クライアント証明書を使用した SMTP セッションの認証

この章は、次の項で構成されています。

証明書と SMTP 認証の概要

電子メールゲートウェイは、電子メールゲートウェイとユーザのメールクライアント間の SMTP セッションを認証するためにクライアント証明書の使用をサポートします。電子メールゲートウェイは、アプリケーションがメッセージを送信するために電子メールゲートウェイに接続しようとするときに、ユーザのメールクライアントからのクライアント証明書を要求することができます。電子メールゲートウェイがクライアント証明書を受け取ったとき、証明書が有効である、有効期限が切れていない、無効になっていないことを確認します。証明書が有効であれば、電子メールゲートウェイは TLS 経由でメールアプリケーションからの SMTP 接続を許可します。

ユーザがメールクライアントに Common Access Card（CAC）を使用する必要がある組織では、CAC および ActivClient のミドルウェアアプリケーションが電子メールゲートウェイに提供する証明書を要求するために、この機能を使用して電子メールゲートウェイを設定できます。

メールの送信時にユーザに証明書を提供することを要求するように電子メールゲートウェイを設定できますが、ここでは特定のユーザに対する例外を許可します。これらのユーザには、ユーザの認証に SMTP 認証 LDAP クエリーを使用するように電子メールゲートウェイを設定できます。

ユーザはセキュア接続（TLS）経由でメッセージを送信するために自分のメールクライアントを設定し、電子メールゲートウェイからサーバ証明書を受け入れる必要があります。

クライアント証明書でのユーザの認証方法

表 1. クライアント証明書でのユーザの認証方法
	操作内容	詳細
ステップ 1	LDAP サーバの認証クエリを定義します。	クライアント証明書の有効性の確認
ステップ 2	証明書ベースの SMTP 認証プロファイルを作成します。	クライアント証明書を使用した TLS 経由の SMTP 接続の認証
ステップ 3	証明書 SMTP 認証プロファイルを使用するようにリスナーを設定します。	Web インターフェイスを使用してリスナーを作成することによる接続要求のリスニング
ステップ 4	TLS、クライアント認証および SMTP 認証を要求するように RELAYED メールフローポリシーを変更します。	電子メールゲートウェイからの TLS 接続の確立

SMTP 認証 LDAP クエリでのユーザの認証方法

表 2. SMTP 認証 LDAP クエリでのユーザの認証方法
	操作内容	詳細
ステップ 1	許可クエリー文字列と認証方式のバインドを使用する、サーバの SMTP 認証クエリーを定義します。	LDAP ディレクトリを使用したユーザの認証
ステップ 2	LDAP ベースの SMTP 認証プロファイルを作成します。	SMTP 認証を行うための AsyncOS の設定
ステップ 3	LDAP の SMTP 認証プロファイルを使用するようにリスナーを設定します。	ユーザが接続で LDAP ベースの SMTP 認証の使用を許可されていない場合は、電子メールゲートウェイが接続拒否するか、すべてのアクティビティを記録する間一時的に許可するかを選択します。
ステップ 4	TLS および SMTP 認証を要求するように RELAYED メールフローポリシーを変更します。	電子メールゲートウェイからの TLS 接続の確立

クライアント認証が無効な場合の LDAP SMTP 認証クエリでのユーザの認証方法

表 3. クライアント認証または LDAP SMTP 認証クエリーでのユーザの認証方法
	操作内容	詳細
ステップ 1	許可クエリー文字列と認証方式のバインドを使用する、サーバの SMTP 認証クエリーを定義します。	LDAP ディレクトリを使用したユーザの認証
ステップ 2	LDAP サーバの認証ベースのクエリーを定義します。	クライアント証明書の有効性の確認
ステップ 3	証明書ベースの SMTP 認証プロファイルを作成します。	クライアント証明書を使用した TLS 経由の SMTP 接続の認証
ステップ 4	LDAP の SMTP 認証プロファイルを作成します。	SMTP 認証を行うための AsyncOS の設定
ステップ 5	証明書 SMTP 認証プロファイルを使用するようにリスナーを設定します。	Web インターフェイスを使用してリスナーを作成することによる接続要求のリスニング
ステップ 6	次の設定を使用するように RELAYED メールフローポリシーを変更します。 TLS 推奨 SMTP 認証必須 SMTP 認証のために TLS が必要	電子メールゲートウェイからの TLS 接続の確立

