ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
E メール プロキシ
E メール プロキシ
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

E メール プロキシ

E メール プロキシの設定

AAA

POP3S タブ

IMAP4S タブ

SMTPS タブ

アクセスについて

[Edit E-Mail Proxy Access]

[Authentication]

[Default Servers]

[Delimiters]

E メール プロキシ

E メール プロキシを設定すると、リモート E メール機能をクライアントレス SSL VPN のユーザに拡張できます。ユーザが E メール プロキシ経由で E メール セッションを試行すると、E メール クライアントが SSL プロトコルを使用してトンネルを確立します。

E メール プロキシ プロトコルは次のとおりです。

POP3S

POP3S は、クライアントレス SSL VPN がサポートする E メール プロキシの 1 つです。デフォルトでは、セキュリティ アプライアンスがポート 995 をリスンし、ポート 995 または設定されたポートとの接続が自動的に許可されます。POP3 プロキシは、SSL 接続だけをそのポートで許可します。SSL トンネルが確立された後に POP3 プロトコルが開始され、認証が行われます。POP3S は、E メール受信用のプロトコルです。

IMAP4S

IMAP4S は、クライアントレス SSL VPN がサポートする E メール プロキシの 1 つです。デフォルトでは、セキュリティ アプライアンスがポート 993 をリスンし、ポート 993 または設定されたポートとの接続が自動的に許可されます。IMAP4S プロキシは、SSL 接続だけをそのポートで許可します。SSL トンネルが確立された後に IMAP4S プロトコルが開始され、認証が行われます。IMAP4S は、E メール受信用のプロトコルです。

SMTPS

SMTPS は、クライアントレス SSL VPN がサポートする E メール プロキシの 1 つです。デフォルトでは、セキュリティ アプライアンスがポート 988 をリスンし、ポート 988 または設定されたポートとの接続が自動的に許可されます。SMTPS プロキシは、SSL 接続だけをそのポートで許可します。SSL トンネルが確立された後に SMTPS プロトコルが開始され、認証が行われます。SMTPS は、E メール送信用のプロトコルです。

E メール プロキシの設定

E メール プロキシの設定は、次のタスクで構成されます。

インターフェイスで E メール プロキシをイネーブルにする。

E メール プロキシ用のデフォルト サーバを設定する。

AAA サーバ グループとデフォルトのグループ ポリシーを設定する。

デリミタを設定する。

また、E メール プロキシを設定するに当たっては、次の要件があります。

E メール プロキシを経由してローカルとリモートの両方から E メールにアクセスするユーザは、E メール プログラムで、ローカル アクセス用とリモート アクセス用に別々の E メール アドレスが必要です。

E メール プロキシ セッションでユーザが認証される必要があります。

AAA

 

このパネルには、3 つのタブがあります。

POP3S タブ

IMAP4S タブ

SMTPS タブ

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

POP3S タブ

POP3S AAA パネルでは、AAA サーバ グループを関連付け、POP3S セッションに適用するデフォルトのグループ ポリシーを設定します。

フィールド

[AAA server groups]:[AAA Server Groups] パネル([Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups])に移動する場合にクリックします。ここでは、AAA サーバ グループを追加または編集できます。

[group policy]:[Group Policy] パネル([Configuration] > [Features] > [VPN] > [General] > [Group Policy])に移動する場合にクリックします。ここでは、グループ ポリシーを追加または編集できます。

[Authentication Server Group]:POP3S ユーザ認証用の認証サーバ グループを選択します。デフォルトでは、認証サーバが設定されていません。AAA を POP3S 用の認証方式として設定した場合には([Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル)、AAA サーバを設定してここで選択しないと、常に認証に失敗します。

[Authorization Server Group]:POP3S ユーザ認可用の認可サーバ グループを選択します。デフォルトでは、認可サーバが設定されていません。

[Accounting Server Group]:POP3S ユーザ アカウンティング用のアカウンティング サーバ グループを選択します。デフォルトでは、アカウンティング サーバが設定されていません。

[Default Group Policy]:AAA が CLASSID アトリビュートを返さない場合に POP3S ユーザに適用するグループ ポリシーを選択します。長さは、4 ~ 15 文字の英数字です。デフォルトのグループ ポリシーを指定しなかった場合と、CLASSID が存在しない場合には、セキュリティ アプライアンスがセッションを確立できません。

[Authorization Settings]:セキュリティ アプライアンスが POP3S 認可のために認識するユーザ名の値を設定できるようにします。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 認可を必要とする POP3S ユーザに適用されます。

