Share via


Exchange 2007 のセキュリティ ガイド

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-09-17

これまで、Microsoft Exchange Server の各バージョンについて Exchange チームは、アクセス許可とセキュリティの情報を含む、スタンドアロンのセキュリティ強化ガイドを発行してきました。この方法は、Exchange セットアップの実行後にサービスとディレクトリをロックダウンする場合は有意義でした。ただし、サーバーの役割ベースのセットアップによる Microsoft Exchange Server 2007 の場合、Microsoft Exchange では、インストールされているサーバーの役割に必要なサービスしか有効にすることができません。Microsoft Exchange ではもはや、インストールしてからセキュリティを強化するという方法は使用されません。出荷時設定時にセキュリティが確保されるように設計されています。

したがって、Exchange Server の以前のバージョンでは Exchange Server を実行しているサーバーを IT 管理者が複数の手順を実行してロックダウンする必要がありましたが、Exchange 2007 にはロックダウンや強化の必要はありません。

このガイドの内容

このガイドは、Exchange 2007 展開のセキュリティ保護を担当する IT 管理者向けに書かれています。IT 管理者が Exchange がインストールされているセキュリティ環境全体を理解し管理するのに役立つことを目的としています。このガイドには、以下の情報が含まれます。

  • Exchange 2007 のセキュリティ開発ライフ サイクル   ここでは、Exchange 2007 の開発過程の簡単な説明を示します。
  • ベスト プラクティス   ここでは、Exchange 2007 の安全な環境をセットアップして維持するためのベスト プラクティスを示します。
  • Exchange データ パスの保護   ここでは、Exchange 2007 で使用されるすべてのデータ パスとネットワーク通信パスの暗号化と認証の仕様を示します。
  • Exchange Server の役割の Windows を保護するためのセキュリティ構成ウィザードの使用   ここでは、Windows セキュリティの構成ウィザード (SCW) で Exchange 2007 を有効にする方法を示します。
  • 付録 1 : Exchange 2007 SCW 登録ファイルにより有効化されるサービスおよびポート実行可能ファイル   ここでは、Exchange 2007 SCW 登録ファイルで有効にされるサービスとポート実行可能ファイルを示します。
  • 付録 2 : セキュリティ関連の追加ドキュメント   ここでは、追加のセキュリティ関連の Exchange ドキュメントへの参照項目を示します。

Exchange 2007 のセキュリティ開発ライフ サイクル

2002 年の初めに、Microsoft は Trustworthy Computing (信頼できるコンピューティング) イニシアチブを提唱しました。Trustworthy Computing の提唱以来、Microsoft および Exchange Server チームでの開発プロセスは、出荷時設定時にセキュリティが確保されているソフトウェアの開発に注力してきました。詳細については、Trustworthy Computing に関するページを参照してください (このサイトは英語の場合があります)。

Exchange 2007 では、Trustworthy Computing は以下の 4 つの主要領域に実装されています。

  • 設計時のセキュリティの確保   Exchange 2007 は Trustworthy Computing セキュリティ開発ライフ サイクルに関するページに従って設計および開発されました (このサイトは英語の場合があります)。より安全なメッセージング システムを構築する上での第一歩は、脅威モデルを設計し、設計時に各機能をテストすることです。複数のセキュリティ関連強化機能がコーディング過程と実践に組み込まれています。コードが最終的な製品にチェックインされる前に、ビルド時のツールによってバッファ オーバーランやその他の潜在的なセキュリティの脅威が検出されます。もちろん、あらゆる未知のセキュリティの脅威を防ぐように設計することは不可能です。完全なセキュリティを保証できるシステムはありません。ただし、セキュリティに配慮した設計原則を設計過程全体に取り入れることで、Exchange 2007 はこれまでのバージョンよりもセキュリティが強化されています。

  • 出荷時設定時のセキュリティの確保   Exchange 2007 の目標の 1 つは、ネットワーク通信が既定で暗号化されるシステムを開発することでした。サーバー メッセージ ブロック (SMB) クラスタ通信と一部のユニファイド メッセージング (UM) 通信を除けば、この目標は達成されました。自己署名入り証明書、Kerberos プロトコル、SSL (Secure Sockets Layer)、およびその他の業界標準暗号化手法を使用することで、Exchange 2007 のほぼすべてのデータはネットワーク上で保護されています。さらに、役割ベースのセットアップにより、サービスのみ、およびそれらのサービスに関連するアクセス許可を特定の適切なサーバーの役割にインストールするように Exchange 2007 をインストールすることが可能です。Exchange Server の以前のバージョンでは、すべての機能のすべてのサービスをインストールする必要がありました。

    note注 :
    SMB 通信と UM 通信を暗号化するには、インターネット プロトコル セキュリティ (IPsec) を展開する必要があります。このガイドの将来のバージョンでは、SMB 通信と UM 通信を暗号化する方法について説明する可能性があります。
  • スパム対策およびウイルス対策機能   Exchange 2007 には境界ネットワークで実行するスパム対策エージェントが含まれています。ウイルス対策機能は、Microsoft Forefront Security for Exchange Server が Microsoft ソリューションとして追加されたことで強化されています。

  • 展開時のセキュリティの確保   Exchange 2007 の開発当時、プレリリース版が Microsoft IT 運用環境に展開されました。展開から得られたデータに基づいて、Microsoft Exchange ベスト プラクティス アナライザが更新されて現実のセキュリティ構成をスキャンできるようになり、展開前と展開後のベスト プラクティスが Exchange 2007 ヘルプに記載されました。
    これまで、アクセス許可管理については、製品の主要ドキュメントの完成後に作成および配布されていました。ただし、アクセス許可管理はアドイン プロセスではないことは明らかです。Exchange 2007 展開の計画フェーズと展開フェーズの全体に組み込む必要があります。このため、管理モデルの計画および展開時に管理者の作業がスムーズに進むように、アクセス許可のドキュメントを整理して主要ドキュメントに組み入れました。

  • コミュニケーション   Exchange 2007 がリリースされた今、Exchange チームはソフトウェアを常に最新の状態に保ち、ユーザーに情報を提供することをお約束します。Microsoft Update でシステムを常に最新の状態に保つことで、最新のセキュリティ更新プログラムが組織にインストールされるようになります。Exchange 2007 にもスパム対策更新プログラムが含まれています。さらに、マイクロソフト テクニカル セキュリティ情報通知を購読することで、Exchange 2007 の最新のセキュリティ問題を常に把握できます (このサイトは英語の場合があります)。

このガイドの内容

ベスト プラクティス

ここでは、より安全な環境を構築して維持するための基本的なベスト プラクティスを紹介します。通常、ソフトウェアとウイルス対策署名ファイルを最新の状態に保ち、アナライザ ツールを定期的に実行するだけで、最適かつ安全な Exchange 2007 環境を効率的に実現できます。

ここでは、Exchange 2007 環境にセキュリティを導入し、安全な状態を保つためのベスト プラクティスを紹介します。

セキュリティの導入

安全な環境を構築するために、Microsoft は以下のツールを提供しています。Exchange 2007 のインストール前に以下のツールを実行します。

  • Microsoft Update
  • Exchange ベスト プラクティス アナライザ
  • Microsoft Baseline Security Analyzer
  • インターネット インフォメーション サービス (IIS) Lockdown Tool および URLScan (Windows 2000 Server からのアップグレード後に Windows Server 2003 を実行している環境のみ)
  • セキュリティの構成ウィザード (SCW) の Exchange テンプレート

Microsoft Update

Microsoft Update は、Windows Update と同じダウンロードに加えてその他の Microsoft プログラム用の最新の更新プログラムを提供する新サービスです。コンピュータをより安全で最大のパフォーマンスを発揮できる状態に保つことができます。

Microsoft Update の主要機能は Windows 自動更新です。この機能により、コンピュータのセキュリティと信頼性にとって重要な優先度の高い更新プログラムが自動的にインストールされます。これらのセキュリティ更新プログラムを使用しない場合、コンピュータはクラッカーや悪意のあるソフトウェア (マルウェア) からの攻撃を受けやすくなります。

Microsoft Update を受信するための最も信頼性の高い方法は、Windows 自動更新を使用してコンピュータに更新プログラムが自動配信されるようにすることです。Microsoft Update へのサインアップ時に自動更新を有効にすることができます。

すると、コンピュータにインストールされている Microsoft ソフトウェアは、現在および過去の高優先度更新プログラムが必要かどうかについて解析され、必要なプログラムが自動的にダウンロードおよびインストールされます。その後、インターネットに接続するたびに Windows はこの更新プロセスを繰り返し、新しい高優先度更新プログラムがあるかどうかを確認します。

note注 :
既に自動更新を使用している場合、Microsoft Update は設定どおりに引き続き動作します。

Microsoft Update を有効にするには、「Microsoft Update」を参照してください。

Microsoft Update の既定モードでは、各 Exchange コンピュータがインターネットに接続して自動更新を受信する必要があります。インターネットに接続していないサーバーを実行している場合、Windows Server Update Services (WSUS) をインストールして、組織内のコンピュータへの更新プログラムの配布を管理することができます。その後、内部の WSUS サーバーから更新プログラムを取得できるように、内部の Exchange Server コンピュータに Microsoft Update を構成することができます。詳細については、Microsoft Windows Server Update Services 3.0 に関するページを参照してください (このサイトは英語の場合があります)。

WSUS の他にも利用できる Microsoft Update 管理ソリューションがあります。ニーズに最適な Microsoft Update 管理ソリューションの詳細については、MBSA、MU、WSUS、Essentials 2007、または SMS 2003 に関するページを参照してください (このサイトは英語の場合があります)。

スパム対策の更新

Exchange 2007 でも Microsoft Update インフラストラクチャを使用して、スパム対策フィルタを最新の状態に保ちます。既定では、管理者は手動更新で Microsoft Update にアクセスして、コンテンツ フィルタの更新プログラムをダウンロードおよびインストールする必要があります。コンテンツ フィルタ更新のデータは 2 週間ごとに更新され、ダウンロードできるようになります。

