- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: 電子メール プロキシ
電子メール プロキシ
電子メール プロキシを設定すると、リモート電子メール機能をクライアントレス SSL VPN のユーザに拡張できます。ユーザが電子メール プロキシ経由で電子メール セッションを試行すると、電子メール クライアントが SSL プロトコルを使用してトンネルを確立します。
POP3S は、クライアントレス SSL VPN がサポートする電子メール プロキシの 1 つです。デフォルトでは、セキュリティ アプライアンスがポート 995 をリッスンし、ポート 995 または設定されたポートとの接続が自動的に許可されます。POP3 プロキシは、SSL 接続だけをそのポートで許可します。SSL トンネルが確立された後に POP3 プロトコルが開始され、認証が行われます。POP3S は、電子メール受信用のプロトコルです。
IMAP4S は、クライアントレス SSL VPN がサポートする電子メール プロキシの 1 つです。デフォルトでは、セキュリティ アプライアンスがポート 993 をリッスンし、ポート 993 または設定されたポートとの接続が自動的に許可されます。IMAP4S プロキシは、SSL 接続だけをそのポートで許可します。SSL トンネルが確立された後に IMAP4S プロトコルが開始され、認証が行われます。IMAP4S は、電子メール受信用のプロトコルです。
SMTPS は、クライアントレス SSL VPN がサポートする電子メール プロキシの 1 つです。デフォルトでは、セキュリティ アプライアンスがポート 988 をリッスンし、ポート 988 または設定されたポートとの接続が自動的に許可されます。SMTPS プロキシは、SSL 接続だけをそのポートで許可します。SSL トンネルが確立された後に SMTPS プロトコルが開始され、認証が行われます。SMTPS は、電子メール送信用のプロトコルです。
電子メール プロキシの設定
•
インターフェイスで電子メール プロキシをイネーブルにする。
• AAA サーバ グループとデフォルトのグループ ポリシーを設定する。
また、電子メール プロキシを設定するに当たっては、次の要件があります。
• 電子メール プロキシを経由してローカルとリモートの両方から電子メールにアクセスするユーザは、電子メール プログラムで、ローカル アクセス用とリモート アクセス用に別々の電子メール アドレスが必要です。
AAA
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[POP3S] タブ
POP3S AAA パネルでは、AAA サーバ グループを関連付け、POP3S セッションに適用するデフォルトのグループ ポリシーを設定します。
• [AAA server groups]:[AAA Server Groups] パネル([Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups])に移動する場合にクリックします。ここでは、AAA サーバ グループを追加または編集できます。
• [group policy]:[Group Policy] パネル([Configuration] > [Features] > [VPN] > [General] > [Group Policy])に移動する場合にクリックします。ここでは、グループ ポリシーを追加または編集できます。
• [Authentication Server Group]:POP3S ユーザ認証用の認証サーバ グループを選択します。デフォルトでは、認証サーバが設定されていません。AAA を POP3S 用の認証方式として設定した場合には([Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル)、AAA サーバを設定してここで選択しないと、常に認証に失敗します。
• [Authorization Server Group]:POP3S ユーザ許可用の許可サーバ グループを選択します。デフォルトでは、許可サーバが設定されていません。
• [Accounting Server Group]:POP3S ユーザ アカウンティング用のアカウンティング サーバ グループを選択します。デフォルトでは、アカウンティング サーバが設定されていません。
• [Default Group Policy]:AAA が CLASSID 属性を返さない場合に POP3S ユーザに適用するグループ ポリシーを選択します。長さは、4 ~ 15 文字の英数字です。デフォルトのグループ ポリシーを指定しなかった場合と、CLASSID が存在しない場合には、セキュリティ アプライアンスがセッションを確立できません。
• [Authorization Settings]:セキュリティ アプライアンスが POP3S 許可のために認識するユーザ名の値を設定できるようにします。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 許可を必要とする POP3S ユーザに適用されます。
– [User the entire DN as the username]:POP3S 許可用の認定者名を使用する場合に選択します。
– [Specify individual DN fields as the username]:ユーザ許可用に特定の DN フィールドを指定する場合に選択します。
[DN] フィールドは、プライマリとセカンダリの 2 つを選択できます。たとえば、EA を選択した場合には、ユーザは電子メール アドレスによって認証されます。John Doe という一般名(CN)と johndoe@cisco.com という電子メール アドレスを持つユーザは、John Doe または johndoe として認証されません。彼は johndoe@cisco.com として認証される必要があります。EA および O を選択した場合、John Does は johndoe@cisco.com および Cisco Systems, Inc. として認証される必要があります。
