Exchange 2007 で TLS 認証を使用してサード パーティの電子メールとの間でメッセージを送受信する方法
適用先: Exchange Server 2007 SP3
トピックの最終更新日: 2009-09-29
ここでは、Microsoft Exchange Server 2007 でトランスポート層セキュリティ (TLS) 認証を使用して、サード パーティの電子メール プログラムとの間で電子メール メッセージを送受信する方法について説明します。
TLS プロトコルを使用することで、Exchange 2007 の SMTP 通信のセキュリティを向上させることができます。TLS は、インターネットまたはイントラネット上の Web 通信をセキュリティで保護するために使用される標準プロトコルです。TLS を使用すると、クライアントはサーバーを認証でき、オプションでサーバーがクライアントを認証できます。また、通信の暗号化によってセキュリティ チャネルが提供されます。TLS は最新バージョンの SSL (Secure Sockets Layer) プロトコルです。
TLS over SMTP は、対称暗号化キーを使用することで、証明書ベースの認証と、セキュリティが強化されたデータ転送を可能にします。対称キーの暗号化 ("共有シークレット" 暗号化とも呼ばれます) では、メッセージの暗号化と解読に同じキーが使用されます。TLS ではハッシュ ベースのメッセージ認証コード (HMAC) が適用されます。HMAC では、ハッシュ アルゴリズムと共有シークレット キーと組み合わせて使用することによって、送信中にデータが変更されていないことを確認します。共有シークレット キーは、ハッシュされるデータに付加されます。データの正統性を検証するために送信側と受信側の両方で同じ共有シークレット キーを持つ必要があるため、ハッシュのセキュリティが向上します。
以前のバージョンの Exchange では、TLS を手動で構成する必要がありました。さらに、Exchange サーバーに TLS の用途に適した有効な証明書をインストールする必要がありました。Exchange 2007 のセットアップでは、自己署名入りの証明書が作成されます。TLS は既定で有効になっています。これによって、送信側システムは、Exchange への受信 SMTP セッションを暗号化できます。既定では、Exchange 2007 はすべてのリモート接続についても TLS の使用を試行します。
TLS を使用してサード パーティの電子メール プログラムに電子メール メッセージを送信するには、送信コネクタを構成する必要があります。送信コネクタは、Exchange 2007 を実行しており、ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割がインストールされているコンピュータ上で構成されます。送信コネクタは、送信メッセージが送信されるときに通過する論理ゲートウェイを表します。
TLS を使用してサード パーティの電子メール プログラムに電子メール メッセージを送信するには、受信コネクタを構成する必要があります。受信コネクタは、Exchange 2007 を実行しており、ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割がインストールされているコンピュータ上で構成されます。受信コネクタは、すべての受信メッセージが受信される際に使用する論理ゲートウェイを表します。
TLS を使用してサード パーティの電子メール プログラムに電子メール メッセージを送信するには、次の操作を行います。
Exchange 管理コンソールを起動します。
次の手順のいずれかを実行します。
- エッジ トランスポート サーバーの役割がインストールされたコンピュータで、[エッジ トランスポート] を選択し、[送信コネクタ] タブをクリックします。
- ハブ トランスポート サーバーの役割で送信コネクタを作成するには、コンソール ツリーで、[組織の構成] を展開し、[ハブ トランスポート] を選択します。次に、[送信コネクタ] タブをクリックします。
操作ウィンドウで、[送信コネクタの新規作成] をクリックします。SMTP 送信コネクタの新規作成ウィザードが開始します。
[概要] ページの "名前" フィールドに、コネクタの意味のある名前を入力します。この名前は、コネクタを識別するために使用されます。
[このコネクタの使用目的の選択] ボックスの一覧で [カスタム] を選択し、[次へ] をクリックします。
[アドレス スペース] ページで、[追加] をクリックします。
[SMTP アドレス スペース] ダイアログ ボックスで、サード パーティの電子メール サーバーの外部ドメインを入力します。たとえば、contoso.com ドメインについては「*.contoso.com」と入力します。
[OK] をクリックし、[次へ] をクリックします。
[ネットワーク設定] ページで、[DNS (ドメイン ネーム システム) の "MX" レコードを使用してメールを自動的にルーティングする] を選択し、[次へ] をクリックします。または、[すべてのメールを次のスマート ホストを経由してルーティングする] を選択して、次の手順を実行します。
- [追加] をクリックします。
- [スマート ホストの追加] ダイアログ ボックスで、[IP アドレス] または [完全修飾ドメイン名 (FQDN)] を選択してスマート ホストを検索する方法を指定します。[IP アドレス] を選択した場合は、スマート ホストの IP アドレスを入力します。[完全修飾ドメイン名 (FQDN)] を選択した場合は、スマート ホストの FQDN を入力します。送信側サーバーは FQDN を解決できる必要があります。
- 完了したら、[OK] をクリックします。
- スマート ホストをさらに追加するには、[追加] をクリックし、手順 b. および c. を繰り返します。