Microsoft Update からの手動更新には、Microsoft IP 評価サービスやスパム署名データは含まれません。Forefront Security for Exchange Server スパム対策自動更新で利用できるのは、Microsoft IP 評価サービスとスパム署名データのみです。

note注 :
Forefront スパム対策自動更新は、各ユーザー メールボックスの Exchange Enterprise クライアント アクセス ライセンス (CAL) または Forefront Security for Exchange Server ライセンスのいずれかを必要とするプレミアム機能です。

Forefront スパム対策自動更新を有効にする方法の詳細については、「スパム対策更新」を参照してください。

Microsoft Exchange ベスト プラクティス アナライザ

Exchange ベスト プラクティス アナライザは、Exchange 環境のセキュリティを確保するために定期的に実行できる最も効果的なツールの 1 つです。Exchange ベスト プラクティス アナライザは、Microsoft Exchange の展開を自動的に調べ、Microsoft のベスト プラクティスに応じて構成が行われているかどうかを判断します。Exchange ベスト プラクティス アナライザは、Microsoft .NET Framework 1.1 を実行しているクライアント コンピュータにインストールできます。適切なネットワーク アクセスがあれば、Exchange ベスト プラクティス アナライザはすべての Active Directory ディレクトリ サービスと Exchange サーバーを調べます。

ベスト プラクティスを含む詳細については、このガイドの「Exchange ベスト プラクティス アナライザの実行」と Microsoft Exchange ベスト プラクティス アナライザ v2.8 に関するページを参照してください (このサイトは英語の場合があります)。

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) は、IT プロフェッショナル向けに設計されたツールです。Microsoft のセキュリティの推奨事項に従ってセキュリティの状態を判断するのに役立ちます。MBSA を使用して一般的なセキュリティ構成の誤りや、コンピュータ システム上にないセキュリティ更新を検出することで、セキュリティ管理プロセスを強化できます。

MBSA は「Microsoft Baseline Security Analyzer (MBSA)」でダウンロードできます。

IIS Lockdown Tool および URLScan

既定では、IIS Version 6.0 および IIS Version 7.0 (それぞれ Windows Server および Windows Server 2008 にインストールされている) には、IIS Lockdown Tool によって実施されるのと同じようなセキュリティ関連の構成設定があります。このため、IIS Version 6.0 または IIS Version 7.0 を実行している Web サーバーで IIS Lockdown Tool を実行する必要はありません。ただし、IIS の以前のバージョンから IIS Version 6.0 または IIS Version 7.0 にアップグレードしている場合、IIS Lockdown Tool を実行して Web サーバーのセキュリティを強化することをお勧めします。

IIS Version 6.0 または IIS Version 7.0 では URLScan を実行しないことをお勧めします。URLScan が提供する利点よりも、構成の誤りを招く危険性の方が高いためです。

詳細については、IISLockdown.exe の使用方法に関するページを参照してください (このサイトは英語の場合があります)。

セキュリティ構成ウィザードの Exchange 2007 テンプレート

セキュリティ構成ウィザード (SCW) は、Windows Server 2003 Service Pack 1 で導入されたツールです。SCW を使用して、Exchange 2007 サーバーの役割では不要な Windows 機能を無効にすることにより、サーバーの攻撃の対象となる範囲を最小限に抑えることができます。SCW は、サーバーの攻撃の対象となる範囲を減らすセキュリティのベスト プラクティスを自動的に実施します。SCW は、サーバー上のアプリケーションに必要なサービスを要求するために役割ベースのメタファーを使用します。このツールによって、Windows 環境は、セキュリティの脆弱性を利用した攻撃による影響を受けにくくなります。

SCW 用 Exchange 2007 テンプレートの作成方法の詳細については、このガイドの「Exchange Server の役割の Windows を保護するためのセキュリティ構成ウィザードの使用」を参照してください。

セキュリティの維持

ここでは、Exchange 2007 環境を安全な状態に保つベスト プラクティスとしての推奨事項を紹介します。

Exchange ベスト プラクティス アナライザの実行

前のセクションで説明したように、Exchange ベスト プラクティス アナライザは、Exchange 環境のセキュリティを確保するために定期的に実行できる最も効果的なツールの 1 つです。

ほとんどの環境では、Exchange ベスト プラクティス アナライザを少なくとも 3 か月に 1 回実行することをお勧めします。ただし、Exchange Server をインストールして実行しているすべてのサーバーでは毎月 1 回実行することをお勧めします。

さらに、以下のシナリオでは Exchange ベスト プラクティス アナライザを実行する必要があります。

  • Exchange サーバーに重要な構成の変更を加えた場合。たとえば、コネクタを追加または削除したり、エッジ トランスポート サーバーとの EdgeSync 接続を作成した後は、ベスト プラクティス アナライザを実行する必要があります。
  • 新しい Exchange サーバーの役割をインストールしたり、Exchange サーバーの役割を削除した直後。
  • Windows Service Pack または Exchange Server Service Pack をインストールした後。
  • Microsoft Exchange を実行しているコンピュータにサードパーティ製ソフトウェアをインストールした後。

ウイルス対策ソフトウェアの実行

電子メール システムによって送信されるウイルス、ワーム、およびその他の悪意のあるコンテンツは、多くの Microsoft Exchange 管理者が実際に直面している破壊行為です。そのため、すべてのメッセージ システムのための防御用のウイルス対策展開を開発する必要があります。ここでは、Exchange 2007 および Microsoft Office Outlook 2007 向けのウイルス対策ソフトウェアを展開するベスト プラクティスとしての推奨事項を紹介します。

ウイルス対策ソフトウェア ベンダを選択する場合は、Exchange 2007 の次の 2 つの重要な変更に特に注意する必要があります。

  • Exchange 2007 は、64 ビット アーキテクチャに基づいています。
  • 後で詳しく説明するように、Exchange 2007 には新しいトランスポート エージェント機能が含まれています。

この 2 つの変更は、ウイルス対策ベンダが Exchange 2007 固有のソフトウェアを提供する必要があることを示しています。以前のバージョンの Exchange Server 用に作成されたウイルス対策ソフトウェアは、Exchange 2007 では正しく動作しない可能性があります。

多層防御アプローチを採用するために、ユーザーのデスクトップにウイルス対策ソフトウェアを展開することに加えて、メッセージング システム用に設計されたウイルス対策ソフトウェアを SMTP (簡易メール転送プロトコル) ゲートウェイ、またはメールボックスをホストする Exchange サーバーのどちらかに展開することをお勧めします。

許容できるコストと推定される危険性の適切なバランスを見きわめて、使用するウイルス対策ソフトウェアの種類と、ソフトウェアを展開する場所を決定します。たとえば、ある組織では、SMTP ゲートウェイでウイルス対策メッセージング ソフトウェア、Exchange サーバーでファイルレベルのウイルス対策スキャン、ユーザーのデスクトップでウイルス対策クライアント ソフトウェアを実行しています。この方法は、ゲートウェイではメッセージングに特化した保護、メール サーバーでは一般的なファイルレベルの保護、そしてクライアントでの保護を提供します。さらに高いコストを許容できる組織では、SMTP ゲートウェイのウイルス対策メッセージング ソフトウェア、Exchange サーバーのファイルレベルのウイルス対策スキャン、ユーザーのデスクトップのウイルス対策クライアント ソフトウェアに加えて、Exchange メールボックス サーバー上に Exchange VSAPI (Virus Scanning Application Programming Interface) 2.5 と互換性のあるウイルス対策ソフトウェアを展開することで、セキュリティを強化できます。

エッジ トランスポート サーバーおよびハブ トランスポート サーバー上でのウイルス対策ソフトウェアの実行

メッセージング用ウイルス対策ソフトウェアの最も重要な場所は、組織内における最初の防衛線です。Exchange 2007 では、最初の防衛線はエッジ トランスポート サーバー上の境界ネットワークにあります。

組織内からのウイルス発生をより適切に防御するために、および 2 番目の防衛線として機能するために、組織内のハブ トランスポート サーバー上でトランスポート ベースのウイルス対策ソフトウェアを実行することをお勧めします。

Exchange 2007 では、エージェントは、以前のバージョンの Microsoft Exchange でのイベント シンクと同じように、トランスポート イベントに対処します。サード パーティの開発者は、カスタマイズされたエージェントを作成することにより、基盤となる Exchange MIME 解析エンジンを利用してトランスポート レベルの強力なウイルス対策スキャンを行うことができます。

多くのサード パーティ ソフトウェア ベンダが、Exchange トランスポート MIME 解析エンジンを利用した Exchange 2007 固有のエージェントを提供しています。詳細については、ウイルス対策ベンダにお問い合わせください。

さらに、Microsoft Forefront Security for Exchange Server には Exchange 2007 用のトランスポート ウイルス対策エージェントが含まれています。Forefront Security for Exchange Server ウイルス対策エージェントをインストールして構成する方法の詳細については、Microsoft Forefront Security for Exchange Server による Microsoft Exchange 組織の保護に関するページを参照してください (このサイトは英語の場合があります)。

note注 :
パブリック フォルダ内のアイテム、送信済みアイテム、予定表アイテムなど、トランスポートを経由してルーティングされないオブジェクトは、トランスポートのみのウイルス スキャンでは保護されません。

組織内の他のコンピュータ上でのウイルス対策ソフトウェアの実行

ファイル レベルのウイルス スキャンは、次の 2 つのクラスのコンピュータ上で実行できます。

  • ユーザー デスクトップ
  • サーバー

ファイル レベルのウイルス スキャンに加えて、Exchange メールボックス サーバーで Microsoft VSAPI ソリューションを実行することを検討してください。

デスクトップでのウイルス スキャン

組織内のユーザーが Outlook の最新バージョンを実行することを強くお勧めします。デスクトップ上で古い電子メール クライアントを実行していると、古い電子メール クライアントのオブジェクト モデルや添付ファイルの処理方法のために重大なリスクを負うことになります。そのため、既定では、Exchange 2007 が接続を受け付ける MAPI クライアントは、Microsoft Office Outlook 2003 と Office Outlook 2007 だけです。古いバージョンの電子メール クライアントの実行に関連したリスクの詳細については、Outlook をセキュリティで保護する手順についてのページを参照してください (このサイトは英語の場合があります)。

Outlook 2003 または Outlook 2007 にアップグレードした後、すべてのデスクトップ コンピュータにファイル レベルのウイルス対策ソフトウェア製品をインストールしたことを確認してください。さらに、次の手順を実行してください。