– [Primary DN Field]:POP3S 許可用に設定するプライマリ [DN] フィールドを選択します。デフォルトの設定は CN です。オプションには、次のものが含まれます。
|
|
|
|---|---|
– [Secondary DN Field]:(任意)POP3S 許可用に設定するセカンダリ DN フィールドを選択します。デフォルトの設定は OU です。オプションには、上記の表に記載されているものすべてに加えて、[None] があります。これは、セカンダリ フィールドを指定しない場合に選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[IMAP4S] タブ
IMAP4S AAA パネルでは、AAA サーバ グループを関連付け、IMAP4S セッションに適用するデフォルトのグループ ポリシーを設定します。
• [AAA server groups]:[AAA Server Groups] パネル([Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups])に移動する場合にクリックします。ここでは、AAA サーバ グループを追加または編集できます。
• [group policy]:[Group Policy] パネル([Configuration] > [Features] > [VPN] > [General] > [Group Policy])に移動する場合にクリックします。ここでは、グループ ポリシーを追加または編集できます。
• [Authentication Server Group]:IMAP4S ユーザ認証用の認証サーバ グループを選択します。デフォルトでは、認証サーバが設定されていません。AAA を IMAP4S 用の認証方式として設定した場合には([Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル)、AAA サーバを設定してここで選択しないと、常に認証に失敗します。
• [Authorization Server Group]:IMAP4S ユーザ許可用の許可サーバ グループを選択します。デフォルトでは、許可サーバが設定されていません。
• [Accounting Server Group]:IMAP4S ユーザ アカウンティング用のアカウンティング サーバ グループを選択します。デフォルトでは、アカウンティング サーバが設定されていません。
• [Default Group Policy]:AAA が CLASSID 属性を返さない場合に IMAP4S ユーザに適用するグループ ポリシーを選択します。デフォルトのグループ ポリシーを指定しなかった場合と、CLASSID が存在しない場合には、セキュリティ アプライアンスがセッションを確立できません。
• [Authorization Settings]:セキュリティ アプライアンスが IMAP4S 許可のために認識するユーザ名の値を設定できるようにします。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 許可を必要とする IMAP4S ユーザに適用されます。
– [User the entire DN as the username]:IMAP4S 許可用の完全修飾ドメイン名を使用する場合に選択します。
– [Specify individual DN fields as the username]:ユーザ許可用に特定の DN フィールドを指定する場合に選択します。
[DN] フィールドは、プライマリとセカンダリの 2 つを選択できます。たとえば、EA を選択した場合には、ユーザは電子メール アドレスによって認証されます。John Doe という一般名(CN)と johndoe@cisco.com という電子メール アドレスを持つユーザは、John Doe または johndoe として認証されません。彼は johndoe@cisco.com として認証される必要があります。EA および O を選択した場合、John Does は johndoe@cisco.com および Cisco Systems, Inc. として認証される必要があります。
– [Primary DN Field]:IMAP4S 許可用に設定するプライマリ DN フィールドを選択します。デフォルトの設定は CN です。オプションには、次のものが含まれます。
|
|
|
|---|---|
– [Secondary DN Field]:(任意)IMAP4S 許可用に設定するセカンダリ DN フィールドを選択します。デフォルトの設定は OU です。オプションには、上記の表に記載されているものすべてに加えて、[None] があります。これは、セカンダリ フィールドを指定しない場合に選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[SMTPS] タブ
SMTPS AAA パネルでは、AAA サーバ グループを関連付け、SMTPS セッションに適用するデフォルトのグループ ポリシーを設定します。
• [AAA server groups]:[AAA Server Groups] パネル([Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups])に移動する場合にクリックします。ここでは、AAA サーバ グループを追加または編集できます。
• [group policy]:[Group Policy] パネル([Configuration] > [Features] > [VPN] > [General] > [Group Policy])に移動する場合にクリックします。ここでは、グループ ポリシーを追加または編集できます。