- スマート ホストの設定を編集するには、スマート ホストを選択し、[編集] をクリックします。
- 既存のスマート ホストを削除するには、スマート ホストを選択し、 をクリックします。
- 完了したら、[次へ] をクリックします。
- [スマート ホストのセキュリティ設定] ページで、[TLS 経由の基本認証] を選択し、[次へ] をクリックします。
既定では、[送信元サーバー] ページに、現在作業に使用しているハブ トランスポート サーバーが送信元サーバーとして一覧表示されます。送信元サーバーを追加するには、[追加] をクリックします。[ハブ トランスポートおよびエッジ サブスクリプションの選択] ダイアログ ボックスで、手順 7. で指定したアドレス スペースへのメッセージの送信の送信元サーバーとして使用するハブ トランスポート サーバーまたは購読済みエッジ トランスポート サーバーを選択します。送信元サーバーの一覧には、すべてのハブ トランスポート サーバーまたはすべての講読済みエッジ トランスポート サーバーを含めることができますが、両方を混在させることはできません。送信元サーバーの追加が完了したら、[OK] をクリックします。
送信元サーバーをさらに追加するには、[追加] をクリックし、上記手順を繰り返します。
既存の送信元サーバーを削除するには、送信元サーバーを選択し、 をクリックします。
完了したら、[次へ] をクリックします。
[新しいコネクタ] ページで、コネクタの構成の概要を確認します。設定を変更する場合は、[戻る] をクリックします。構成の概要の設定を使用して送信コネクタを作成するには、[新規作成] をクリックします。
[完了] ページで、[終了] をクリックします。
Gentoo Linux など一部のサード パーティのプログラムでは、これ以上の構成は必要ありません。接続をテストします。正常に接続できない場合は、次の手順を実行します。
- 作業ウィンドウで、作成したコネクタを右クリックして、[プロパティ] をクリックします。
- [ネットワーク] タブで、[ドメイン セキュリティを有効にする (相互認証 TLS)] チェック ボックスをオンにして、[OK] をクリックします。
- Exchange 管理コンソールを閉じます。
- Microsoft Exchange Transport サービスを再起動します。
TLS を使用してサード パーティの電子メール プログラムから電子メール メッセージを受信するには、次の操作を行います。
Exchange 管理コンソールを起動します。
次の手順のいずれかを実行します。
- エッジ トランスポート サーバーの役割がインストールされたコンピュータで、[エッジ トランスポート] を選択し、作業ウィンドウで [受信コネクタ] タブをクリックします。
- ハブ トランスポート サーバーの役割で受信コネクタを作成するには、コンソール ツリーで [サーバーの構成] を展開し、[ハブ トランスポート] をクリックします。結果ウィンドウで、コネクタを作成するサーバーを選択し、[受信コネクタ] タブをクリックします。
操作ウィンドウで [受信コネクタの新規作成] をクリックします。SMTP 受信コネクタの新規作成ウィザードが起動します。
[概要] ページの [名前] ボックスに、コネクタ用の意味のある名前を入力します。この名前は、コネクタを識別するために使用されます。
[このコネクタの使用目的の選択] ボックスの一覧で [カスタム] を選択し、[次へ] をクリックします。
[ローカル ネットワーク設定] ページで、[追加] をクリックします。
[受信コネクタのバインドの追加] ダイアログ ボックスで、以下のオプションのいずれかを選択します。
- [このサーバーで利用可能な IP アドレスをすべて使用する] このオプションを選択した場合、コネクタは、ローカル サーバーのネットワーク アダプタに割り当てられているすべての IP アドレスで接続を待機します。
- [IP アドレスの指定] このオプションを選択した場合は、ローカル サーバーのネットワーク アダプタに割り当てられている IP アドレスを入力する必要があります。コネクタは、指定した IP アドレスでのみ接続を待機します。
注 : 受信コネクタが存在するハブ トランスポート サーバーまたはエッジ トランスポート サーバーで有効なローカル IP アドレスを指定する必要があります。無効なローカル IP アドレスを指定すると、Microsoft Exchange Transport サービスの再起動時にサービスが開始されないことがあります。
[ローカル ネットワーク設定] ページで、[ポート] ボックスに、ポート番号を入力し、[OK] をクリックします。このコネクタに複数のローカル IP アドレスを追加するには、[追加] をクリックし、この手順を繰り返します。以前のエントリを変更するには、目的のエントリをクリックしてから [編集] をクリックします。既存のドメインを削除するには、目的のドメインをクリックしてから をクリックします。
[ローカル ネットワーク設定] ページの [HELO または EHLO に応答してこのコネクタが提供する FQDN を指定する] ボックスに、SMTP HELO または EHLO コマンドに応答して通知される名前を入力します。このフィールドを空白のままにすると、コネクタの作成時に、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーの完全修飾ドメイン名 (FQDN) が自動的に追加されます。[次へ] をクリックします。
[リモート ネットワーク設定] ページで、コネクタが受信接続を受け付けるサード パーティ プログラムの IP アドレスまたは IP アドレス範囲を入力します。リモート IP アドレスまたはリモート IP アドレス範囲を追加するには、以下のいずれかの方法を使用します。