[User the entire DN as the username]:POP3S 認可用の認定者名を使用する場合に選択します。

[Specify individual DN fields as the username]:ユーザ認可用に特定の DN フィールドを指定する場合に選択します。

[DN] フィールドは、プライマリとセカンダリの 2 つを選択できます。たとえば、EA を選択した場合には、ユーザは E メール アドレスによって認証されます。John Doe という通常名(CN)と johndoe@cisco.com という E メール アドレスを持つユーザは、John Doe または johndoe として認証されません。彼は johndoe@cisco.com として認証される必要があります。EA および O を選択した場合、John Does は johndoe@cisco.com および Cisco Systems, Inc. として認証される必要があります。

[Primary DN Field]:POP3S 認可用に設定するプライマリ [DN] フィールドを選択します。デフォルトは [CN] です。オプションは次のとおりです。

DN フィールド
内容

[Country (C)]

2 文字の国名略語。国名コードは、ISO 3166 国名略語に準拠しています。

[Common Name (CN)]

ユーザ、システム、その他のエンティティの名前。これは、ID 階層の最下位(最も固有性の高い)レベルです。

[DN Qualifier (DNQ)]

特定の DN アトリビュート。

[E-mail Address (EA)]

証明書を所有するユーザ、システム、またはエンティティの E メール アドレス。

[Generational Qualifier (GENQ)]

Jr.、Sr.、または III などの世代修飾子。

[Given Name (GN)]

証明書所有者の名前(名)。

[Initials (I)]

証明書所有者の姓と名の最初の文字。

[Locality (L)]

組織が所在する市町村。

[Name (N)]

証明書所有者の名前。

[Organization (O)]

会社、団体、機関、協会、その他のエンティティの名前。

[Organizational Unit (OU)]

組織内のサブグループ。

[Serial Number (SER)]

証明書のシリアル番号。

[Surname (SN)]

証明書所有者の姓。

[State/Province (S/P)]

組織が所在する州や県。

[Title (T)]

証明書所有者の役職(Dr. など)。

[User ID (UID)]

証明書所有者の ID 番号。

[Secondary DN Field]:(オプション)POP3S 認可用に設定するセカンダリ DN フィールドを選択します。デフォルトは [OU] です。オプションには、上記の表に記載されているすべてに加え、セカンダリ フィールドを指定しない場合に選択する [None] があります。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

IMAP4S タブ

IMAP4S AAA パネルでは、AAA サーバ グループを関連付け、IMAP4S セッションに適用するデフォルトのグループ ポリシーを設定します。

フィールド

[AAA server groups]:[AAA Server Groups] パネル([Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups])に移動する場合にクリックします。ここでは、AAA サーバ グループを追加または編集できます。

[group policy]:[Group Policy] パネル([Configuration] > [Features] > [VPN] > [General] > [Group Policy])に移動する場合にクリックします。ここでは、グループ ポリシーを追加または編集できます。

[Authentication Server Group]:IMAP4S ユーザ認証用の認証サーバ グループを選択します。デフォルトでは、認証サーバが設定されていません。AAA を IMAP4S 用の認証方式として設定した場合には([Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル)、AAA サーバを設定してここで選択しないと、常に認証に失敗します。

[Authorization Server Group]:IMAP4S ユーザ認可用の認可サーバ グループを選択します。デフォルトでは、認可サーバが設定されていません。

[Accounting Server Group]:IMAP4S ユーザ アカウンティング用のアカウンティング サーバ グループを選択します。デフォルトでは、アカウンティング サーバが設定されていません。

[Default Group Policy]:AAA が CLASSID アトリビュートを返さない場合に IMAP4S ユーザに適用するグループ ポリシーを選択します。デフォルトのグループ ポリシーを指定しなかった場合と、CLASSID が存在しない場合には、セキュリティ アプライアンスがセッションを確立できません。

[Authorization Settings]:セキュリティ アプライアンスが IMAP4S 認可のために認識するユーザ名の値を設定できるようにします。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 認可を必要とする IMAP4S ユーザに適用されます。

