- - PR -
メールサーバー同士の暗号化
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-03-08 15:48
はじめまして!
ネットワークの運用管理をしている「とし」と申します。 このたび、メールのセキュリティー強化を行うにあたって TLSを使用する動きがあるのですが、 暗号化をするのがクライアント、サーバー間ではなく、 関連会社のメールサーバー間にだけ暗号化をしたいとのことです 環境的にはメールサーバーはお互いの会社にあります。 お互いの会社はファイアーウォールを経由して専用線で接続されてます。 インターネットはお互い別々に接続されています。 いままではお互いの会社宛のメールは専用線を経由してお互いの メールサーバーに接続されていました。 (インターネット経由でのメール送信では有りません) 関連会社以外の一般的なメールはメールサーバーがインターネット経由で 送信しています。 今回、ファイアーウォールや専用線を廃止する計画があるのですが、 メールをそのままインターネットへ流すのはセキュリティー的に よろしくないと言うことで暗号化をするという結論に達しました。 ただし、暗号化はお互いのメールサーバー間だけでよくすべての メールではありません。 色々調べてみたのですが、サーバー、クライアント間の暗号化などで 特定サーバーに対しての暗号化というのは見つかりませんでした。 (検索が甘いと思いますが....) サーバー上で暗号化プロトコルを導入するだけでは無理っぽいし クライアントから暗号化してメール送信した場合、特定の相手だけに 暗号化して相手側で復号化されるものでしょうか? まったく素人な質問ですみません。 よろしくお願いいたします。 | ||||||||
|
投稿日時: 2005-03-08 17:37
こんにちは。
サーバ間の暗号化となると、たとえばSTARTTLSなどで出来たと思ったのですが、 いかがでしょう。 ただ、私は扱ったことが無いので具体的なことは書けません。すみません。 ちなみに現在SMTPサーバソフトは何をお使いなのでしょうか? | ||||||||
|
投稿日時: 2005-03-08 19:28
同じく、自分でやったことはないですが...
公開鍵暗号でも使えば技術的には可能ですが、運用を考えるとあまり 現実的でない(鍵の管理、盗まれた場合の対応など)と思います。 STARTTLS が利用できる相手に対しては必ず STARTTLS する設定を 施すとか、特定の相手に対しては SMTP over SSL を使うように 設定するとか、そういう手じゃないでしょーか。 | ||||||||
|
投稿日時: 2005-03-09 01:17
MTA 同士でも TLS 通信は可能です。
でも要求する様な動作に設定可能かどうかは実装によると思います。 | ||||||||
|
投稿日時: 2005-03-09 08:58
直接の回答ではありませんが。 関連会社のサーバ間を VPN で接続するようにしてはいかがでしょうか? 現在、専用線であれば、うまくやればサーバの設定変更なしで済ますことも 可能かと思います。 | ||||||||
|
投稿日時: 2005-03-09 09:11
皆様
アドバイスありがとうございました。 綾瀬さん、ぽんすさん、はしもとさん> STARTTLSやSMTP Over SLLというのを使えばいいのでしょうかね? STARTTLSやSMTP Over SLLという方式は私の使っている メーラーにも設定がありました。 しかしながら、サーバーの動きがイメージできないのです。 悲しいかなサーバーの動作を理解できていないもので あっ SMTPサーバーはExchange2000を使っていると思います。 holicさん> VPNはセキュリティーやレスポンスの関係で無理だとおもいます。 | ||||||||
|
投稿日時: 2005-03-09 11:20
MUA から MTA への送信も、MTA から MTA への送信も SMTP 通信に 変わりない訳ですからクライアントとサーバの関係です。 今回の場合まず MTA が TLS/SSL に対応した SMTP クライアントに なれないといけません。これがクリアになれば次は SMTP クライアント が特定ドメインとの通信時に強制的に TLS/SSL 通信する設定が 出来なければなりません。 Postfix だったら送信側の smtp_tls_per_site で指定したマップに <送信先ドメイン> MUST って書くのかな。
私は Exchange2000 については何も知らないので、上記の事が 可能かどうかは分かりません。 [ メッセージ編集済み 編集者: はしもと 編集日時 2005-03-09 11:23 ] [ メッセージ編集済み 編集者: はしもと 編集日時 2005-03-09 11:24 ] | ||||||||
|
投稿日時: 2005-03-09 14:34
はしもとさん>
ありがとうございました。 ということは、サーバー通しでTLS/SLL通信が可能ということですよね しかも送り先(Domain)に対して有効、無効ができるということですかね? 教えていただいたことを元に勉強してみます。 なにせサーバー側の話なので苦労しております。 他の手の電子署名っていうのも今ひとつ理解できていないし。 クライアントからメールを送るときに署名つきで送るわけですよね この場合は任意で署名をつける、つけないを選択できるのでしょうか? しかもユーザーが意識せずに処理できればいいのですが。 相手ごとにメールの手順を変える場合は現実的ではありませんしね。 |