• [Authentication Server Group]:SMTPS ユーザ認証用の認証サーバ グループを選択します。デフォルトでは、認証サーバが設定されていません。AAA を SMTPS 用の認証方式として設定した場合には([Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル)、AAA サーバを設定してここで選択しないと、常に認証に失敗します。
• [Authorization Server Group]:SMTPS ユーザ許可用の許可サーバ グループを選択します。デフォルトでは、許可サーバが設定されていません。
• [Accounting Server Group]:SMTPS ユーザ アカウンティング用のアカウンティング サーバ グループを選択します。デフォルトでは、アカウンティング サーバが設定されていません。
• [Default Group Policy]:AAA が CLASSID 属性を返さない場合に SMTPS ユーザに適用するグループ ポリシーを選択します。デフォルトのグループ ポリシーを指定しなかった場合と、CLASSID が存在しない場合には、セキュリティ アプライアンスがセッションを確立できません。
• [Authorization Settings]:セキュリティ アプライアンスが SMTPS 許可のために認識するユーザ名の値を設定できるようにします。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 許可を必要とする SMTPS ユーザに適用されます。
– [User the entire DN as the username]:SMTPS 許可用の完全修飾ドメイン名を使用する場合に選択します。
– [Specify individual DN fields as the username]:ユーザ許可用に特定の DN フィールドを指定する場合に選択します。
[DN] フィールドは、プライマリとセカンダリの 2 つを選択できます。たとえば、EA を選択した場合には、ユーザは電子メール アドレスによって認証されます。John Doe という一般名(CN)と johndoe@cisco.com という電子メール アドレスを持つユーザは、John Doe または johndoe として認証されません。彼は johndoe@cisco.com として認証される必要があります。EA および O を選択した場合、John Does は johndoe@cisco.com および Cisco Systems, Inc. として認証される必要があります。
– [Primary DN Field]:SMTPS 許可用に設定するプライマリ DN フィールドを選択します。デフォルトの設定は CN です。オプションには、次のものが含まれます。
|
|
|
|---|---|
– [Secondary DN Field]:(任意)SMTPS 許可用に設定するセカンダリ DN フィールドを選択します。デフォルトの設定は OU です。オプションには、上記の表に記載されているものすべてに加えて、[None] があります。これは、セカンダリ フィールドを指定しない場合に選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
アクセス
[E-mail Proxy Access] 画面では、電子メール プロキシを設定するインターフェイスを識別できます。電子メール プロキシは、個々のインターフェイスで設定および編集できます。また、1 つのインターフェイスで電子メール プロキシを設定および編集すれば、その設定をすべてのインターフェイスに適用できます。管理専用のインターフェイスやサブインターフェイスに対して電子メール プロキシは設定できません。
• [Interface]:設定されているすべてのインターフェイスの名前を表示します。
• [POP3S Enabled]:そのインターフェイスで POP3S がイネーブルかどうかを示します。
• [IMAP4s Enabled]:そのインターフェイスで IMAP4S がイネーブルかどうかを示します。
• [SMTPS Enabled]:そのインターフェイスで SMTPS がイネーブルかどうかを示します。
• [Edit]:強調表示されているインターフェイスの電子メール プロキシ設定を編集する場合にクリックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Edit E-Mail Proxy Access
[E-mail Proxy Access] 画面では、電子メール プロキシを設定するインターフェイスを識別できます。電子メール プロキシは、個々のインターフェイスで設定できます。また、1 つのインターフェイスで電子メール プロキシを設定すると、その設定をすべてのインターフェイスに適用できます。
• [Interface]:選択されたインターフェイスの名前を表示します。
• [POP3S Enabled]:そのインターフェイスで POP3S をイネーブルにする場合に選択します。
• [IMAP4S Enabled]:そのインターフェイスで IMAP4S をイネーブルにする場合に選択します。
• [SMTPS Enabled]:そのインターフェイスで SMTPS をイネーブルにする場合に選択します。
• [Apply to all interface]:現在のインターフェイスの設定を、設定されているすべてのインターフェイスに適用する場合に選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Authentication
このパネルでは、電子メール プロキシ セッションの認証方式を設定できます。
[POP3S/IMAP4S/SMTPS Authentication]:各種電子メール プロキシの認証方式を設定します。複数の認証方式を選択できます。
• [AAA]:AAA 認証を必須にする場合に選択します。このオプションを使用するには、AAA サーバを設定する必要があります。ユーザは、ユーザ名、サーバ、およびパスワードを入力します。ユーザは、VPN ユーザ名と電子メール ユーザ名の両方を入力する必要があります。そのとき、互いのユーザ名が異なる場合にだけ、VPN 名デリミタによって区切ります。