  • すべてのデスクトップ上でウイルス対策署名ファイルが自動的に更新されていることを確認するための計画を作成します。
  • ウイルスと戦うための組織内のエンド ツー エンドの更新管理ソリューションを開発および保守していることを確認します。

サーバーでのウイルス スキャン

組織内のすべてのデスクトップおよびサーバー コンピュータ上でファイル レベルのスキャンを実行するための一般的なポリシーの採用を検討してください。そのために、すべての Exchange Server コンピュータ上で何らかの形式のファイル レベルのウイルス スキャンを実行する必要があります。それぞれのサーバーの役割について、一部のディレクトリ、ファイルの種類、およびプロセスがスキャンされないように、ファイル レベルのスキャンに対して追加の構成を実行する必要があります。たとえば、Exchange ストア データベースに対してはファイル レベルのウイルス対策ソフトウェアを実行しないことをお勧めします。特定の構成情報の詳細については、「Exchange 2007 でのファイル レベルのウイルス対策スキャン」を参照してください。

VSAPI によるメールボックス データベース スキャン

Microsoft VSAPI (ウイルス スキャン API) スキャン ソリューションは、多くの組織にとって重要な防御層である可能性があります。以下の条件のいずれかに当てはまる場合は、VSAPI ウイルス対策ソリューションの実行を検討する必要があります。

  • 組織に、信頼性の高い完全なデスクトップ ウイルス対策スキャン製品が展開されていない。
  • 組織に、ストアのスキャンによって実現できる追加の保護が必要である。
  • 組織で、Exchange データベースにプログラムでアクセスするカスタム アプリケーションを開発した。
  • ユーザー コミュニティで、日常的にパブリック フォルダへの投稿がある。

Exchange VSAPI を使用するウイルス対策ソリューションは、Exchange 情報ストア プロセス内で直接実行されます。VSAPI ソリューションは、標準のクライアントおよびトランスポート スキャンを回避しつつ、Exchange 情報ストア内に感染したコンテンツを置く攻撃ベクトルから保護することができる、おそらく唯一のソリューションです。たとえば、VSAPI は、CDO (Collaboration Data Objects)、WebDAV、および Exchange Web サービスによってデータベースに送信されるデータをスキャンする、唯一のソリューションです。

さらに、ウイルス感染が発生した場合、感染したメール ストアからウイルスを削除して根絶する最も手軽な方法を提供するのは、VSAPI ウイルス対策ソリューションであることが多くあります。

VSAPI スキャン エンジンを搭載した Forefront Security for Exchange Server を実行する方法の詳細については、Microsoft Forefront Security for Exchange Server による Microsoft Exchange 組織の保護に関するページを参照してください (このサイトは英語の場合があります)。

Exchange Hosted Services の使用

スパムおよびウイルス フィルタは Microsoft Exchange Hosted Services によって拡張され、またはこのサービスとして利用できます。Exchange Hosted Services は、次の 4 つの個別のホスト サービスで構成されています。

  • Hosted Filtering は、電子メールから感染するマルウェアから組織を保護します。
  • Hosted Archive は、規制準拠のための保存要件に対応するために役立ちます。
  • Hosted Encryption は、データを暗号化して機密を保持します。
  • Hosted Continuity は、緊急事態が発生したときやその直後に電子メールへのアクセス状態を維持するために役立ちます。

これらのサービスは、社内で管理される任意の Exchange サーバーか、サービス プロバイダから提供される Hosted Exchange の電子メール サービスと統合されます。Exchange Hosted Services の詳細については、Microsoft Exchange Hosted Services に関するページを参照してください (このサイトは英語の場合があります)。

その他のウイルス対策情報

MSIT による Exchange 2007 サーバー ウイルス対策ソリューションの展開に関する詳細なホワイト ペーパーについては、Microsoft Exchange Server 2007 エッジ トランスポートとメッセージング保護に関するページを参照してください (このサイトは英語の場合があります)。

Forefront Security for Exchange Server は、Exchange トランスポート サーバーの役割に対する複数のスキャン エンジン ウイルス対策ソリューションと、Exchange メールボックス サーバーに対する VSAPI ソリューションを提供します。エンドツーエンドのウイルス対策ソリューションのベスト プラクティスについては、Microsoft Forefront Security for Exchange Server による Microsoft Exchange 組織の保護に関するページを参照してください (このサイトは英語の場合があります)。

ソフトウェアを最新の状態に維持

前に説明したように、Microsoft Update を実行することをお勧めします。すべてのサーバーで Microsoft Update を実行することに加えて、すべてのクライアント コンピュータを最新の状態にして、組織内のすべてのコンピュータでウイルス対策を最新の状態にすることも非常に重要です。

Microsoft ソフトウェアに加えて、組織内で実行しているすべてのソフトウェアについて最新の更新プログラムを実行するようにしてください。

従来の Outlook クライアントのブロック

Outlook の古いバージョンには、ウイルスの拡大を加速させる可能性のある脆弱性が含まれています。ベスト プラクティスとして、Exchange 2007 では Outlook 2007,, Outlook 2003、および Outlook 2002 クライアントからの MAPI 接続のみを受け付けるようにします。Exchange に接続できる Outlook クライアントのバージョンを制限することで、ウイルスやその他の悪意のある攻撃の危険性を大幅に減らすことができます。ベスト プラクティスとして、組織内で実行するソフトウェア バージョンを減らして標準化することをお勧めします。

Exchange 2007 への Outlook クライアント アクセスを削除する方法の詳細については、Outlook の全バージョンのサーバーへのアクセスに関するページを参照してください。

添付ファイル フィルタリングの実行

Exchange 2007 では、添付ファイル フィルタを使用してサーバー レベルでフィルタを適用し、ユーザーが受信する添付ファイルを制御できます。添付ファイル フィルタは、現在の環境ではその重要性が増しています。多くの添付ファイルに、重要なドキュメントを破壊したり、機密情報を漏洩したりすることによって、ユーザーのコンピュータや組織に重大な被害を及ぼす可能性がある危険なウイルスや不適切な内容が含まれているからです。

note注 :
ベスト プラクティスとして、デジタル署名、暗号化、または権利が保護された電子メール メッセージから添付ファイルを削除しないでください。これらのメッセージから添付ファイルを削除すると、デジタル署名されたメッセージが無効になり、暗号化および権利が保護されたメッセージを読むことができなくなります。

Exchange 2007 の添付ファイル フィルタの種類

次の種類の添付ファイル フィルタを使用して、組織で送受信される添付ファイルを制御することができます。

  • ファイル名またはファイル名拡張子に基づくフィルタ   フィルタの対象となる完全なファイル名またはファイル名拡張子を指定することによって、添付ファイルにフィルタを適用できます。完全なファイル名のフィルタは BadFilename.exe のように指定します。ファイル名拡張子のフィルタは *.exe のように指定します。

  • MIME コンテンツの種類に基づくフィルタ   フィルタの対象となる MIME コンテンツの種類を指定することによって、添付ファイルにフィルタを適用することもできます。MIME コンテンツの種類は、添付ファイルの内容 (JPEG 画像、実行可能ファイル、Microsoft Office Excel 2003 ファイル、その他の種類のファイルなど) を示します。コンテンツの種類は type/subtype として表されます。たとえば、JPEG 画像というコンテンツの種類は image/jpeg として表されます。
    添付ファイル フィルタがフィルタ処理できるすべてのファイル名の拡張子およびコンテンツの種類の完全な一覧を表示するには、以下のコマンドを実行します。

    Get-AttachmentFilterEntry | FL
    

    ドメインに参加しているコンピュータで Get-AttachmentFilterEntry コマンドレットを実行するには、使用するアカウントに Exchange 表示専用管理者の役割が委任されている必要があります。
    エッジ トランスポート サーバーの役割がインストールされているコンピュータで Get‑AttachmentFilterEntry コマンドを実行するには、そのコンピュータのローカルの Administrators グループのメンバであるアカウントを使用してログオンする必要があります。
    Exchange 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。

添付ファイルがこれらのいずれかのフィルタ条件に一致する場合、添付ファイルに対して次のいずれかの処理を実行するように構成できます。

  • メッセージ全体および添付ファイルをブロックする   添付ファイル フィルタに一致する添付ファイルを、電子メール メッセージ全体と共に、メッセージング システムに入る前にブロックすることができます。添付ファイルと電子メール メッセージがブロックされると、メッセージに許容できない添付ファイル名が含まれていることを示す配信状態通知 (DSN) メッセージが送信者に送信されます。
  • 添付ファイルを削除し、メッセージを許可する   電子メール メッセージや添付ファイル フィルタに一致しない他の添付ファイルは許可し、フィルタに一致する添付ファイルを削除できます。添付ファイルが削除された場合、添付ファイルは、削除された理由を説明するテキスト ファイルに置き換えられます。この処理は既定の設定です。
  • メッセージおよび添付ファイルを警告なしに削除する   添付ファイル フィルタに一致する添付ファイルを、電子メール メッセージ全体と共に、メッセージング システムに入る前にブロックすることができます。添付ファイルと電子メール メッセージがブロックされた場合でも、送信者にも受信者にも通知は送信されません。
    Caution注意 :
    ブロックされた電子メール メッセージや添付ファイル、または削除された添付ファイルを取得することはできません。添付ファイル フィルタを構成する場合、一致する可能性のあるすべてのファイル名を慎重に調べて、正当な添付ファイルがフィルタの影響を受けないことを確認します。

詳細については、「添付ファイル フィルタを構成する方法」を参照してください。

Forefront Security for Exchange Server を使用したファイル フィルタ

Forefront Security for Exchange Server で提供されているファイル フィルタ機能には、Exchange Server 2007 Standard Edition に含まれている既定の添付ファイル フィルタ エージェントでは利用できない高度な機能が含まれています。

たとえば、問題のあるファイルの種類がないか、他のファイルを含むコンテナ ファイルをスキャンすることができます。Forefront Security for Exchange Server のフィルタ機能は、以下のコンテナ ファイルをスキャンでき、埋め込みファイルに基づいて処理します。

