Cisco IronPort AsyncOS 7.3 for Email Security 詳細 ......目次 vi Cisco IronPort AsyncOS 7.3 for...

シスコシステムズ合同会社〒 107-6227 東京都港区赤坂 9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先：シスココンタクトセンター0120-092-255 （フリーコール、携帯・PHS 含む）電話受付時間：平日 10:00～12:00、13:00～17:00http://www.cisco.com/jp/go/contactcenter/

Cisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド2010 年 9 月 28 日

Text Part Number: OL-23081-01-J

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されて

いる表現、情報と推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとしま

す。このマニュアルに記載されている製品の使用は、すべてユーザ側の責任となります。

対象製品のソフトウェアライセンスと限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

シスコが導入する TCP ヘッダー圧縮は、カリフォルニア大学バークレー校（UCB）により、UNIX オペレーティングシステムの UCB パブリックドメインバージョンの一部として開発されたプログラムを適応したものです。All rights reserved. Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルとソフトウェアは、障害も含めて「現状のまま」として提

供されます。シスコおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取

引過程、使用、取引慣行によって発生する保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失や

データの損傷をはじめとする、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らさ

れていても、それらに対する責任を一切負わないものとします。

CCDE、CCENT、Cisco Eos、Cisco HealthPresence、Cisco ロゴ、Cisco Lumin、Cisco Nexus、Cisco StadiumVision、Cisco TelePresence、Cisco Webex、DCE、および Welcome to the Human Network は、米国およびその他の国におけるシスコまたはその関連会社の商標です。Changing the Way We Work、Live、Play、and Learn および Cisco Store は、米国およびその他の国におけるシスコまたはその関連会社のサービスマークです。Access Registrar、Aironet、AsyncOS、Bringing the Meeting To You、Catalyst、CCDA、CCDP、CCIE、CCIP、CCNA、CCNP、CCSP、CCVP、Cisco、Cisco Certified Internetwork Expert ロゴ、Cisco IOS、Cisco Press、Cisco Systems、Cisco Systems Capital、Cisco Systems ロゴ、Cisco Unity、Collaboration Without Limitation、EtherFast、EtherSwitch、Event Center、Fast Step、Follow Me Browsing、FormShare、GigaDrive、HomeLink、Internet Quotient、IOS、iPhone、iQuick Study、IronPort、IronPort ロゴ、LightStream、Linksys、MediaTone、MeetingPlace、MeetingPlace Chime Sound、MGX、Networkers、Networking Academy、Network Registrar、PCNow、PIX、PowerPanels、ProConnect、ScriptShare、SenderBase、SMARTnet、Spectrum Expert、StackWise、The Fastest Way to Increase Your Internet Quotient、TransPath、Webex、および Webex ロゴは、米国およびその他の国におけるシスコまたはその関連会社の登録商標です。

本ドキュメントまたは Web サイトに掲載されているその他の商標はそれぞれの所有者に帰属します。「パートナー」または「partner」という用語の使用は、シスコと他社との間のパートナーシップ関係を意味するものではありません。（0910R）

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図とその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

Cisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド © 2010 Cisco Systems, Inc. All rights reserved.

Cisco IronPoOL-23081-01-J

C O N T E N T S

はじめに xxi

このマニュアルをお読みになる前に xxi

ドキュメントセット xxii

このマニュアルの構成 xxii

印刷時の表記法 xxiii

IronPort カスタマーサポートへの問い合わせ xxiv

IronPort にコメントお寄せください xxv

C H A P T E R 1 FIPS 管理 1-1

FIPS 管理の概要 1-1

FIPS 管理の概要 1-2HSM カードの初期化 1-4FIPS 管理コンソールへのログイン 1-6FIPS オフィサーパスワードの使用 1-8サポートされる証明書キーの種類 1-10