[User the entire DN as the username]:IMAP4S 認可用の完全修飾ドメイン名を使用する場合に選択します。

[Specify individual DN fields as the username]:ユーザ認可用に特定の DN フィールドを指定する場合に選択します。

[DN] フィールドは、プライマリとセカンダリの 2 つを選択できます。たとえば、EA を選択した場合には、ユーザは E メール アドレスによって認証されます。John Doe という通常名(CN)と johndoe@cisco.com という E メール アドレスを持つユーザは、John Doe または johndoe として認証されません。彼は johndoe@cisco.com として認証される必要があります。EA および O を選択した場合、John Does は johndoe@cisco.com および Cisco Systems, Inc として認証される必要があります。

[Primary DN Field] :IMAP4S 認可用に設定するプライマリ DN フィールドを選択します。デフォルトは [CN] です。オプションは次のとおりです。

DN フィールド
内容

[Country (C)]

2 文字の国名略語。国名コードは、ISO 3166 国名略語に準拠しています。

[Common Name (CN)]

ユーザ、システム、その他のエンティティの名前。これは、ID 階層の最下位(最も固有性の高い)レベルです。

[DN Qualifier (DNQ)]

特定の DN アトリビュート。

[E-mail Address (EA)]

証明書を所有するユーザ、システム、またはエンティティの E メール アドレス。

[Generational Qualifier (GENQ)]

Jr.、Sr.、または III などの世代修飾子。

[Given Name (GN)]

証明書所有者の名前(名)。

[Initials (I)]

証明書所有者の姓と名の最初の文字。

[Locality (L)]

組織が所在する市町村。

[Name (N)]

証明書所有者の名前。

[Organization (O)]

会社、団体、機関、協会、その他のエンティティの名前。

[Organizational Unit (OU)]

組織内のサブグループ。

[Serial Number (SER)]

証明書のシリアル番号。

[Surname (SN)]

証明書所有者の姓。

[State/Province (S/P)]

組織が所在する州や県。

[Title (T)]

証明書所有者の役職(Dr. など)。

[User ID (UID)]

証明書所有者の ID 番号。

[Secondary DN Field]:(オプション)IMAP4S 認可用に設定するセカンダリ DN フィールドを選択します。デフォルトは [OU] です。オプションには、上記の表に記載されているすべてに加え、セカンダリ フィールドを指定しない場合に選択する [None] があります。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

SMTPS タブ

SMTPS AAA パネルでは、AAA サーバ グループを関連付け、SMTPS セッションに適用するデフォルトのグループ ポリシーを設定します。

フィールド

[AAA server groups]:[AAA Server Groups] パネル([Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups])に移動する場合にクリックします。ここでは、AAA サーバ グループを追加または編集できます。

[group policy]:[Group Policy] パネル([Configuration] > [Features] > [VPN] > [General] > [Group Policy])に移動する場合にクリックします。ここでは、グループ ポリシーを追加または編集できます。

[Authentication Server Group]:SMTPS ユーザ認証用の認証サーバ グループを選択します。デフォルトでは、認証サーバが設定されていません。AAA を SMTPS 用の認証方式として設定した場合には([Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル)、AAA サーバを設定してここで選択しないと、常に認証に失敗します。

[Authorization Server Group]:SMTPS ユーザ認可用の認可サーバ グループを選択します。デフォルトでは、認可サーバが設定されていません。

[Accounting Server Group]:SMTPS ユーザ アカウンティング用のアカウンティング サーバ グループを選択します。デフォルトでは、アカウンティング サーバが設定されていません。

[Default Group Policy]:AAA が CLASSID アトリビュートを返さない場合に SMTPS ユーザに適用するグループ ポリシーを選択します。デフォルトのグループ ポリシーを指定しなかった場合と、CLASSID が存在しない場合には、セキュリティ アプライアンスがセッションを確立できません。

[Authorization Settings]:セキュリティ アプライアンスが SMTPS 認可のために認識するユーザ名の値を設定できるようにします。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 認可を必要とする SMTPS ユーザに適用されます。

[User the entire DN as the username]:SMTPS 認可用の完全修飾ドメイン名を使用する場合に選択します。

[Specify individual DN fields as the username]:ユーザ認可用に特定の DN フィールドを指定する場合に選択します。

[DN] フィールドは、プライマリとセカンダリの 2 つを選択できます。たとえば、EA を選択した場合には、ユーザは E メール アドレスによって認証されます。John Doe という通常名(CN)と johndoe@cisco.com という E メール アドレスを持つユーザは、John Doe または johndoe として認証されません。彼は johndoe@cisco.com として認証される必要があります。EA および O を選択した場合、John Does は johndoe@cisco.com および Cisco Systems, Inc. として認証される必要があります。