  • PKZip (.zip)
  • GNU Zip (.gzip)
  • 自己解凍 ZIP アーカイブ
  • Zip ファイル (.zip)
  • Java アーカイブ (.jar)
  • TNEF (winmail.dat)
  • 構造化ストレージ (.doc, .xls, .ppt など)
  • MIME (.eml)
  • SMIME (.eml)
  • UUEncode (.uue)
  • UNIX テープ アーカイブ (.tar)
  • RAR アーカイブ (.rar)
  • MacBinary (.bin)
note注 :
Exchange 2007 Standard Edition に含まれる既定の添付ファイル フィルタ エージェントは、ファイルの名前が変更されていてもファイルの種類を検出します。また、添付ファイル フィルタは、Zip または LZH 圧縮ファイル内のファイルに対してファイル名の拡張子の一致を実行することによりブロックされる添付ファイルが Zip または LZH 圧縮ファイルに含まれないようにします。Forefront Security for Exchange Server のファイル フィルタには、コンテナ ファイル内でブロックされる添付ファイルの名前が変更されているかどうかを判断する追加の機能が備わっています。

ファイルのサイズによってファイルをフィルタ処理することもできます。さらに、フィルタ処理されたファイルを検疫、あるいはファイル フィルタの一致に基づいて電子メールによる通知を送信するように Forefront Security for Exchange Server を構成できます。

詳細については、Microsoft Forefront Security for Exchange Server による Microsoft Exchange 組織の保護に関するページを参照してください (このサイトは英語の場合があります)。

組織での強力なパスワードの強制

大多数のユーザーは、キーボードで入力されるユーザー名とパスワードの組み合わせを使用することで、各自のローカル コンピュータやリモート コンピュータにログオンします。一般的なすべてのオペレーティング システムでは、バイオメトリクス、スマートカード、ワンタイム パスワードなど、認証の代替技術が利用可能ですが、多くの組織は今も従来型のパスワードに依存し、今後何年もこの方式を使い続けることになります。このため、組織のコンピュータにパスワード ポリシーを定義して適用することは非常に重要です。これには、強力なパスワードの使用を強制することが含まれます。強力なパスワードは、攻撃者がパスワードを簡単に解読できないように、いくつかの複雑さの要件を満たします。このような要件には、パスワードの長さと文字のカテゴリに関する要件があります。組織に強力なパスワードを設定することで、攻撃者がユーザーに成り済ますのを防ぎ、これによって機密情報の喪失、暴露、または破損を防ぐことができます。

詳細については、組織全体での強力なパスワードの適用に関するページを参照してください (このサイトは英語の場合があります)。

Windows ユーザー名と SMTP アドレスの分離

ユーザーのメールボックスの作成時、既定では、結果としてそのユーザー用に作成される SMTP アドレスは username@contoso.com です。username は Windows ユーザー アカウント名です。

ベスト プラクティスとして、悪意のあるユーザーが Windows ユーザー名を簡単に入手できないようにユーザーの新しい SMTP アドレスを作成することをお勧めします。

たとえば、Kweku Ako-Adjei というユーザーについて考えます。Windows ユーザー名は KwekuA です。Windows ユーザー名が知られないように、管理者は Kweku.Ako-Adjei@contoso.com という SMTP アドレスを作成することができます。

別の SMTP アドレスを使用することは、強力なセキュリティの手段とは考えられません。ただし、既知のユーザー名を使用して組織に潜入しようとする悪意あるユーザーにとっては、ハードルが 1 つ増えることになります。

既存ユーザーの SMTP アドレスを追加する方法については、「電子メール アドレス ポリシーを作成する方法」を参照してください。

クライアント アクセスのセキュリティの管理

クライアント アクセス サーバーの役割は、Microsoft Outlook Web Access、Microsoft Exchange ActiveSync、Outlook Anywhere、POP3 (Post Office Protocol Version 3)、および IMAP4 (インターネット メッセージ アクセス プロトコル Version 4rev1) へのアクセスを提供します。また、自動検出サービスと可用性サービスもサポートしています。これらのプロトコルやサービスにはそれぞれ独自のセキュリティが必要です。

認証の管理

クライアント アクセス サーバーの役割で実行できる最も重要なセキュリティ関連タスクの 1 つは、認証方法を構成することです。クライアント アクセス サーバーの役割は、既定の自己署名入りのデジタル証明書と共にインストールされます。デジタル証明書は次の 2 つのことを行います。

  • 証明書の保持者が、主張どおりの身元であることを証明します。
  • オンラインで交換されるデータが盗まれたり改ざんされたりしないようにします。

既定の自己署名入り証明書は Exchange ActiveSync および Outlook Web Access でサポートされていますが、これは最もセキュリティの高い認証方法ではありません。また、Outlook Anywhere ではサポートされません。セキュリティを強化するためには、サード パーティの商用証明機関 (CA) または信頼されている Windows 公開キー基盤 (PKI) CA からの信頼された証明書を使用するように Exchange 2007 クライアント アクセス サーバーを構成することを検討してください。Exchange ActiveSync、Outlook Web Access、Outlook Anywhere、POP3、および IMAP4 に対して個別に認証を構成できます。

認証を構成する方法の詳細については、以下のトピックを参照してください。

クライアント アクセス サーバーと他のサーバー間の通信のセキュリティ強化

クライアントと Exchange 2007 サーバー間の通信のセキュリティを最適化した後で、Exchange 2007 サーバーと組織内の他のサーバー間の通信のセキュリティを最適化する必要があります。既定では、クライアント アクセス サーバーと、メールボックス サーバーの役割がインストールされている Exchange 2007 サーバー、ドメイン コントローラ、グローバル カタログ サーバーなどの他のサーバーとの間の HTTP、Exchange ActiveSync、POP3、および IMAP4 通信は暗号化されます。

クライアント アクセス サーバーのさまざまなコンポーネントのセキュリティを管理する方法の詳細については、以下のトピックを参照してください。

このガイドの内容

ドメイン セキュリティについて

Exchange 2007 には、"ドメイン セキュリティ" と呼ばれる新しい機能が含まれています。ドメイン セキュリティは、S/MIME などのメッセージ レベルのセキュリティ ソリューションの代わりとして Exchange 2007 および Outlook 2007 が提供する、比較的コストの低い機能セットです。ドメイン セキュリティ機能セットを使用して、管理者は、ビジネス パートナーとのセキュリティで保護されたインターネット経由のメッセージ パスを管理できます。これらのセキュリティで保護されたメッセージ パスの構成後、認証された送信者からセキュリティで保護されたパスを使用して正常に届いたメッセージは、Outlook および Outlook Web Access インターフェイスで、ユーザーに対して "ドメイン保護" と表示されます。

ドメイン セキュリティは、相互認証と共にトランスポート層セキュリティ (TLS) を使用して、セッションベースの認証と暗号化を提供します。相互認証機能を備えた TLS は通常実装される TLS とは異なります。通常、TLS が実装されている場合、クライアントは、サーバー証明書を検証することにより目的のサーバーへの接続が安全に行われているか確認します。これは、TLS ネゴシエーションの一部として受け取られます。このシナリオでは、クライアントがデータを送信する前に、クライアントはサーバーを認証します。しかし、サーバーはクライアントとのセッションを認証しません。

相互 TLS 認証では、各サーバーは、別のサーバーによって提供された証明書を検証することで他のサーバーとの接続を確認します。このシナリオの、Exchange 2007 環境で確認済みの接続を経由して外部ドメインから受信したメッセージには、Outlook 2007 は "ドメイン保護" アイコンを表示します。

組織にドメイン セキュリティを計画および展開する方法の詳細については、Exchange 2007 のドメインのセキュリティについてのホワイト ペーパーを参照してください (このサイトは英語の場合があります)。

このガイドの内容

Exchange データ パスの保護

既定では、Exchange 2007 で使用されるほぼすべてのデータ パスは保護されています。ここでは、Exchange 2007 で使用されるすべてのデータ パスのポート、認証、および暗号化について説明します。各表の後の注では、標準以外の認証または暗号化の方法を説明および定義しています。

トランスポート サーバー

次の表は、ハブ トランスポート サーバーとエッジ トランスポート サーバーとの間、および他の Exchange 2007 サーバーおよびサービスとの間のデータ パスのポート、認証、および暗号化についての説明です。

トランスポート サーバーのデータ パス

データ パス 必要なポート 既定の認証 サポートされる認証 暗号化のサポート 既定での暗号化

ハブ トランスポート サーバーからハブ トランスポート サーバー

25/TCP (SSL [Secure Sockets Layer])、587/TCP (SSL)

Kerberos

Kerberos

可 (TLS)

ハブ トランスポート サーバーからエッジ トランスポート サーバー

25/TCP (SSL)

直接信頼

直接信頼

可 (TLS)

エッジ トランスポート サーバーからハブ トランスポート サーバーへの送信

25/TCP (SSL)

直接信頼

直接信頼

可 (TLS)

エッジ トランスポート サーバーからエッジ トランスポート サーバー

25/TCP (SSL)、389/TCP/UDP、および 80/TCP (証明書の認証)

匿名、証明書

匿名、証明書

可 (TLS)

不可

メールボックス サーバーからハブ トランスポート サーバー (Microsoft Exchange メール発信サービス経由)

135/TCP (RPC)

NTLM。サービス アカウント (ローカル) を使用して接続する場合は、Kerberos が使用されます。

NTLM/Kerberos

可 (RPC 暗号化)

ハブ トランスポートからメールボックス サーバー (MAPI 経由)

135/TCP (RPC)

NTLM。サービス アカウント (ローカル) を使用して接続する場合は、Kerberos が使用されます。

NTLM/Kerberos

可 (RPC 暗号化)

Microsoft Exchange EdgeSync サービス

50636/TCP (SSL)、50389/TCP (SSL なし)

基本

基本

可 (LDAPS)

エッジ トランスポート サーバー上の Active Directory アプリケーション モード (ADAM) ディレクトリ サービス

50389/TCP (SSL なし)

NTLM/Kerberos

NTLM/Kerberos

不可

不可

ハブ トランスポート サーバーからの Active Directory ディレクトリ サービスのアクセス

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

可 (Kerberos 暗号化)