クライアント証明書の有効性の確認

ユーザのメールクライアントと電子メールゲートウェイ間の SMTP セッションを認証するために、証明書認証 LDAP クエリがクライアント証明書の有効性をチェックします。このクエリを作成する際に、認証のための証明書フィールドのリストを選択して、ユーザー ID 属性（デフォルトは uid）を指定して、クエリ文字列を入力します。

たとえば、証明書の共通名とシリアル番号を検索するクエリー文字列は、(&(objectClass-posixAccount)(caccn={cn})(cacserial={sn}) のようになります。クエリーを作成した後で、証明書 SMTP 認証プロファイルで使用できます。この LDAP クエリーは、OpenLDAP、Active Directory および Oracle Directory をサポートします。

LDAP サーバの設定の詳細については、LDAP クエリを参照してください。

手順

ステップ 1	[システム管理（System Administration）] > [LDAP] を選択します。
ステップ 2	新しい LDAP プロファイルを作成します。詳細については、LDAP サーバに関する情報を格納する LDAP サーバプロファイルの作成を参照してください。
ステップ 3	[認証クエリーを証明（Certificate Authentication Query）] チェックボックスをオンにします。
ステップ 4	クエリー名を入力します。
ステップ 5	ユーザの証明書を認証するためのクエリー文字列を入力します。たとえば、`(&(objectClass=user)(cn={cn}))` と入力します。
ステップ 6	`sAMAccountName` などのユーザ ID 属性を入力します。
ステップ 7	変更を送信し、保存します。

LDAP ディレクトリを使用したユーザの認証

SMTP 認証 LDAP クエリーには、電子メールゲートウェイがユーザのメールクライアントが LDAP ディレクトリのユーザのレコードに基づいて電子メールゲートウェイを介してメール送信できるかを判断する、許可クエリー文字列が含まれています。これは、レコードに許可することが指定してされていれば、クライアントの証明書のないユーザがメールを送信することが可能です。

その他の属性に基づいた結果のフィルタリングもできます。たとえば、(&(uid={u})(|(!(caccn=*))(cacexempt=*)(cacemergency>={t}))) というクエリー文字列は、次の条件のいずれかがユーザに当てはまるかどうかチェックします。

CAC がユーザに発行されていない（caccn=*）
CAC が免除される（cacexempt=*）
CAC なしで一時的にユーザがメールを送信できる期間が将来切れる（cacemergency>={t}）

SMTP 認証クエリーの使用の詳細については、SMTP 認証を行うための AsyncOS の設定を参照してください。

手順

ステップ 1	[システム管理（System Administration）] > [LDAP] を選択します。
ステップ 2	LDAP プロファイルを定義します。詳細については、LDAP サーバに関する情報を格納する LDAP サーバプロファイルの作成を参照してください。
ステップ 3	LDAP プロファイルの SMTP 認証クエリーを定義します。
ステップ 4	[SMTP 認証クエリー（SMTP Authentication Query）] チェックボックスをオンにします。
ステップ 5	クエリー名を入力します。
ステップ 6	ユーザの ID を問い合わせる文字列を入力します。たとえば、`(uid={u})`。
ステップ 7	認証方式に [LDAP BIND] を選択します。
ステップ 8	許可クエリー文字列を入力します。たとえば、`(&(uid={u})(\|(!(caccn=))(cacexempt=)(cacemergency>={t})))`。
ステップ 9	変更を送信し、保存します。