[Primary DN Field]:SMTPS 認可用に設定するプライマリ DN フィールドを選択します。デフォルトは [CN] です。オプションは次のとおりです。

DN フィールド
内容

[Country (C)]

2 文字の国名略語。国名コードは、ISO 3166 国名略語に準拠しています。

[Common Name (CN)]

ユーザ、システム、その他のエンティティの名前。これは、ID 階層の最下位(最も固有性の高い)レベルです。

[DN Qualifier (DNQ)]

特定の DN アトリビュート。

[E-mail Address (EA)]

証明書を所有するユーザ、システム、またはエンティティの E メール アドレス。

[Generational Qualifier (GENQ)]

Jr.、Sr.、または III などの世代修飾子。

[Given Name (GN)]

証明書所有者の名前(名)。

[Initials (I)]

証明書所有者の姓と名の最初の文字。

[Locality (L)]

組織が所在する市町村。

[Name (N)]

証明書所有者の名前。

[Organization (O)]

会社、団体、機関、協会、その他のエンティティの名前。

[Organizational Unit (OU)]

組織内のサブグループ。

[Serial Number (SER)]

証明書のシリアル番号。

[Surname (SN)]

証明書所有者の姓。

[State/Province (S/P)]

組織が所在する州や県。

[Title (T)]

証明書所有者の役職(Dr. など)。

[User ID (UID)]

証明書所有者の ID 番号。

[Secondary DN Field] :(オプション)SMTPS 認可用に設定するセカンダリ DN フィールドを選択します。デフォルトは [OU] です。オプションには、上記の表に記載されているすべてに加え、セカンダリ フィールドを指定しない場合に選択する [None] があります。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

アクセスについて

[E-mail Proxy Access] 画面では、E メール プロキシを設定するインターフェイスを識別できます。E メール プロキシは、個々のインターフェイスで設定および編集できます。また、1 つのインターフェイスで E メール プロキシを設定および編集すれば、その設定をすべてのインターフェイスに適用できます。管理専用のインターフェイスやサブインターフェイスに対して E メール プロキシは設定できません。

フィールド

[Interface]:設定されているすべてのインターフェイスの名前を表示します。

[POP3S Enabled]:そのインターフェイスで POP3S がイネーブルかどうかを示します。

[IMAP4s Enabled]:そのインターフェイスで IMAP4S がイネーブルかどうかを示します。

[SMTPS Enabled]:そのインターフェイスで SMTPS がイネーブルかどうかを示します。

[Edit]:強調表示されているインターフェイスの E メール プロキシ設定を編集する場合にクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

[Edit E-Mail Proxy Access]

[E-mail Proxy Access] 画面では、E メール プロキシを設定するインターフェイスを識別できます。E メール プロキシは、個々のインターフェイスで設定できます。また、1 つのインターフェイスで E メール プロキシを設定すると、その設定をすべてのインターフェイスに適用できます。

フィールド

[Interface]:選択されたインターフェイスの名前を表示します。

[POP3S Enabled]:そのインターフェイスで POP3S をイネーブルにする場合に選択します。

[IMAP4S Enabled]:そのインターフェイスで IMAP4S をイネーブルにする場合に選択します。

[SMTPS Enabled]:そのインターフェイスで SMTPS をイネーブルにする場合に選択します。

[Apply to all interface]:現在のインターフェイスの設定を、設定されているすべてのインターフェイスに適用する場合に選択します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

[Authentication]

このパネルでは、E メール プロキシ セッションの認証方式を設定できます。

フィールド

[POP3S/IMAP4S/SMTPS Authentication]:各種 E メール プロキシの認証方式を設定します。複数の認証方式を選択できます。

[AAA]:AAA 認証を必須にする場合に選択します。このオプションを使用するには、AAA サーバを設定する必要があります。ユーザは、ユーザ名、サーバ、およびパスワードを入力します。ユーザは、VPN ユーザ名と E メール ユーザ名の両方を入力する必要があります。そのとき、互いのユーザ名が異なる場合にだけ、VPN 名デリミタによって区切ります。

[Certificate]:現在のセキュリティ アプライアンス ソフトウェア リリースでは、E メール プロキシに対して証明書認証が機能しません。

[Piggyback HTTPS]:ピギーバック認証を必須にする場合に選択します。

この認証スキームは、ユーザがすでにクライアントレス SSL VPN セッションを確立していることを必須とします。そのため、ユーザは E メール ユーザ名だけを入力します。パスワードは不要です。ユーザは、VPN ユーザ名と E メール ユーザ名の両方を入力する必要があります。そのとき、互いのユーザ名が異なる場合にだけ、VPN 名デリミタによって区切ります。

SMTPS E メールは、最も頻繁にピギーバックを使用します。ほとんどの SMTP サーバが、ユーザがログインすることを許可していないためです。


) IMAP は、同時ユーザ数によって制限されない多数のセッションを生成しますが、ユーザ名に対して許可されている同時ログインの数を数えません。IMAP セッションの数がこの最大値を超え、クライアントレス SSL VPN 接続の有効期限が切れた場合には、その後ユーザが新しい接続を確立できません。以下の方法が考えられます。

- IMAP アプリケーションを閉じてセキュリティ アプライアンスとのセッションをクリアし、新しいクライアントレス SSL VPN 接続を確立する。
- 管理者が IMAP ユーザの同時ログイン数を増やす([Configuration] > [Features] > [VPN] > [General] > [Group Policy] > [Edit Group Policy] > [General])。
- E メール プロキシの HTTPS/ピギーバック認証をディセーブルにする。


[Mailhost]:(SMTPS のみ)メールホスト認証を必須にする場合に選択します。POP3S と IMAP4S は必ずメールホスト認証を実行するため、このオプションは、SMTPS の場合にだけ表示されます。この認証方式では、ユーザの E メール ユーザ名、サーバ、およびパスワードが必要です。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

[Default Servers]

このパネルでは、セキュリティ アプライアンスのプロキシ サーバを識別できます。適切なプロキシ サーバの IP アドレスとポートを入力します。

フィールド

[POP3S/IMAP4S/SMTPS Default Server]:E メール プロキシのデフォルト サーバ、ポート、および非認証セッション制限を設定します。

[Name or IP Address]:デフォルトの E メール プロキシ サーバの DNS 名または IP アドレスを入力します。

[Port]:セキュリティ アプライアンスがプロキシ トラフィックをリスンするポート番号を入力します。設定されたポートに対する接続が自動的に許可されます。E メール プロキシは、SSL 接続だけをこのポートで許可します。SSL トンネルが確立された後に E メール プロキシ プロトコルが開始され、認証が行われます。

POP3S のデフォルトのポートは 995 で、IMAP4S は 993、SMTPS は 988 です。

[Enable non-authenticated session limit]:非認証 E メール プロキシ セッションの数を制限する場合に選択します。

E メール プロキシ接続には、次の 3 つの状態があります。

1. 新規の E メール接続の場合には、「未認証」状態になります。

2. 接続がユーザ名を表示すると、「認証中」状態になります。

3. セキュリティ アプライアンスが接続を認証すると、「認証済み」状態になります。

この機能により、認証プロセスでのセッションの制限を設定でき、それによって DOS 攻撃を防ぎます。新しいセッションが、設定された制限を超えると、セキュリティ アプライアンスが最も古い非認証接続を終了します。非認証接続が存在しない場合には、最も古い認証接続が終了します。それによって認証済みのセッションが終了することはありません。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

[Delimiters]

 

このパネルでは、E メール プロキシ認証で使用するユーザ名/パスワード デリミタとサーバ デリミタを設定します。

フィールド

[POP3S/IMAP4S/SMTPS Delimiters]:各種 E メール プロキシのユーザ名/パスワード デリミタとサーバ デリミタを設定します。

[Username/Password Delimiter]:VPN ユーザ名と E メール ユーザ名を区切るためのデリミタを選択します。E メール プロキシで AAA 認証を使用する場合、および VPN ユーザ名と E メール ユーザ名が異なる場合に両方のユーザ名を使用します。ユーザは、両方のユーザ名を入力し、ここで設定したデリミタで区切ります。E メール プロキシ セッションにログインする場合には、E メール サーバ名も入力します。


) クライアントレス SSL VPN E メール プロキシ ユーザのパスワードに、デリミタとして使用されている文字を含めることはできません。


[Server Delimiter]:ユーザ名と E メール サーバ名を区切るためのデリミタを選択します。このデリミタは、VPN 名デリミタとは別にする必要があります。E メール プロキシ セッションにログインする場合には、ユーザ名フィールドにユーザ名とサーバの両方を入力します。

たとえば、VPN 名デリミタとして : を使用し、サーバ デリミタとして @ を使用する場合には、E メール プロキシ経由で E メール プログラムにログインするときに、vpn_username:e-mail_username@server という形式でユーザ名を入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--