トランスポート サーバーに関する注

ハブ トランスポート サーバー間のすべてのトラフィックは、TLS と、Exchange 2007 セットアップによって既定でインストールされる自己署名入り証明書を使用して暗号化されます。

エッジ トランスポート サーバーとハブ トランスポート サーバーの間のすべてのトラフィックは、認証および暗号化されます。認証および暗号化の基になるメカニズムは相互 TLS です。Exchange 2007 は、X.509 検証を使用する代わりに、直接信頼を使用して証明書を認証します。直接信頼とは、Active Directory または ADAM に証明書が存在するかどうかによって、証明書の正当性を検証することを意味します。Active Directory は、信頼されたストレージ メカニズムと見なされます。直接信頼を使用する場合は、証明書が自己署名されているか、または証明機関によって署名されているかはどちらでもかまいません。Exchange 組織でエッジ トランスポート サーバーを購読すると、検証するハブ トランスポート サーバーの Active Directory にエッジ トランスポート サーバー証明書が発行されます。Microsoft Exchange EdgeSync サービスが、検証するエッジ トランスポート サーバー用のハブ トランスポート サーバー証明書のセットを使用して ADAM を更新します。

既定では、異なる組織にあるエッジ トランスポート サーバー間のトラフィックは暗号化されます。既定では、Exchange 2007 セットアップによって自己署名入り証明書が作成され、TLS が有効になります。これによって、送信側システムは、Microsoft Exchange への受信 SMTP セッションを暗号化できます。また、既定では、Exchange 2007 はすべてのリモート接続について TLS の使用を試行します。

同一のコンピュータにハブ トランスポート サーバーの役割とメールボックス サーバーの役割がインストールされている場合は、ハブ トランスポート サーバーとメールボックス サーバーの間のトラフィックの認証方法は異なります。メール送信がローカルである場合は、Kerberos 認証が使用されます。メール送信がリモートである場合は、NTLM 認証が使用されます。

Exchange 2007 はドメイン セキュリティもサポートしています。ドメイン セキュリティは、S/MIME などのメッセージ レベルのインターネット上のセキュリティ ソリューションの代わりとして Exchange 2007 および Outlook 2007 が提供する低コストの機能セットです。ドメイン セキュリティ機能セットを使用して、管理者は、ドメイン間で、セキュリティで保護されたインターネット経由のメッセージ パスを管理できます。これらのセキュリティで保護されたメッセージ パスの構成後、認証された送信者からセキュリティで保護されたパスを使用して正常に届いたメッセージは、Outlook および Outlook Web Access インターフェイスで、ユーザーに対して "ドメイン保護" と表示されます。詳細については、「ドメイン セキュリティの計画」を参照してください。

ハブ トランスポート サーバーおよびエッジ トランスポート サーバーで複数のエージェントが実行されている場合があります。一般的に、スパム対策エージェントは、そのエージェントが実行されているコンピュータにローカルな情報を利用します。したがって、リモート コンピュータとの通信はほとんど必要ありません。例外は受信者フィルタです。この機能は、ADAM または Active Directory への呼び出しを必要とします。受信者フィルタは、エッジ トランスポート サーバーで実行することをお勧めします。この場合、ADAM ディレクトリはエッジ トランスポート サーバーと同じコンピュータ上にあるので、リモート通信は不要になります。ハブ トランスポート サーバーに受信者フィルタをインストールして構成している場合、受信者フィルタは Active Directory にアクセスします。

プロトコル分析エージェントは、Exchange 2007 の送信者評価機能で使用されます。このエージェントも、疑わしい接続について受信メッセージ パスを特定するために、外部のプロキシ サーバーへのさまざまな接続を行います。

その他のすべてのスパム対策機能は、ローカル コンピュータでのみ収集、格納、およびアクセスされるデータを使用します。通常、セーフ リスト集約データや受信者フィルタ用の受信者データなどのデータは、Microsoft Exchange EdgeSync サービスを使用してローカル ADAM ディレクトリにプッシュされます。

ジャーナリングおよびメッセージ分類は、ハブ トランスポート サーバーで実行され、Active Directory のデータを利用して機能します。

メールボックス サーバー

メールボックス サーバーの役割では、認証が NTLM と Kerberos のいずれであるかは、Exchange ビジネス ロジック層のコンシューマが実行されているユーザーまたはプロセスのコンテキストによって決まります。この場合のコンシューマとは、Exchange ビジネス ロジック層を使用する任意のアプリケーションまたはプロセスです。ここで示す "メールボックス サーバーのデータ パス" の表の "既定の認証" の多くの認証は "NTLM/Kerberos" になっています。

Exchange ビジネス ロジック層は、Exchange ストアにアクセスし、通信するために使用されます。Exchange ビジネス ロジック層は、外部アプリケーションおよびプロセスと通信するために、Exchange ストアからも認識されます。

Exchange ビジネス ロジック層のコンシューマがローカル システムとして実行されている場合、そのコンシューマから Exchange ストアに対する認証方法は常に Kerberos です。Kerberos が使用されるのは、コンシューマがコンピュータ アカウント Local System を使用して認証される必要があり、双方向に認証された信頼が存在している必要があるからです。

Exchange ビジネス ロジック層のコンシューマがローカル システムとして実行されていない場合、認証方法は NTLM です。たとえば、管理者が Exchange ビジネス ロジック層を使用する Exchange 管理シェルのコマンドレットを実行する場合は、NTLM が使用されます。

RPC トラフィックは常に暗号化されます。

次の表では、メールボックス サーバーとのデータ パスのポート、認証、および暗号化について説明します。

メールボックス サーバーのデータ パス

データ パス 必要なポート 既定の認証 サポートされる認証 暗号化のサポート 既定での暗号化

ログ配布 (ローカル連続レプリケーションおよびクラスタ連続レプリケーション)

445/ランダム ポート (シード)

NTLM/Kerberos

NTLM/Kerberos

可 (IPSec)

不可

ボリューム シャドウ コピー サービス (VSS) によるバックアップ

ローカル メッセージ ブロック (SMB)

NTLM/Kerberos

NTLM/Kerberos

不可

不可

従来のバックアップ/シード

ランダム ポート

NTLM/Kerberos

NTLM/Kerberos

可 (IPSec)

不可

クラスタ化

135/TCP (RPC)。この表の後の「メールボックス サーバーに関する注」を参照

NTLM/Kerberos

NTLM/Kerberos

可 (IPSec)

不可

MAPI アクセス

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可 (RPC 暗号化)

メールボックス アシスタント

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

不可

不可

可用性 Web サービス (メールボックスへのクライアント アクセス)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可 (RPC 暗号化)

Active Directory アクセス

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

可 (Kerberos 暗号化)

コンテンツのインデックス処理

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可 (RPC 暗号化)

Admin のリモート アクセス (リモート レジストリ)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可 (IPSec)

不可

Admin のリモート アクセス (SMB/ファイル)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

可 (IPSec)

不可

受信者更新サービスの RPC アクセス

135/TCP (RPC)

Kerberos

Kerberos

可 (RPC 暗号化)

Microsoft Exchange Active Directory トポロジ サービスのアクセス

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可 (RPC 暗号化)

Microsoft Exchange System Attendant サービスの従来のアクセス (要求の待機)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

不可

不可

Microsoft Exchange System Attendant サービスの Active Directory への従来のアクセス

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

可 (Kerberos 暗号化)

Microsoft Exchange System Attendant サービスの従来のアクセス (MAPI クライアントの場合)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可 (RPC 暗号化)

オフライン アドレス帳 (OAB) の Active Directory へのアクセス

135/TCP (RPC)

Kerberos

Kerberos

可 (RPC 暗号化)

Active Directory に対する受信者の更新

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

可 (Kerberos 暗号化)

Active Directory への DSAccess

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

可 (Kerberos 暗号化)

Outlook のオフライン アドレス帳 (OAB) へのアクセス

80/TCP、443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

可 (HTTPS)

不可

WebDAV

80/TCP、443/TCP (SSL)

基本、NTLM、ネゴシエート

基本、NTLM、ネゴシエート

可 (HTTPS)

メールボックス サーバーに関する注

"ネゴシエート" と記載されている HTTP 認証では、最初に Kerberos が試行され、次に NTLM が試行されます。

ノード内の通信では、クラスタ ノードはユーザー データグラム プロトコル (UDP) ポート 3343 上で通信します。クラスタ内の各ノードは、シーケンス化されたユニキャスト UDP データグラムを、定期的にクラスタ内の他の各ノードと交換します。この交換の目的は、すべてのノードが正しく実行されているかどうかを確認し、ネットワーク リンクの正常性を監視することです。

WebDAV アプリケーションまたはクライアントは、80/TCP または 443/TCP を使用してメールボックス サーバーに接続できますが、通常、これらのアプリケーションまたはクライアントはクライアント アクセス サーバーに接続します。次に、クライアント アクセス サーバーが 80/TCP または 443/TCP を使用してメールボックス サーバーに接続します。

"メールボックス サーバーのデータ パス" の表に示されているクラスタ化のデータ パスでは、動的 RPC (TCP) を使用して、クラスタ ノード間でクラスタの状態および処理を通信します。また、クラスタ サービス (ClusSvc.exe) は UDP/3343 を使用し、ランダムに割り当てられた値の大きい TCP ポートを使用してクラスタ ノード間の通信を行います。

クライアント アクセス サーバー

特に断りのない限り、Office Outlook Web Access、POP3、IMAP4 などのクライアント アクセス テクノロジは、クライアント アプリケーションからクライアント アクセス サーバーへの認証および暗号化ごとに説明されています。

次の表では、クライアント アクセス サーバーと他のサーバーやクライアントとの間のデータ パスのポート、認証、および暗号化について説明します。

クライアント アクセス サーバーのデータ パス

データ パス 必要なポート 既定の認証 サポートされる認証 暗号化のサポート 既定での暗号化

自動検出サービス

80/TCP、443/TCP (SSL)

基本/統合 Windows 認証 (ネゴシエート)

基本、ダイジェスト、NTLM、ネゴシエート (Kerberos)

可 (HTTPS)

可用性サービス

80/TCP、443/TCP (SSL)

NTLM/Kerberos

NTLM、Kerberos

可 (HTTPS)

Outlook Web Access

80/TCP、443/TCP (SSL)

フォーム ベース認証

基本、ダイジェスト、フォーム ベース認証、NTLM (v2 のみ)、Kerberos、証明書

可 (HTTPS)

可 (自己署名入り証明書を使用)

POP3

110/TCP (TLS)、995/TCP (SSL)

基本、NTLM、Kerberos

基本、NTLM、Kerberos

可 (SSL、TLS)

IMAP4

143/TCP (TLS)、993/TCP (SSL)

基本、NTLM、Kerberos

基本、NTLM、Kerberos

可 (SSL、TLS)

Outlook Anywhere (以前の RPC over HTTP)

80/TCP、443/TCP (SSL)

基本

基本または NTLM

可 (HTTPS)

Exchange ActiveSync アプリケーション

80/TCP、443/TCP (SSL)

基本

基本、証明書

可 (HTTPS)

クライアント アクセス サーバーからユニファイド メッセージング サーバー

5060/TCP、5061/TCP、5062/TCP、動的なポート

IP アドレスごと

IP アドレスごと

可 (SIP [セッション開始プロトコル] over TLS)

クライアント アクセス サーバーから以前のバージョンの Exchange Server を実行するメールボックス サーバー

80/TCP、443/TCP (SSL)

NTLM/Kerberos

ネゴシエート (Kerberos から NTLM またはオプションで基本へのフォールバック)、POP/IMAP テキスト

可 (IPSec)

不可

クライアント アクセス サーバーから Exchange 2007 メールボックス サーバー

RPC。この表の後の「クライアント アクセス サーバーに関する注」を参照

Kerberos

NTLM/Kerberos

可 (RPC 暗号化)

クライアント アクセス サーバーからクライアント アクセス サーバー (Exchange ActiveSync)

80/TCP、443/TCP (SSL)

Kerberos

Kerberos、証明書

可 (HTTPS)

可 (自己署名入り証明書を使用)

クライアント アクセス サーバーからクライアント アクセス サーバー (Outlook Web Access)

80/TCP、443/TCP (SSL)

Kerberos

Kerberos

可 (HTTPS)

WebDAV

80/TCP、443/TCP (SSL)

HTTP 基本または Outlook Web Access フォーム ベース認証

基本、Outlook Web Access フォーム ベース認証

可 (HTTPS)

クライアント アクセス サーバーに関する注

クライアント アクセス サーバーは多くのポートを使用してメールボックス サーバーと通信します。一部の例外を除き、これらのポートは RPC サービスによって決定され、固定されていません。

"ネゴシエート" と記載されている HTTP 認証では、最初に Kerberos が試行され、次に NTLM が試行されます。

Exchange 2007 クライアント アクセス サーバーが、Exchange Server 2003 を実行するメールボックス サーバーと通信している場合は、ベスト プラクティスとして、Kerberos を使用し、NTLM 認証と基本認証を無効にすることをお勧めします。また、信頼された証明書と共にフォーム ベース認証を使用するように Outlook Web Access を構成することもお勧めします。Exchange ActiveSync クライアントが Exchange 2007 クライアント アクセス サーバー経由で Exchange 2003 バックエンド サーバーと通信する場合、統合 Windows 認証を Exchange 2003 バックエンド サーバーの Microsoft-Server-ActiveSync 仮想ディレクトリに対して有効にする必要があります。Exchange システム マネージャを Exchange 2003 サーバー上で使用して Exchange 2003 仮想ディレクトリに対する認証を管理するには、マイクロソフト サポート技術情報の記事 937301「イベント ID 1036 がモバイル デバイスが Exchange 2003 バックエンドサーバーでのアクセス メールボックスの Exchange 2007 サーバーに接続するとき、CAS ロールを実行している Exchange 2007 サーバーに記録されます。」で参照されるホットフィックスをダウンロードしてインストールしてください。

詳細については、「クライアント アクセスのセキュリティの管理」を参照してください。

ユニファイド メッセージング サーバー

IP ゲートウェイは、セッション開始プロトコル (SIP)/TCP 接続用の相互 TLS および IP ベース認証を使用する、証明書ベースの認証のみをサポートしています。IP ゲートウェイは、NTLM または Kerberos 認証をサポートしていません。したがって、IP ベースの認証を使用する場合は、接続 IP アドレスを使用して、暗号化されていない (TCP) 接続用の認証メカニズムを提供します。ユニファイド メッセージングで IP ベースの認証を使用する場合、ユニファイド メッセージング サーバーは IP アドレスに接続が許可されているかどうかを確認します。IP アドレスは IP ゲートウェイまたは IP PBX で構成されます。

次の表では、ユニファイド メッセージング サーバーと他のサーバーとの間のデータ パスのポート、認証、および暗号化について説明します。

ユニファイド メッセージング サーバーのデータ パス

データ パス 必要なポート 既定の認証 サポートされる認証 暗号化のサポート 既定での暗号化

ユニファイド メッセージング FAX

5060/TCP、5061/TCP、5062/TCP、動的なポート

IP アドレスごと

IP アドレスごと

SIP over TLS、ただしメディアは暗号化されない

SIP の場合は可

ユニファイド メッセージング電話機能の操作 (PBX)

5060/TCP、5061/TCP、5062/TCP、動的なポート

IP アドレスごと

IP アドレスごと

SIP over TLS、ただしメディアは暗号化されない

SIP の場合は可

ユニファイド メッセージング Web サービス

80/TCP、443/TCP (SSL)

統合 Windows 認証 (ネゴシエート)

基本、ダイジェスト、NTLM、ネゴシエート (Kerberos)

可 (SSL)

ユニファイド メッセージングからハブ トランスポート

25/TCP (SSL)

Kerberos

Kerberos

可 (TLS)

ユニファイド メッセージングからメールボックス サーバー

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可 (RPC 暗号化)

ユニファイド メッセージング サーバーに関する注

Active Directory でユニファイド メッセージング (UM) IP ゲートウェイ オブジェクトを作成する場合、物理 IP ゲートウェイまたは IP PBX (構内交換機) の IP アドレスを定義する必要があります。UM IP ゲートウェイ オブジェクトで IP アドレスを定義すると、ユニファイド メッセージング サーバーが通信できる有効な IP ゲートウェイの一覧に IP アドレスが追加されます。UM IP ゲートウェイを作成すると、UM ダイヤル プランに関連付けられます。UM IP ゲートウェイをダイヤル プランに関連付けると、ダイヤル プランに関連付けられたユニファイド メッセージング サーバーは、IP ベースの認証を使用して IP ゲートウェイと通信できるようになります。UM IP ゲートウェイが作成されていない場合や、適切な IP アドレスを使用するように構成されていない場合、認証は失敗し、ユニファイド メッセージング サーバーは IP ゲートウェイの IP アドレスからの接続を受け付けません。

Exchange 2007 の RTM (Release to manufacturing) 版では、ユニファイド メッセージング サーバーはポート 5060/TCP (セキュリティで保護されない) とポート 5061/TCP (セキュリティで保護される) のいずれかのポートで通信できますが、両方を使用することはできません。Exchange 2007 Service Pack 1 (SP1) では、ユニファイド メッセージング サーバーはポート 5060/TCP とポート 5061/TCP で同時に要求待ちをすることができます。

詳細については、「ユニファイド メッセージング VoIP セキュリティについて」および「ユニファイド メッセージングのプロトコル、ポート、およびサービスについて」を参照してください。

このガイドの内容

Exchange Server の役割の Windows を保護するためのセキュリティ構成ウィザードの使用

ここでは、セキュリティ構成ウィザード (SCW) を使用して Exchange 2007 サーバーの役割では不要な Windows 機能を無効にすることにより、サーバーの攻撃対象となる範囲を最小限にする方法について説明します。

セキュリティ構成ウィザードの使用

Exchange 2007 には、Exchange 2007 サーバーのそれぞれの役割に対する SCW テンプレートが備わっています。SCW でこのテンプレートを使用することにより、Exchange サーバーの役割ごとに不要なサービスおよびポートをロックダウンするように Windows オペレーティング システムを構成できます。SCW を実行すると、使用している環境にカスタム セキュリティ ポリシーが作成されます。組織内のすべての Exchange サーバーにカスタム ポリシーを適用できます。SCW を使用すると、次の機能を構成できます。

  • サーバーの役割   SCW は、サーバーの役割情報を使用して、サービスを有効にし、ローカル ファイアウォールのポートを開きます。
  • クライアント機能   サーバーは、他のサーバーに対するクライアントとしても動作します。環境に必要なクライアント機能のみを選択します。
  • 管理オプション   バックアップ、エラー報告など、環境に必要なオプションを選択します。
  • サービス   サーバーに必要なサービスを選択し、ポリシーで指定されていないサービスのスタートアップ モードを設定します。指定されていないサービスは、選択したサーバーにインストールされず、セキュリティ構成データベースの一覧には表示されません。構成したセキュリティ ポリシーが、ポリシーを作成したサーバーとは異なるサービスを実行するサーバーに適用される場合があります。このポリシーを適用したサーバー上で指定していないサービスが検出された場合に実行する処理を決定するポリシー設定を選択できます。サービスのスタートアップ モードを変更しないように、またはサービスを無効にするように、処理を設定できます。
  • ネットワーク セキュリティ   各ネットワーク インターフェイスで開くポートを選択します。ポートへのアクセスは、ローカル ネットワーク インターフェイス、またはリモート IP アドレスとサブネットに基づいて制限できます。
  • レジストリ設定   レジストリ設定を使用して、他のコンピュータとの通信に使用するプロトコルを構成します。
  • 監査ポリシー   監査ポリシーは、ログに記録する成功イベントと失敗イベント、および監査の対象となるファイル システム オブジェクトを特定します。

Exchange Server 2007 SCW テンプレートの使用

Exchange サーバーの役割をインストールしたら、次の手順に従い、SCW を使用してセキュリティ ポリシーを構成します。

  1. SCW をインストールします。
  2. SCW 拡張を登録します。
  3. カスタム セキュリティ ポリシーを作成し、そのポリシーをローカル サーバーに適用します。
  4. 指定された役割を実行する Exchange サーバーが組織内に複数存在する場合、各 Exchange サーバーに対してカスタムのセキュリティ ポリシーを適用できます。