クライアント証明書を使用した TLS 経由の SMTP 接続の認証

証明書ベースの SMTP 認証プロファイルでは、電子メールゲートウェイがクライアント証明書を使用して TLS 経由の SMTP 接続を認証できます。プロファイルを作成する場合、証明書を確認するために使用する証明書認証 LDAP クエリーを選択します。また、クライアント証明書が使用できなかった場合、電子メールゲートウェイがユーザを認証するための SMTP AUTH コマンドにフォールバックするかどうかを指定できます。

LDAP を使用した SMTP 接続の認証の詳細については、SMTP 認証を行うための AsyncOS の設定を参照してください。

手順

ステップ 1

[ネットワーク（Network）] > [SMTP 認証（SMTP Authentication）] を選択します。

ステップ 2

[プロファイルを追加（Add Profile）] をクリックします。

ステップ 3

SMTP 認証プロファイルの名前を入力します。

ステップ 4

[プロファイルタイプ（Profile Type）] で [証明書（Certificate）] を選択します。

ステップ 5

[Next] をクリックします。

ステップ 6

プロファイル名を入力します。

ステップ 7

この SMTP 認証プロファイルに使用する証明書 LDAP クエリーを選択します。

（注）

クライアント証明書が使用可能でない場合、SMTP AUTH コマンドを許可するオプションを選択しないでください。

ステップ 8

[終了（Finish）] をクリックします。

ステップ 9

変更を送信し、保存します。

電子メールゲートウェイからの TLS 接続の確立

RELAYED メールフローポリシーの [クライアント証明書の検証（Verify Client Certificate）] オプションは、クライアント証明書が有効な場合ユーザのメールアプリケーションへの TLS 接続を確立するように電子メールゲートウェイに指示します。TLS 推奨設定にこのオプションを選択した場合、ユーザが証明書を持たない場合にも電子メールゲートウェイは非 TLS 接続を許可しますが、ユーザが無効な証明書を持っている場合は、接続を拒否します。TLS 必須設定の場合、このオプションを選択すると、電子メールゲートウェイが接続を許可するために有効な証明書が必要になります。

クライアント証明書を持つユーザの SMTP セッションを認証するには、次の設定を選択します。

TLS 必須（TLS - Required）
クライアント証明書の検証（Verify Client Certificate）
SMTP 認証が必要（Require SMTP Authentication）

（注）

SMTP 認証は必須ですが、電子メールゲートウェイは証明書認証を使用しているため、SMTP 認証 LDAP クエリを使用しません。

クライアント証明書の代わりに SMTP 認証クエリーを使用して、ユーザの SMTP セッションを認証するには、次の RELAYED メールフローポリシーの設定を選択します。

TLS 必須（TLS - Required）
SMTP 認証が必要（Require SMTP Authentication）

他のユーザからの LDAP ベースの SMTP 認証を許可する一方で、特定のユーザからのクライアント証明書の認証を要求するように電子メールゲートウェイに要求するには、次の RELAYED メールフローポリシーの設定を選択します。

TLS 推奨（TLS - Preferred）
SMTP 認証が必要（Require SMTP Authentication）
TLS に SMTP 認証を提供するよう義務付けます。

無効にされた証明書のリストの更新

E メールセキュリティアプライアンスは、ユーザの証明書が失効していないことを確認するために、証明書検証の一環として（証明書失効リストと呼ばれる）失効した証明書のリストを確認します。サーバ上でこのリストを最新のバージョンに保ち、電子メールゲートウェイはユーザが作成したスケジュールでこれをダウンロードします。

手順

ステップ 1	[ネットワーク（Network）] > [CRL ソース（CRL Sources）] に移動します。
ステップ 2	SMTP TLS 接続のため CRL チェックをイネーブルにします。 [グローバル設定（Global Settings）] で [設定を編集（Edit Settings）] をクリックします。（省略可能）すべてのオプションを選択する場合、[グローバル設定（Global Settings）] チェックボックスを選択します。インバウンドSMTP TLSのCRLチェック（CRL check for inbound SMTP TLS）。アウトバウンドSMTP TLSのCRLチェック（CRL check for outbound SMTP TLS） WebインターフェイスのCRLチェック（CRL Check for Web Interface） [インバウンドSMTP TLSのCRLチェック（CRL check for inbound SMTP TLS）]、[アウトバウンドSMTP TLSのCRLチェック（CRL check for outbound SMTP TLS）] または [WebインターフェイスのCRLチェック（CRL Check for Web Interface）] オプションのいずれかのチェックボックスを選択します。変更を送信します。
ステップ 3	[CRL ソースの追加（Add CRL Source）] をクリックします。
ステップ 4	CRL ソースの名前を入力します。
ステップ 5	ファイルタイプを選択します。ASN.1 または PEM を指定できます。
ステップ 6	ファイル名を含むファイルのプライマリソースの URL を入力します。たとえば、 `https://crl.example.com/certs.crl`
ステップ 7	電子メールゲートウェイがプライマリソースに接続できない場合は、必要に応じてセカンダリソースの URL を入力します。
ステップ 8	CRL ソースをダウンロードするスケジュールを指定します。
ステップ 9	CRL ソースをイネーブルにします。
ステップ 10	変更を送信し、保存します。

クライアント証明書を使用したユーザの SMTP セッションの認証

手順

ステップ 1

[システム管理（System Administration）] > [LDAP] に移動して、LDAP サーバプロファイルを設定します

ステップ 2

LDAP プロファイルの証明書クエリーを定義します。

クエリー名を入力します。
認証する証明書フィールド（シリアル番号、共通名など）を選択します。
クエリー文字列を入力します。たとえば、(&(caccn={cn})(cacserial={sn}))。
uid などのユーザ ID フィールドを入力します。
変更を送信します。

ステップ 3

[ネットワーク（Network）] > [SMTP認証（SMTP Authentication）] に移動し、証明書 SMTP 認証プロファイルを設定します。

プロファイル名を入力します。
使用する証明書 LDAP クエリーを選択します。
クライアント証明書が使用可能でない場合、SMTP AUTH コマンドを許可するオプションを選択しないでください。
変更を送信します。

ステップ 4

[ネットワーク（Network）] > [リスナー（Listener）] に移動して、作成した証明書 SMTP 認証プロファイルを使用するようにリスナーを設定します。

ステップ 5

TLS、クライアント認証および SMTP 認証を要求するように RELAYED メールフローポリシーを変更します。

（注）

SMTP 認証は必須ですが、電子メールゲートウェイは証明書認証を使用しているため、SMTP AUTH コマンドを使用しません。電子メールゲートウェイは、ユーザを認証するためにメールアプリケーションからのクライアント証明書を要求します。

ステップ 6

変更を送信し、保存します。

SMTP AUTH コマンドを使用したユーザの SMTP セッションの認証

電子メールゲートウェイでは、クライアント証明書の代わりに SMTP AUTH コマンドを使用してユーザの SMTP セッションを認証することができます。ユーザが接続で SMTP AUTH の使用を許可されていない場合は、電子メールゲートウェイが接続拒否するか、すべてのアクティビティを記録する間一時的に許可するかを選択できます。