- サブネット マスクを使用せずに IP アドレスまたはサブネットを入力したり、クラスレス ドメイン間ルーティング (CIDR) 表記法を使用してサブネット マスクを指定したりするには、[追加] または [追加] の横にある下向き矢印をクリックして、[IP アドレス] を選択します。[リモート サーバーの IP アドレスの追加] ダイアログ ボックスで、以下のいずれかの方法を使用して IP アドレスを入力します。
サブネット マスクなしの IP アドレス たとえば、「192.168.1.0」と入力します。CIDR 表記法を使用してサブネット マスクを指定しない場合は、既定のクラスフル サブネット マスクが使用されます。
CIDR 表記法を使用した IP アドレス たとえば、「192.168.1.0/24」と入力します。 - IP アドレスまたはサブネットをドットで区切られた 10 進数表記のサブネット マスクと共に入力するには、[追加] の横にある下向き矢印をクリックし、[IP およびマスク] をクリックします。[リモート サーバーの追加 - IP およびマスク] ダイアログ ボックスで、以下の構文を使用して IP アドレスとサブネット マスクを入力します。
IP アドレス たとえば、「192.168.1.0」と入力します。
サブネット マスク たとえば、「255.255.255.0」と入力します。 - 範囲の最初の IP アドレスと最後の IP アドレスを使用して IP アドレス範囲を指定するには、[追加] の横にある下向き矢印をクリックし、[IP アドレスの範囲] をクリックします。[リモート サーバーの追加 - IP アドレスの範囲] ダイアログ ボックスで、次の構文を使用して IP アドレスを入力します。
開始アドレス たとえば、「192.168.1.1」と入力します。
終了アドレス たとえば、「192.168.255.255」と入力します。
サブネット マスクを指定しない場合は、既定のクラスフル サブネット マスクが使用されます。
完了したら、[OK] をクリックします。このコネクタに複数のリモート ネットワークの範囲を追加するには、[追加] をクリックし、この手順を繰り返します。以前のエントリを変更するには、目的のエントリをクリックしてから [編集] をクリックします。既存のドメインを削除するには、目的のドメインをクリックしてから をクリックします。
- サブネット マスクを使用せずに IP アドレスまたはサブネットを入力したり、クラスレス ドメイン間ルーティング (CIDR) 表記法を使用してサブネット マスクを指定したりするには、[追加] または [追加] の横にある下向き矢印をクリックして、[IP アドレス] を選択します。[リモート サーバーの IP アドレスの追加] ダイアログ ボックスで、以下のいずれかの方法を使用して IP アドレスを入力します。
完了したら、[次へ] をクリックします。
[新しいコネクタ] ページで、コネクタの構成の概要を確認します。設定を変更する場合は、[戻る] をクリックします。構成の概要の設定を使用して受信コネクタを作成するには、[新規作成] をクリックします。
[完了] ページで、[終了] をクリックします。
作業ウィンドウで、作成したコネクタを右クリックして、[プロパティ] をクリックします。
次のいずれかの条件に当てはまる場合、[認証] タブで、[ドメイン セキュリティを有効にする (相互認証 TLS)] チェック ボックスをオンにします。
- 送信側サーバーと受信側サーバーの両方で、信頼された証明機関が発行したパブリック証明書を使用している。
- 送信側サーバーと受信側サーバーの両方で自己発行証明書を使用しており、信頼されたルート証明書として相互のルート証明書をインストールしている。
[許可グループ] タブで、[匿名ユーザー] チェック ボックスをオンにし、[OK] をクリックします。
Exchange 管理コンソールを閉じます。
Exchange 管理シェルを起動します。
以下のコマンドレットを実行します。
Set-ReceiveConnector -identity <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS
次のいずれかの条件に当てはまる場合、
- 送信側サーバーと受信側サーバーの両方で、信頼された証明機関が発行したパブリック証明書を使用している。
- 送信側サーバーと受信側サーバーの両方で自己発行証明書を使用しており、信頼されたルート証明書として相互のルート証明書をインストールしている。
以下のコマンドレットを実行します。
Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net
Microsoft Exchange Transport サービスを再起動します。
詳細
送信コネクタの詳細については、「送信コネクタ」および「新しい送信コネクタを作成する方法」を参照してください。
受信コネクタの詳細については、「受信コネクタ」および「新しい受信コネクタを作成する方法」を参照してください。
Set-ReceiveConnector コマンドレットの詳細については、「Set-ReceiveConnector」を参照してください。
Set-TransportConfig コマンドレットの詳細については、「Set-TransportConfig」を参照してください。
Exchange 2007 でトランスポート層セキュリティ (TLS) プロトコルを使用する方法の詳細については、以下のトピックを参照してください。
- Exchange 2007 の TLS 機能と関連用語
- SMTP TLS 証明書の選択
- Exchange 2007 Server での証明書の使用
- TLS の証明書または証明書の要求の作成
- ドメイン セキュリティのために相互 TLS を構成する方法
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。