以下では、上の各ステップの手順を説明します。

次の手順を実行するには、使用するアカウントに以下が委任されている必要があります。

  • Exchange Server 管理者の役割および対象サーバーのローカルの Administrators グループ

エッジ トランスポート サーバーの役割がインストールされているコンピュータで以下の手順を実行するには、そのコンピュータのローカルの Administrators グループのメンバであるアカウントを使用してログオンする必要があります。

Exchange 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。

セキュリティの構成ウィザードのインストール

SCW セキュリティ ポリシーを適用する Exchange 2007 サーバーごとに、SCW を使用してこの手順を実行する必要があります。

セキュリティの構成ウィザードをインストールするには、次の操作を行います。

  1. [コントロール パネル][プログラムの追加と削除] をクリックします。

  2. [Windows コンポーネントの追加と削除] をクリックして、[Windows コンポーネント ウィザード] を起動します。

  3. [Windows コンポーネント] ダイアログ ボックスで、[セキュリティの構成ウィザード] チェック ボックスをオンにし、[次へ] をクリックします。

  4. インストールが完了するのを待ち、[終了] をクリックします。

この手順の実行後に SCW を開くには、[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントして [セキュリティの構成ウィザード] をクリックします。

Exchange Server の役割の SCW 拡張の登録

Exchange Server の役割の拡張により、SCW を使用して、各 Microsoft Exchange サーバーの役割に必要な機能に固有のセキュリティ ポリシーを作成できます。この拡張は、Exchange 2007 で提供され、カスタム セキュリティ ポリシーを作成する前に登録する必要があります。

SCW セキュリティ ポリシーを適用する Exchange 2007 サーバーごとに、この登録手順を実行する必要があります。さまざまな Exchange 2007 サーバーの役割のために、2 つの拡張ファイルが必要です。サーバーの役割がメールボックス、ハブ トランスポート、ユニファイド メッセージング、およびクライアント アクセスである場合は、Exchange2007.xml 拡張ファイルを登録します。エッジ トランスポート サーバーの役割の場合は、Exchange2007Edge.xml 拡張ファイルを登録します。

note注 :
Exchange 2007 SCW 拡張のファイルは、%Exchange%\Scripts ディレクトリにあります。既定の Exchange インストール ディレクトリは Program Files\Microsoft\Exchange Server です。このディレクトリの場所は、サーバーのインストール時にカスタムのディレクトリの場所を選択している場合は異なる可能性があります。
important重要 :
Exchange 2007 をカスタムのインストール ディレクトリにインストールした場合でも、SCW の登録は機能します。ただし、SCW を有効にするには、カスタムのインストール ディレクトリを認識するように手動で設定する必要があります。詳細については、Microsoft サポート技術情報の記事 896742「Windows Server 2003 SP1 でセキュリティの構成ウィザードに実行されるの後、Outlook ユーザーがアカウントに接続することができない場合があります。」を参照してください。

メールボックス、ハブ トランスポート、ユニファイド メッセージング、またはクライアント アクセス サーバーの役割を実行しているコンピュータでセキュリティの構成ウィザード拡張を登録するには、次の操作を行います。

  1. コマンド プロンプト ウィンドウを開きます。次のコマンドを入力し、SCW コマンド ライン ツールを使用して Exchange 2007 拡張をローカル セキュリティ構成データベースに登録します。

    scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
    
  2. コマンドが正常に実行されたことを確認するには、%windir%\security\msscw\logs ディレクトリにある SCWRegistrar_log.xml ファイルを参照します。

エッジ トランスポート サーバーの役割を実行しているコンピュータでセキュリティの構成ウィザード拡張を登録するには、次の操作を行います。

  1. コマンド プロンプト ウィンドウを開きます。次のコマンドを入力し、SCW コマンド ライン ツールを使用して Exchange 2007 拡張をローカル セキュリティ構成データベースに登録します。

    scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"
    
  2. コマンドが正常に実行されたことを確認するには、%windir%\security\msscw\logs ディレクトリにある SCWRegistrar_log.xml ファイルを参照します。

Exchange Server の役割の新しい SCW ポリシーの作成

この手順を使用して、特定の環境に合わせたカスタム セキュリティ ポリシーを作成します。カスタム ポリシーを作成した後にそのポリシーを使用して、組織内で同じサーバーの役割を実行している各 Exchange 2007 サーバーに同じレベルのセキュリティを適用します。

note注 :
次のうち一部の手順では、セキュリティの構成ウィザードのすべてのページについて構成の詳細を示していません。この場合、有効にするサービスまたは機能が不明な場合は、既定の選択をそのまま使用することをお勧めします。Exchange 2007 ヘルプ ファイルのすべての内容と同様に、Exchange 2007 で SCW を使用する方法に関する最新の内容は、Exchange Server TechCenter で参照できます (このサイトは英語の場合があります)。

セキュリティの構成ウィザードを使用してカスタム セキュリティ ポリシーを作成するには、次の操作を行います。

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[セキュリティの構成ウィザード] をクリックして、ツールを起動します。開始画面で [次へ] をクリックします。

  2. [構成の操作] ページで、[新しいセキュリティ ポリシーの作成] を選択し、[次へ] をクリックします。

  3. [サーバーの選択] ページで、[サーバー (DNS 名、NetBIOS 名、または IP アドレスを使用してください)] ボックスに正しいサーバー名が表示されていることを確認します。[次へ] をクリックします。

  4. [セキュリティの構成データベースの処理] ページで、進行状況バーが完了するのを待ってから、[次へ] をクリックします。

  5. [役割に基づくサービスの構成] ページで、[次へ] をクリックします。

  6. [サーバーの役割の選択] ページで、コンピュータにインストールした Exchange 2007 サーバーの役割を選択し、[次へ] をクリックします。

  7. [クライアントの機能の選択] ページで、Exchange サーバーで必要なクライアント機能をそれぞれ選択し、[次へ] をクリックします。

  8. [管理オプションとその他のオプションの選択] ページで、Exchange サーバーで必要な管理機能をそれぞれ選択し、[次へ] をクリックします。

  9. [追加のサービスの選択] ページで、Exchange サーバーで有効にする必要のあるサービスをそれぞれ選択し、[次へ] をクリックします。

  10. [指定されていないサービスの処理] ページで、現在ローカル サーバーにインストールされていないサービスが検出された場合に実行する処理を選択します。[サービスのスタートアップ モードを変更しない] を選択して何も処理を行わないようにするか、または [サービスを無効にする] を選択してサービスを自動的に無効にすることができます。[次へ] をクリックします。

  11. [サービスの変更の確認] ページで、このポリシーによって現在のサービスの構成に加えられる変更を確認します。[次へ] をクリックします。

  12. [ネットワーク セキュリティ] ページで、[このセクションをスキップする] が選択されていないことを確認し、[次へ] をクリックします。

  13. [開くポートの選択およびアプリケーションの承認] ページで、エッジ トランスポート サーバー上で SCW を実行している場合は、Active Directory Application Mode (ADAM) に LDAP 通信用のポートを 2 つ追加する必要があります。

    1. [追加] をクリックします。[ポートまたはアプリケーションの追加] ページで、[ポート番号] ボックスに「50389」と入力します。[TCP] チェック ボックスをオンにし、[OK] をクリックします。
    2. [追加] をクリックします。[ポートまたはアプリケーションの追加] ページで、[ポート番号] ボックスに「50636」と入力します。[TCP] チェック ボックスをオンにし、[OK] をクリックします。
  14. (エッジ トランスポート サーバーのみ)[開くポートの選択およびアプリケーションの承認] ページで、各ネットワーク アダプタにポートを構成する必要があります。

    1. [ポート 25] を選択し、[詳細設定] をクリックします。[ポートの制限] ページで、[ローカル インターフェイスの制限] タブをクリックします。[次のローカル インターフェイス] をクリックし、内部ネットワーク アダプタと外部ネットワーク アダプタの両方のチェック ボックスをオンにして、[OK] をクリックします。
    2. [ポート 50389] を選択し、[詳細設定] をクリックします。[ポートの制限] ページで、[ローカル インターフェイスの制限] タブをクリックします。[次のローカル インターフェイス] をクリックし、内部ネットワーク アダプタのチェック ボックスのみをオンにして、[OK] をクリックします。
    3. [ポート 50636] を選択し、[詳細設定] をクリックします。[ポートの制限] ページで、[ローカル インターフェイスの制限] タブをクリックします。[次のローカル インターフェイス] をクリックし、内部ネットワーク アダプタのチェック ボックスのみをオンにして、[OK] をクリックします。
    note注 :
    ポートごとにリモート アドレスの制限を構成することもできます。
  15. [開くポートの選択およびアプリケーションの承認] ページで、[次へ] をクリックします。

  16. [ポート構成の確認] ページで、受信ポートの構成が正しいことを確認し、[次へ] をクリックします。

  17. [レジストリの設定] ページで、[このセクションをスキップする] チェック ボックスをオンにして、[次へ] をクリックします。

  18. [監査ポリシー] ページで、[このセクションをスキップする] チェック ボックスをオンにして、[次へ] をクリックします。

  19. [インターネット インフォメーション サービス (IIS)] ページで、[このセクションをスキップする] チェック ボックスをオンにして、[次へ] をクリックします。

  20. [セキュリティ ポリシーの保存] ページで、[次へ] をクリックします。

  21. [セキュリティ ポリシー ファイルの名前] ページで、セキュリティ ポリシーのファイル名と省略可能な説明を入力します。[次へ] をクリックします。ポリシーの適用後にサーバーの再起動が必要な場合は、ダイアログ ボックスが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます。

  22. [セキュリティ ポリシーの適用] ページで、[後で適用する] または [今すぐ適用] を選択し、[次へ] をクリックします。

  23. [セキュリティの構成ウィザードの完了] ページで、[完了] をクリックします。

既存の SCW ポリシーを Exchange Server の役割に適用する方法

ポリシーを作成した後、組織内で同じ役割を実行している複数のコンピュータにそのポリシーを適用できます。

セキュリティの構成ウィザードを使用して既存のポリシーを適用するには、次の操作を行います。

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[セキュリティの構成ウィザード] をクリックして、ツールを起動します。開始画面で [次へ] をクリックします。