手順

ステップ 1	[システム管理（System Administration）] > [LDAP] に移動して、LDAP サーバプロファイルを設定します。
ステップ 2	LDAP プロファイルの SMTP 認証クエリーを定義します。クエリー名を入力します。クエリー文字列を入力します。たとえば、`(uid={u})`。認証方式として [LDAP BIND] を選択します。許可クエリー文字列を入力します。たとえば、`(&(uid={u})(\|(!(caccn=))(cacexempt=)(cacemergency>={t})))`。変更を送信します。
ステップ 3	[ネットワーク（Network）] > [SMTP認証（SMTP Authentication）] に移動し、LDAP SMTP 認証プロファイルを設定します。プロファイル名を入力します。使用する SMTP 認証 LDAP クエリーを選択します。 [ユーザがSMTP AUTHコマンドを使用できるかどうかをLDAPで確認する（Check with LDAP if user is allowed to use SMTP AUTH Command）] を選択し、ユーザのアクティビティをモニタして報告することを選択します。変更を送信します。
ステップ 4	[ネットワーク（Network）] > [リスナー（Listener）] に移動して、作成した LDAP SMTP 認証プロファイルを使用するようにリスナーを設定します。
ステップ 5	TLS および SMTP 認証を要求するように RELAYED メールフローポリシーを変更します。
ステップ 6	変更を送信し、保存します。

クライアント証明書または SMTP AUTH を使用したユーザの SMTP セッションの認証

この設定では、電子メールゲートウェイが、クライアント証明書を持つユーザに対してはクライアント認証を要求し、クライアント認証を持たないユーザまたは電子メールの送信にクライアント認証を使用できないユーザに対しては SMTP AUTH を許可する必要があります。

許可されていないユーザによる SMTP AUTH コマンドの使用は禁止されます。

手順

ステップ 1	[システム管理（System Administration）] > [LDAP] に移動して、LDAP サーバプロファイルを設定します。
ステップ 2	プロファイルの SMTP 認証クエリーを定義します。クエリー名を入力します。クエリー文字列を入力します。たとえば、`(uid={u})`。認証方式として [LDAP BIND] を選択します。許可クエリー文字列を入力します。たとえば、`(&(uid={u})(\|(!(caccn=))(cacexempt=)(cacemergency>={t})))`。
ステップ 3	LDAP プロファイルの証明書クエリーを定義します。クエリー名を入力します。認証するクライアント証明書フィールド（シリアル番号、共通名など）を選択します。クエリー文字列を入力します。たとえば、`(&(caccn={cn})(cacserial={sn}))`。 uid などのユーザ ID フィールドを入力します。変更を送信します。
ステップ 4	[ネットワーク（Network）] > [SMTP認証（SMTP Authentication）] に移動し、LDAP SMTP 認証プロファイルを設定します。プロファイル名を入力します。使用する SMTP 認証 LDAP クエリーを選択します。 [ユーザがSMTP AUTHコマンドを使用できるかどうかをLDAPで確認する（Check with LDAP if user is allowed to use SMTP AUTH Command）] を選択し、接続を拒否することを選択します。カスタム SMTP AUTH 応答を入力します。たとえば 525, “Dear user, please use your CAC to send email.” と入力します。変更を送信します。
ステップ 5	証明書 SMTP 認証プロファイルを設定します。プロファイル名を入力します。使用する証明書 LDAP クエリーを選択します。クライアント証明書が使用可能でない場合、SMTP AUTH コマンドを許可するオプションを選択します。ユーザにクライアント証明書がない場合に電子メールゲートウェイが使用する LDAP SMTP 認証プロファイルを選択します。変更を送信します。
ステップ 6	[ネットワーク（Network）] > [リスナー（Listener）] に移動して、作成した証明書 SMTP 認証プロファイルを使用するようにリスナーを設定します。
ステップ 7	RELAYED メールフローポリシーを変更して次のオプションを選択します。 TLS 推奨 SMTP 認証必須 SMTP 認証のために TLS が必要
ステップ 8	変更を送信し、保存します。

AsyncOS 15.5.1 for Cisco Secure Email Cloud Gateway ユーザーガイド（一般導入）

偏向のない言語

翻訳について

Book Title

AsyncOS 15.5.1 for Cisco Secure Email Cloud Gateway ユーザーガイド（一般導入）

Chapter Title