する場合は、そのカテゴリのトピックを参照してください。
  15. 構成を保存します。

定義済みのプロキシ アクションを変更した場合は、 変更を保存するときに新しいアクションに設定のクローン(コピー)するようにプロンプトが表示されます。

事前に定義されたプロキシ アクションについては、次を参照してください プロキシ アクションについて

関連情報:

SMTP プロキシについて