• [Certificate]:現在のセキュリティ アプライアンス ソフトウェア リリースでは、電子メール プロキシに対して証明書認証が機能しません。
• [Piggyback HTTPS]:ピギーバック認証を必須にする場合に選択します。
この認証スキームは、ユーザがすでにクライアントレス SSL VPN セッションを確立していることを必須とします。そのため、ユーザは電子メール ユーザ名だけを入力します。パスワードは不要です。ユーザは、VPN ユーザ名と電子メール ユーザ名の両方を入力する必要があります。そのとき、互いのユーザ名が異なる場合にだけ、VPN 名デリミタによって区切ります。
SMTPS 電子メールは、最も頻繁にピギーバックを使用します。ほとんどの SMTP サーバが、ユーザがログインすることを許可していないためです。
(注) IMAP は、同時ユーザ数によって制限されない多数のセッションを生成しますが、ユーザ名に対して許可されている同時ログインの数を数えません。IMAP セッションの数がこの最大値を超え、クライアントレス SSL VPN 接続の有効期限が切れた場合には、その後ユーザが新しい接続を確立できません。以下の解決策があります。
- ユーザが IMAP アプリケーションを終了して セキュリティ アプライアンス とのセッションをクリアしてから、新しいクライアントレス SSL VPN 接続を確立する。
- 管理者が IMAP ユーザの同時ログイン数を増やす([Configuration] > [Features] > [VPN] > [General] > [Group Policy] > [Edit Group Policy] > [General])。
- 電子メール プロキシの HTTPS/ピギーバック認証をディセーブルにする。
• [Mailhost]:(SMTPS のみ)メールホスト認証を必須にする場合に選択します。POP3S と IMAP4S は必ずメールホスト認証を実行するため、このオプションは、SMTPS の場合にだけ表示されます。この認証方式では、ユーザの電子メール ユーザ名、サーバ、およびパスワードが必要です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Default Servers
このパネルでは、セキュリティ アプライアンスのプロキシ サーバを識別できます。適切なプロキシ サーバの IP アドレスとポートを入力します。
• [POP3S/IMAP4S/SMTPS Default Server]:電子メール プロキシのデフォルト サーバ、ポート、および非認証セッション制限を設定します。
• [Name or IP Address]:デフォルトの電子メール プロキシ サーバの DNS 名または IP アドレスを入力します。
• [Port]:セキュリティ アプライアンスがプロキシ トラフィックをリッスンするポート番号を入力します。設定されたポートに対する接続が自動的に許可されます。電子メール プロキシは、SSL 接続だけをこのポートで許可します。SSL トンネルが確立された後に電子メール プロキシ プロトコルが開始され、認証が行われます。
POP3S のデフォルトのポートは 995 で、IMAP4S は 993、SMTPS は 988 です。
• [Enable non-authenticated session limit]:非認証電子メール プロキシ セッションの数を制限する場合に選択します。
1. 新規に電子メール接続が確立されると、「認証されていない」状態になります。
2. この接続でユーザ名が提示されると、「認証中」状態になります。
3. セキュリティ アプライアンスが接続を認証すると、「認証済み」状態になります。
この機能により、認証プロセスでのセッションの制限を設定でき、それによって DOS 攻撃を防ぎます。新しいセッションが、設定された制限を超えると、セキュリティ アプライアンスが最も古い非認証接続を終了します。非認証接続が存在しない場合には、最も古い認証接続が終了します。それによって認証済みのセッションが終了することはありません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Delimiters
このパネルでは、電子メール プロキシ認証で使用するユーザ名/パスワード デリミタとサーバ デリミタを設定します。
• [POP3S/IMAP4S/SMTPS Delimiters]:各種電子メール プロキシのユーザ名/パスワード デリミタとサーバ デリミタを設定します。
– [Username/Password Delimiter]:VPN ユーザ名と電子メール ユーザ名を区切るためのデリミタを選択します。電子メール プロキシで AAA 認証を使用する場合、および VPN ユーザ名と電子メール ユーザ名が異なる場合に両方のユーザ名を使用します。ユーザは、両方のユーザ名を入力し、ここで設定したデリミタで区切ります。電子メール プロキシ セッションにログインする場合には、電子メール サーバ名も入力します。
(注) クライアントレス SSL VPN 電子メール プロキシ ユーザのパスワードに、デリミタとして使用されている文字を含めることはできません。
– [Server Delimiter]:ユーザ名と電子メール サーバ名を区切るためのデリミタを選択します。このデリミタは、VPN 名デリミタとは別にする必要があります。電子メール プロキシ セッションにログインする場合には、ユーザ名フィールドにユーザ名とサーバの両方を入力します。
たとえば、VPN 名デリミタとして : を使用し、サーバ デリミタとして @ を使用する場合には、電子メール プロキシ経由で電子メール プログラムにログインするときに、vpn_username:e-mail_username@server という形式でユーザ名を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック