SMTP サーバーとクライアントは、プレーンテキスト形式でインターネットを介して通信します。通信は、通信当事者のいずれからも制御されておらず、信頼されていない 1 つ以上のルーターを介して行われることがよくあります。このような信頼できないルーターにより、第三者がサーバーとクライアント間の通信を傍受したり、通信を変更したりできるようになる可能性があります。
さらに、多くの場合、2 つの SMTP エージェントが相互に認証する必要があります。この目的で、クライアントとサーバーは、SMTP 接続の確立時に暗号化されていない形式で証明書を交換します。
クライアントで証明書を表示しない場合は、サーバーに匿名暗号を使用するよう要求することができます。一般的に、リモート側の暗号化設定は制御できませんが、メッセージの配信は保証される必要があります。この場合、メールの送受信に関しては緩和された設定が適用されます。KSMG Web インターフェイスでは、TLS 暗号化設定は、[設定]→[ビルトイン MTA]→[TLS 暗号化]セクションにあります。
リモートサーバーからメッセージを受信する場合、接続セキュリティレベルは、[サーバー TLS セキュリティレベル]ドロップダウンリストの選択内容によって決まります。既定の設定は[TLS 暗号化を試行]です。この場合、クライアントはサーバーに対して、STARTTLS コマンドを使用して暗号化された接続を確立するように要求します。サーバーが暗号化された接続を確立できない場合、接続は TLS 暗号化なしで確立されます。この段階で、これよりも厳格な設定(たとえば、[TLS 暗号化の要求])を設定すると、接続が終了し、メールメッセージは配信されません。
クラスタの作成時に、KSMG アプリケーションによって自己署名証明書が自動的に作成されます。この証明書は、[設定]→[ビルトイン MTA]→[TLS 暗号化]セクションの TLS 証明書のリストで「既定の証明書」という名前で表示されます。証明書の RSA 鍵の長さは 4096 ビットで、SHA-256 署名が付いています。緩和された設定を使用している場合、接続の TLS 暗号化にはこの証明書で十分です。
リモートサーバーにメッセージを送信する場合、接続セキュリティレベルは、[クライアント TLS セキュリティレベル]ドロップダウンリストの選択内容によって決まります。既定の設定は[TLS 暗号化を試行]です。これは、KSMG がリモートサーバーに TLS 暗号化による接続を確立するよう要求し、拒否された場合には暗号化されていない形式でメッセージを送信することを意味します。これよりも厳格な設定(たとえば、[TLS 暗号化を要求し、証明書を確認しない])を設定すると、TLS 証明書の検証の結果に関係なく、リモートサーバーによる TLS 暗号化のサポートが必要になります。[TLS 暗号化を要求し、証明書を確認する]が選択された場合、サーバーは一致する TLS 証明書を追加で生成する必要があります。リモートサーバーの設定と設定された値が一致しない場合、接続は終了し、メールは配信されません。
KSMG では、リスト内の各ドメインに対して TLS 暗号化を使用したメッセージ送信を設定できます。[設定]→[ビルトイン MTA]→[ドメイン]セクションで、個々のドメインに対するメッセージの送信を設定できます。
信頼できるエージェント間でメッセージを交換する時、SMTP 接続のセキュリティを強化するために次のような設定を使用することができます。たとえば、同じ会社内で、エージェントの TLS 暗号化に同一の厳格な設定を適用し、認証局によって認証された証明書を発行してアップロードし、不明な送信元からのメールを一切受け付けないようにします。設定を編集するには、[設定]→[ビルトイン MTA]→[TLS 暗号化]セクションで次の値を設定します:
厳格な TLS 暗号化設定を適用すると、サーバーの計算リソースの負荷が増加し、ゲートウェイのスループットが制限されます。
ページのトップに戻る