none
通信暗号化について RRS feed

  • 質問

  • いつもお世話になってます。
    Exchange2007の通信暗号化について質問です。

    以下の3点、対応お願いいたします。
    ①SMTPの通信暗号化
     Exchangeで取り扱うデータの暗号化は以下のサイトを参考にして学習したのですが、
     Exchange系サーバ間の通信暗号化は理解できました。
     <http://www.atmarkit.co.jp/fsecurity/rensai/exchange205/exchange02.html>
     このSMTPサーバとしてExchangeでないもので構成した場合、その通信の暗号化はどのように実装すればよいのでしょうか?
     例:LinuxOSやMTAとして構成できるアプライアンスなど。
     参考サイトではTLSで構成していますが、LinuxOSやMTAとして構成できるアプライアンスなどで構成した場合でも暗号化できるのでしょうか?

    ②証明書について
     Exchangeの内部通信にはインストール時に発行される自己署名入り証明書とWindows証明書サービス(CA)とサードパーティ製の証明書とがあると思いますが、インターネット越しのアクセスを実装する場合は自己署名入り証明書の使用はサポートされていない為、Windows証明書サービス(CA)とサードパーティ製の証明書のどちらかの導入が必要になるかと思います。
    その時、自己署名入り証明書はふようになるのでしょうか?(信頼された証明書と入れ替えることは可能なのでしょうか?)
    運用面を考えると、信頼された証明書を導入する場合は自己署名入り証明書に変わって信頼された証明書で一本化したほうがよいのではと思った為、質問させていただきました。

    ③S/MIME通信について
    メール通信の暗号化ではなく、メール自体の暗号化を実装する必要がある場合、S/MIMEが考えれられると思っています。
    S/MIMEはクライアントの設定で行うものとの認識で問題ないでしょうか?
    また、S/MIMEを実装すればシステム管理者でもメールデータを見れなくなるという認識で間違っていませんでしょうか??
    ※システム管理者がメールボックスに溜まったデータを閲覧できないようにしたいと考えています。

    有識者の方、ご教授よろしくお願いいたします。
    お手数をおかけして恐縮です。

    以上です。
    2009年11月29日 8:46

回答

  • ①について

    これは、Exchange と接続する SMTP がどの暗号方法を実装しているのかに依存しますので一概に、これとは言えません。
    接続先の SMTP がサポートしている暗号方法と Exchange でサポートしている暗号方法の
    AND 部分で対応することになりますが、あくまでも暗号化できるのは、自分の範囲内でのみです。
    外部に対してすべての暗号化ができるわけではありません。

    ②について

    もちろん、外部に対して、接続できる SMTP が TLS をサポートしていれば SSL 証明書を使い通信路を暗号化できますが、
    これも、①にあるように、送信先ユーザーに届くまでのすべてを暗号化する方法ではありません。

    なお、外部接続を行うのであれば、きちんとドメイン名を取得して、どのドメイン名で SSL 証明書を取得された方がよいでしょう。

    ③について

    その認識で合っています。
    S/MIME の暗号は、どの証明書を使うかに依存するので、メール送信者Aが、メール送信先Bの証明書を使って暗号する分には
    システム管理者Cは、その暗号メールを復号することはできません。
    メール送信者Aが、メール送信先Bと、システム管理者Cの証明書を使って暗号すれば、システム管理者Cは、その暗号メールを復号することができます。


    以上を返信します。

    2009年12月1日 5:51
  • >SMTPサーバとExchangeServer(ハブトランスポートサーバ)間の通信は両方の機能で暗号化されるというこでしょうか?

    これは使用するSMTPサーバー次第です。

    外部SMTP --- 自前SMTP --- 自前Exchange Hub

    であれば、自前SMTPまでは暗号できるでしょうが、外に出てしまえば、それはわかりません。
    インターネットのメールというのはそういうものです。

    そのため、メールの暗号/署名というエンドtoエンドの仕組みがあるわけです。
    S/MIME であれば、規格化されてるものなので、比較的多くのクライアントで読み書きすることができると思います。
    S/MIME 以外にも様々な暗号を謳っている製品もあります。その場合は同じクライアントメーラー同士でなければ
    読み書きができませんけど。

    2009年12月2日 15:16

すべての返信

  • ①について

    これは、Exchange と接続する SMTP がどの暗号方法を実装しているのかに依存しますので一概に、これとは言えません。
    接続先の SMTP がサポートしている暗号方法と Exchange でサポートしている暗号方法の
    AND 部分で対応することになりますが、あくまでも暗号化できるのは、自分の範囲内でのみです。
    外部に対してすべての暗号化ができるわけではありません。

    ②について

    もちろん、外部に対して、接続できる SMTP が TLS をサポートしていれば SSL 証明書を使い通信路を暗号化できますが、
    これも、①にあるように、送信先ユーザーに届くまでのすべてを暗号化する方法ではありません。

    なお、外部接続を行うのであれば、きちんとドメイン名を取得して、どのドメイン名で SSL 証明書を取得された方がよいでしょう。

    ③について

    その認識で合っています。
    S/MIME の暗号は、どの証明書を使うかに依存するので、メール送信者Aが、メール送信先Bの証明書を使って暗号する分には
    システム管理者Cは、その暗号メールを復号することはできません。
    メール送信者Aが、メール送信先Bと、システム管理者Cの証明書を使って暗号すれば、システム管理者Cは、その暗号メールを復号することができます。


    以上を返信します。

    2009年12月1日 5:51
  • ①について

    これは、Exchange と接続する SMTP がどの暗号方法を実装しているのかに依存しますので一概に、これとは言えません。
    接続先の SMTP がサポートしている暗号方法と Exchange でサポートしている暗号方法の
    AND 部分で対応することになりますが、あくまでも暗号化できるのは、自分の範囲内でのみです。
    外部に対してすべての暗号化ができるわけではありません。

    ②について

    もちろん、外部に対して、接続できる SMTP が TLS をサポートしていれば SSL 証明書を使い通信路を暗号化できますが、
    これも、①にあるように、送信先ユーザーに届くまでのすべてを暗号化する方法ではありません。

    なお、外部接続を行うのであれば、きちんとドメイン名を取得して、どのドメイン名で SSL 証明書を取得された方がよいでしょう。

    ③について

    その認識で合っています。
    S/MIME の暗号は、どの証明書を使うかに依存するので、メール送信者Aが、メール送信先Bの証明書を使って暗号する分には
    システム管理者Cは、その暗号メールを復号することはできません。
    メール送信者Aが、メール送信先Bと、システム管理者Cの証明書を使って暗号すれば、システム管理者Cは、その暗号メールを復号することができます。


    以上を返信します。

    回答ありがとうございました。

    >接続先の SMTP がサポートしている暗号方法と Exchange でサポートしている暗号方法の
    >AND 部分で対応することになりますが、あくまでも暗号化できるのは、自分の範囲内でのみです。
    ⇒ということは、SMTPサーバとExchangeServer(ハブトランスポートサーバ)間の通信は両方の機能で暗号化されるというこでしょうか?
     また、「暗号化できるのは自分の範囲のみです。」とのことですが、この自分の範囲とはどの範囲をさしているのでしょうか??

    システム内に入ってからの通信は暗号化されていることは理解できましたが、
    インターネットへ旅立ったメールの通信の暗号化は実装えきないのでしょうか?
    改ざんやなりすましの脅威にさらされてしまいますよね??

    外部へ送信するメール通信を暗号化するにはどのようにしたら良いのでしょうか?
    一般的にはどのようにセキュリティは担保されているのでしょうか?
    S/MIMEを使用してメールデータ自体を暗号化するしかないのでしょうか??

    以上です。
    2009年12月2日 12:27
  • >SMTPサーバとExchangeServer(ハブトランスポートサーバ)間の通信は両方の機能で暗号化されるというこでしょうか?

    これは使用するSMTPサーバー次第です。

    外部SMTP --- 自前SMTP --- 自前Exchange Hub

    であれば、自前SMTPまでは暗号できるでしょうが、外に出てしまえば、それはわかりません。
    インターネットのメールというのはそういうものです。

    そのため、メールの暗号/署名というエンドtoエンドの仕組みがあるわけです。
    S/MIME であれば、規格化されてるものなので、比較的多くのクライアントで読み書きすることができると思います。
    S/MIME 以外にも様々な暗号を謳っている製品もあります。その場合は同じクライアントメーラー同士でなければ
    読み書きができませんけど。

    2009年12月2日 15:16
  • こんにちは、フォーラムオペレーターの三沢健二です。

    artglass さん、ご丁寧な回答ありがとうございました。
    それでは、案内いただいた内容は有用な情報と思われましたので、私の方で [回答としてマーク] のチェックを付けさせていただきました。


    今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年12月24日 8:21
    モデレータ