第1回 Exchange Server 2007、4年分の進化を見よ
竹島 友理
NRIラーニングネットワーク株式会社
2008/7/7
Windows Server 2008をサポートしたサービスパックもリリースされ、Exchange Server 2007への移行を決意したIT管理者も多いのではないだろうか。そこで本連載は「Exchangeで作るセキュアなメッセージ環境」のアップデート版として、Exchange Server 2007での機能強化ポイントを中心に、移行のために必要な情報を詳細に解説する(編集部)
Exchange Server 2007で強化されたポイントに注目せよ
電子メールは小さな子どもでも携帯電話から手軽に使用できる、非常に便利なコミュニケーションツールです。電子メールは私たちの生活に密着し始め、いまや、日常生活においてもビジネスにおいても手放すことができない状況になってきています。しかし、「電子メールセキュリティの基礎知識」でも解説されているとおり、この手軽さ故に、電子メールがセキュリティ問題の起点になることが非常に多くなってきました。
| 【関連記事】 電子メールセキュリティの基礎知識 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_mailsec.html |
本連載では、メール環境としてMicrosoft Exchange Server 2007を取り上げ、スパム対策とウイルス対策をメインに、セキュアなメッセージ環境を実現する機能を何回かに分けて紹介していきます。ここで取り上げるトピックは、
- スパム対策機能
- ウイルス対策機能
- Microsoft Forefront Security for Exchange Serverとの連携
- トランスポートルール
- 暗号化
などを予定しています。
Exchange Server 2007のスパム対策機能とウイルス対策機能は、基本的な考え方はExchange Server 2003と共通ですが、さまざまな点で強化されています。連載第1回である今回は、Exchange Server 2003とExchange Server 2007の違いを比較しつつ、Exchange Server 2007のスパム対策について見ていきます。なお、Exchange Server 2003に関しては、連載「Exchangeで作るセキュアなメッセージ環境」を参照してください。
| 【関連記事】 Exchangeで作るセキュアなメッセージ環境(1) メッセージ環境の保護について考える http://www.atmarkit.co.jp/fsecurity/rensai/exchange01/exchange01.html |
Exchange Server 2003 SP2のスパム対策とウイルス対策
Exchange Server 2003では、ネットワーク境界に配置したExchange Server 2003サーバをSMTPゲートウェイとして構成し、ここでスパム対策とウイルス対策を実行します。つまり、インターネットからのメッセージを社内ネットワークに配信する前に、スパム対策機能とウイルス対策機能を実行します(この考え方は、Exchange Server 2007でも同様です)。
しかし、Exchange Server 2003には、“サーバの機能を明確に分けて構成する”という概念がないので、SMTPゲートウェイとはいっても、Active Directoryのメンバとして構成しているExchange Server 2003を外部に公開することになります(この考え方は、Exchange Server 2007で改善されています)。
|
| 図1 Exchange Server 2003のスパム対策とウイルス対策 |
Exchange Server 2003 SP2のスパム対策機能には、接続フィルタ(リアルタイムブロックリストも含む)、送信者のフィルタ、受信者のフィルタ、送信者IDフィルタ、インテリジェントメッセージフィルタ(IMF)といった5つのフィルタが用意されており、送信元のIPアドレスやメールアドレス、メッセージ内のキーワードなどを使用して、不要なメッセージをフィルタリングします。しかし、ウイルス対策においては、VSAPI(Virus Scanning API)しか提供されておらず、それのみではウイルス対策ができないので、別途サードパーティのウイルス対策ソフトウェアが必要となります。
以下は、Exchange Server 2003 SP2から[Exchange システムマネージャ]を起動し、[<組織>]−[グローバル設定]を展開して、[メッセージ配信]のプロパティを表示した画面です。Exchange Server 2003 SP2のスパム対策機能はすべて、この画面から設定します。
|
| 図2 Exchange Server 2003 SP2 のスパム対策機能の設定画面 |
Exchange Server 2007での進化
一方、Exchange Server 2007環境におけるスパム対策機能とウイルス対策機能は、ネットワーク境界に配置した「エッジトランスポート」というサーバの役割を持つExchange Server 2007が担当します。Exchange Server 2007のエッジトランスポートサーバは、ワークグループで構成することになっているので、安心してネットワーク境界に展開できます(これは、Exchange Server 2003と違う点です)。エッジトランスポートサーバは、インターネットからメッセージを受信すると、事前に定義したフィルタやルールに従って、スパム対策機能とウイルス対策機能を実行します。
以下は、エッジトランスポートサーバから[Exchange管理コンソール]を起動した画面です。
|
| 図3 エッジトランスポートサーバのExchange管理コンソール |
ところで、Exchange Server 2007が持っているメッセージング機能のコンポーネントのことを「サーバの役割」といい、メール配信機能やメール格納機能などの5つの役割があります。そのうちの1つがエッジトランスポートサーバで、インターネットメッセージ配信を担当します。
サーバの役割 |
機能 |
展開 |
| メールボックスサーバ | ・メールボックスおよびパブリックフォルダを管理 など ※メッセージ配信機能は持っていない |
Active Directoryドメインのメンバとして、内部ネットワークに展開 |
| ハブ トランスポートサーバ | ・メッセージの配信 ・トランスポートルールの実行 ・スパム対策とウイルス対策(オプション) など |
Active Directoryドメインのメンバとして、内部ネットワークに展開 |
| クライアントアクセスサーバ | ・Outlook(MAPI)以外のクライアントからのメールボックスアクセス ・ユーザーへのWebサービスの提供 など |
Active Directoryドメインのメンバとして、内部ネットワークに展開 |
| ユニファイドメッセージングサーバ | ・電話やFAXとメッセージング環境との統合 など | Active Directoryドメインのメンバとして、内部ネットワークに展開 |
| エッジトランスポートサーバ | ・インターネットメッセージ配信 ・スパム対策とウイルス対策 ・トランスポートルールの実行 など |
ワークグループで構成し、ネットワーク境界に展開 |
| 表1 Exchange Server 2007の5つのサーバの役割 |
インターネットから送られてくるメッセージは、エッジトランスポートサーバが最初に受信するので、エッジトランスポートサーバでスパム対策機能とウイルス対策機能を実行することが、最も安全で、最も効率的です。
 |
| 図4 エッジトランスポートサーバとハブトランスポートサーバ |
| 【コラム】 ハブトランスポートサーバのスパム対策機能 標準では、スパム対策機能はエッジトランスポートサーバで実行しますが、社内ネットワークのメッセージ配信を担当するハブトランスポートサーバでスパム対策機能を実行することもできます。その場合は、[Exchange 管理シェル]を起動し、既定で、C:\Program Files\Microsoft\Exchange Server\Scriptsフォルダにある install-AntispamAgents.ps1スクリプトファイルを実行してください。スパム対策の機能がハブトランスポートサーバに追加されます。 |
1/4 |
 |
| Index | |
| Exchange Server 2007、4年分の進化を見よ | |
 |
Page1 Exchange Server 2007で強化されたポイントに注目せよ Exchange Server 2003 SP2のスパム対策とウイルス対策 Exchange Server 2007での進化 |
| Page2 強化されたスパムフィルタ Exchange Server 2007の接続フィルタ |
|
| Page3 送信者のフィルタ設定 受信者のフィルタ設定 |
|
| Page4 Exchange Server 2007 のSender IDフィルタ 動的なスパム対策を実現する送信者評価フィルタ |
|
 |
新・Exchangeで作るセキュアなメッセージ環境 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