  2. [構成の操作] ページで、[既存のセキュリティ ポリシーの適用] を選択します。[参照] をクリックし、ポリシーの XML ファイルを選択して、[開く] をクリックします。[次へ] をクリックします。

  3. [サーバーの選択] ページで、[サーバー (DNS 名、NetBIOS 名、または IP アドレスを使用してください)] ボックスに正しいサーバー名が表示されていることを確認します。[次へ] をクリックします。

  4. [セキュリティ ポリシーの適用] ページで、ポリシーの詳細を表示する場合は [セキュリティ ポリシーの表示] をクリックし、[次へ] をクリックします。

  5. [セキュリティ ポリシーの適用] ページで、進行状況バーに [適用の完了] と表示されるまで待ってから、[次へ] をクリックします。

  6. [セキュリティの構成ウィザードの完了] ページで、[完了] をクリックします。

このガイドの内容

付録 1 : Exchange 2007 SCW 登録ファイルにより有効化されるサービスおよびポート実行可能ファイル

セキュリティの構成ウィザード (SCW) では XML 登録ファイルを使用し、Windows オペレーティング システムが他のアプリケーションと共に動作するための構成を容易にします。SCW が使用する登録ファイルは、特定のアプリケーションを運用するのに必要なセキュリティ構成を定義します。セキュリティ構成では、最低でも、特定のアプリケーションに必要なサービスとポートを定義します。

ここでは、SCW を既定の Exchange 2007 登録ファイルで実行しているときに、Exchange 2007 サーバーの各役割のために有効化されるサーバーおよびポートを説明します。

登録ファイル

Exchange 2007 には 2 つの SCW 用登録ファイルがあります。一般的な Exchange 2007 登録ファイルは、Exchange2007.xml と呼ばれます。このファイルはエッジ トランスポート サーバーの役割を除き、すべての Microsoft Exchange サーバーの役割のセキュリティ構成を定義します。エッジ トランスポート サーバーの役割のための登録ファイルは、Exchange2007Edge.xml と呼ばれます。このファイルは、エッジ トランスポート サーバーのセキュリティ構成を定義します。

登録ファイルは Exchange 2007 インストールの際に、%Programfiles%\Microsoft\Exchange Server\Scripts ディレクトリにインストールされています。

有効化されるサービスでは、サービス開始の値を自動または手動に設定します。

有効化されるポートでは、Windows ファイアウォールによって信頼されている実行可能ファイル (.exe) を特定し、特定のアプリケーションに対してポートを開きます。

SCW の使用する Exchange 2007 登録ファイルでは、ポート実行ファイルを、既定の場所に応じて指定します。ほとんどの場合、既定の場所は %Programfiles%\Microsoft\Exchange Server\bin です。Exchange を異なる場所にインストールした場合、Exchange 2007 登録ファイルの <Port> セクションの <Path> 値を編集し、インストールした正しい場所を指示する必要があります。

メールボックス サーバーの役割

以下のサービスが、Exchange 2007 登録ファイル (Exchange2007.xml) によってメールボックス サーバーの役割のために有効化されます。

Microsoft Search (Exchange サーバー) サービスおよび Microsoft Exchange Monitoring は手動で開始するよう設定されています。他のサービスはすべて自動で開始するよう設定されています。

サービスの短縮名 サービス名

MSExchangeIS

Microsoft Exchange Information Store

MSExchangeADTopology

Microsoft Exchange Active Directory トポロジ

MSExchangeRepl

Microsoft Exchange レプリケーション サービス

MSExchangeMailboxAssistants

Microsoft Exchange メールボックス アシスタント

MSExchangeSearch

Microsoft Exchange Search Indexer

MSExchangeServiceHost

Microsoft Exchange Service Host

MSExchangeMonitoring

Microsoft Exchange Monitoring

MSExchangeSA

Microsoft Exchange System Attendant

MSExchangeMailSubmission

Microsoft Exchange メール発信サービス

msftesql-Exchange

Microsoft Search (Exchange サーバー)

以下のポートが有効になります。

ポート名 関連付けられた実行可能ファイル

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeISPorts

Store.exe

MSExchangeReplPorts

Microsoft.Exchange.Cluster.ReplayService.exe

MSExchangeMailboxAssistantsPorts

MSExchangeMailboxAssistants.exe

MSExchangeSearchPorts

Microsoft.Exchange.Search.ExSearch.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

MSExchangeSAPorts

Mad.exe

MSExchangeMailSubmissionPorts

MSExchangeMailSubmission.exe

msftesql-ExchangePorts

Msftesql.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

クラスタ化メールボックス サーバーの役割

クラスタ化メールボックス サーバーでは、このトピックの「メールボックス サーバーの役割」セクションで説明された、メールボックス サーバーの役割のために有効化されるサービスおよびポートが有効化されます。

また、Microsoft クラスタ サービスは自動で開始するよう設定されています。

サービスの短縮名 サービス名

ClusSvc

Microsoft クラスタ サービス

以下のポートも有効化されます。

note注 :
クラスタ固有の実行可能ファイルへの既定のパスは %windir%\Cluster です。Powershell.exe への既定のパスは %windir%\system32\windowspowershell\v1.0 です。
ポート名 関連付けられた実行可能ファイル

ExSetupPorts

ExSetup.exe

clussvcPorts

Clussvc.exe

CluAdminPorts

CluAdmin.exe

resrcmonPorts

Resrcmon.exe

msftefdPorts

Msftefd.exe

powershellPorts

Powershell.exe

ハブ トランスポート サーバーの役割

以下のサービスが、Exchange 2007 登録ファイル (Exchange2007.xml) によってハブ トランスポート サーバーの役割のために有効化されます。

Microsoft Exchange Monitoring は手動で開始するように設定されています。他のサービスはすべて自動で開始するよう設定されています。

サービスの短縮名 サービス名

MSExchangeADTopology

Microsoft Exchange Active Directory トポロジ サービス

MSExchangeTransport

Microsoft Exchange Transport サービス

MSExchangeAntispamUpdate

Microsoft Exchange Anti-spam Update サービス

MSExchangeEdgeSync

Microsoft Exchange EdgeSync サービス

MSExchangeTransportLogSearch

Microsoft Exchange Transport Log Search service

MSExchangeMonitoring

Microsoft Exchange Monitoring

以下のポートが有効になります。

ポート名 関連付けられた実行可能ファイル

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeEdgeSyncPorts

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

エッジ トランスポート サーバーの役割

以下のサービスが、登録ファイル (Exchange2007Edge.xml) によってエッジ トランスポート サーバーの役割のために有効化されます。

Microsoft Exchange Monitoring および Microsoft Exchange Transport Log Search service は、手動で開始するように設定されています。他のサービスはすべて自動で開始するよう設定されています。

サービスの短縮名 サービス名

MSExchangeTransport

Microsoft Exchange Transport サービス

MSExchangeAntispamUpdate

Microsoft Exchange Anti-spam Update サービス

ADAM_MSExchange

Microsoft Exchange ADAM

EdgeCredentialSvc

Microsoft Exchange Credential Service

MSExchangeTransportLogSearch

Microsoft Exchange Transport Log Search service

MSExchangeMonitoring

Microsoft Exchange Monitoring

以下のポートが有効になります。

note注 :
Dsadmin.exe への既定のパスは %windir%\ADAM です。
ポート名 関連付けられた実行可能ファイル

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

ADAM_MSExchangePorts

Dsamain.exe

EdgeCredentialSvcPorts

EdgeCredentialSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

クライアント アクセス サーバーの役割

以下のサービスが、Exchange 2007 登録ファイル (Exchange2007.xml) によってクライアント アクセス サーバーの役割のために有効化されます。

Microsoft Exchange Monitoring、Microsoft Exchange POP3 サービス、および Microsoft Exchange IMAP4 サービスは、手動で開始するように設定されています。他のサービスはすべて自動で開始するよう設定されています。

サービスの短縮名 サービス名

MSExchangeADTopology

Microsoft Exchange Active Directory トポロジ サービス

MSExchangePOP3

Microsoft Exchange POP3 サービス

MSExchangeIMAP4

Microsoft Exchange IMAP4 サービス

MSExchangeFDS

Microsoft Exchange ファイル配布サービス

MSExchangeServiceHost

Microsoft Exchange Service Host

MSExchangeMonitoring

Microsoft Exchange Monitoring

以下のポートが有効になります。

note注 :
Pop3Service.exe および Imap4Service.exe ファイルへの既定のパスは、%Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap です。
ポート名 関連付けられた実行可能ファイル

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangePOP3Ports

Microsoft.Exchange.Pop3Service.exe

MSExchangeIMAP4Ports

Microsoft.Exchange.Imap4Service.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

ユニファイド メッセージング サーバーの役割

以下のサービスが、Exchange 2007 登録ファイル (Exchange2007.xml) によってユニファイド メッセージング サーバーの役割のために有効化されます。

Microsoft Exchange Monitoring は手動で開始するように設定されています。他のサービスはすべて自動で開始するよう設定されています。

サービス名 フレンドリ名

MSExchangeADTopology

Microsoft Exchange Active Directory トポロジ サービス

MSSpeechService

Microsoft Exchange 音声認識エンジン

MSExchangeUM

Microsoft Exchange ユニファイド メッセージング

MSExchangeFDS

Microsoft Exchange ファイル配布サービス

MSExchangeMonitoring

Microsoft Exchange Monitoring

以下のポートが有効になります。

note注 :
SpeechService.exe ファイルへの既定のパスは %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging です。
ポート名 関連付けられた実行可能ファイル

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSSPorts

SpeechService.exe

MSExchangeUMPorts

umservice.exe

UMWorkerProcessPorts

UMWorkerProcess.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

このガイドの内容

付録 2 : セキュリティ関連の追加ドキュメント

ここでは、セキュリティ関連の追加の Exchange ドキュメントへのリンクを紹介します。最新のセキュリティ関連コンテンツについては、「セキュリティと保護」を参照してください。

スパム対策およびウイルス対策向けの機能

クライアント認証およびアクセスのセキュリティ

Microsoft Office Outlook Web Access

Outlook Anywhere

POP3 と IMAP4

アクセス許可

メール フローの保護

このガイドの内容

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。