ロギング 1-10

中央集中型の管理 1-10

証明書およびキーの管理 1-11

DomainKeys および DKIM の署名キーの管理 1-13

証明書およびキーのバックアップと復元 1-15

証明書およびキーのバックアップ 1-16

証明書およびキーの復元 1-16

iiirt AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

目次

fipsconfig CLI コマンドの使用 1-17

HSM カードを使用した複数の電子メールセキュリティアプライアンスの操作 1-20

C H A P T E R 2 リスナーのカスタマイズ 2-23

リスナーの概要 2-24

GUI を使用したリスナーの設定 2-29リスナーのグローバル設定 2-30

リスナーのグローバル設定 2-34

リスナーの作成 2-35

SMTP アドレス解析オプション 2-36Strict モード 2-37Loose モード 2-37その他のオプション 2-38

部分ドメイン、デフォルトドメイン、不正な形式の MAIL FROM 2-41

高度な設定オプション 2-41

LDAP オプション 2-43アクセプトクエリ 2-43ルーティングクエリー 2-44マスカレードクエリー 2-44グループクエリー 2-45

リスナーの編集 2-45

リスナーの削除 2-45

CLI を使用したリスナーの設定 2-46HAT の詳細パラメータ 2-47

SenderBase 設定と HAT メールフローポリシー 2-49SenderBase クエリのタイムアウト 2-50

HAT Significant Bits 機能 2-51

TLS を使用した SMTP カンバセーションの暗号化 2-57

ivCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

証明書の取得 2-58

中間証明書 2-60

自己署名証明書の作成 2-60

証明書のインポート 2-62

証明書のエクスポート 2-63

認証局のリストの管理 2-64

カスタム認証局リストのインポート 2-65

システム認証局リストの無効化 2-65

認証局リストのエクスポート 2-65

リスナー HAT の TLS のイネーブル化 2-66証明書の割り当て 2-67

ログ 2-68

GUI の例 2-68CLI の例 2-69

配信時の TLS および証明書検証のイネーブル化 2-70要求された TLS 接続が失敗した場合のアラートの送信 2-74ログ 2-74

CLI の例 2-75HTTPS の証明書のイネーブル化 2-80

C H A P T E R 3 ルーティングおよび配信機能の設定 3-85

ローカルドメインの電子メールのルーティング 3-86SMTP ルートの概要 3-87デフォルトの SMTP ルート 3-88SMTP ルートの定義 3-88SMTP ルートの制限 3-89SMTP ルートと DNS 3-89SMTP ルートおよびアラート 3-89SMTP ルート、メール配信、およびメッセージ分裂 3-90SMTP ルートと発信 SMTP 認証 3-90

vCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

GUI を使用した SMTP ルートの管理 3-90SMTP ルートの追加 3-91SMTP ルートの編集 3-92SMTP ルートの削除 3-92SMTP ルートのエクスポート 3-92SMTP ルートのインポート 3-93

アドレスの書き換え 3-95

エイリアステーブルの作成 3-96コマンドラインによるエイリアステーブルの設定 3-96エイリアステーブルのエクスポートおよびインポート 3-98

エイリアステーブルのエントリの削除 3-98エイリアステーブルの例 3-98aliasconfig コマンドの例 3-102

マスカレードの設定 3-108

マスカレードと altsrchost 3-109スタティックマスカレードテーブルの構成 3-109プライベートリスナー用マスカレードテーブルの例 3-111マスカレードテーブルのインポート 3-111マスカレードの例 3-112

ドメインマップ機能 3-124ドメインマップテーブルのインポートおよびエクスポート 3-131

バウンスした電子メールの処理 3-133

配信不可能な電子メールの処理 3-133

ソフトバウンスおよびハードバウンスに関する注意 3-134バウンスプロファイルのパラメータ 3-135ハードバウンスと status コマンド 3-137カンバセーションバウンスおよび SMTP ルートのメッセージフィルタアクション 3-138

viCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

バウンスプロファイルの例 3-138配信ステータス通知形式 3-140

遅延警告メッセージ 3-140

遅延警告メッセージとハードバウンス 3-141新しいバウンスプロファイルの作成 3-141

デフォルトのバウンスプロファイルの編集 3-142minimalist バウンスプロファイルの例 3-143

リスナーへのバウンスプロファイルの適用 3-144

電子メール配信の管理 3-147

メール配信に使用するインターフェイスの決定 3-148

デフォルトの配信制限 3-149

[送信先コントロール（Destination Controls）] の使用 3-149ドメインに対する接続、メッセージ、受信者の数の管理 3-149

TLS の管理 3-152IronPort バウンス検証タギングの管理 3-152バウンスの管理 3-153

新しい送信先コントロールエントリの追加 3-153宛先制御エントリの編集 3-153

宛先制御エントリの削除 3-153

宛先制御設定のインポートおよびエクスポート 3-154

宛先制御と CLI 3-159

IronPort バウンス検証 3-159概要：タギングと IronPort バウンス検証 3-161

着信バウンスメッセージの処理 3-161IronPort の [Bounce Verification Address Tagging Keys] 3-162

IronPort バウンス検証と HAT 3-163IronPort バウンス検証の使用 3-164

[バウンス検証アドレスのタグ付けキー（Bounce Verification Address Tagging Keys）] の設定 3-165

viiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

IronPort バウンス検証設定の設定 3-166IronPort バウンス検証と CLI 3-166IronPort バウンス検証とクラスタ設定 3-166

電子メール配信パラメータの設定 3-167

デフォルトの配信 IP インターフェイス 3-167[配信可能性あり（Possible Delivery）] 機能 3-168デフォルトの最大同時接続数（Default Maximum Concurrency） 3-168deliveryconfig の例 3-168

Virtual Gateway™ テクノロジーの使用 3-171概要 3-171

Virtual Gateway アドレスの設定 3-172仮想ゲートウェイで使用する新しい IP インターフェイスの作成 3-173

メッセージから配信用 IP インターフェイスへのマッピング 3-176

altsrchost ファイルのインポート 3-178altsrchost の制限 3-178altsrchost コマンド用に有効なマッピングが記載されたテキストファイルの例 3-179CLI を使用した altsrchost マッピングの追加 3-179

Virtual Gateway アドレスのモニタリング 3-184Virtual Gateway アドレスごとの配信接続の管理 3-184

[グローバル配信停止（Global Unsubscribe）] 機能の使用 3-185CLI を使用したグローバル配信停止へのアドレスの追加 3-187

グローバル配信停止ファイルのエクスポートおよびインポート 3-189

確認：電子メールパイプライン 3-192

viiiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

C H A P T E R 4 LDAP クエリ 4-197

概要 4-198

LDAP クエリについて 4-198LDAP と AsyncOS との連携の仕組み 4-200AsyncOS を LDAP と連携させるための設定 4-201

LDAP サーバプロファイルの作成 4-202LDAP サーバのテスト 4-206LDAP、LDAP クエリー、およびリスナーとの連携 4-206

グローバル設定の構成 4-206

LDAP サーバプロファイル作成の例 4-207パブリックリスナー上の LDAP クエリの有効化 4-208プライベートリスナーでの LDAP クエリのイネーブル化 4-209

Microsoft Exchange 5.5 に対する拡張サポート 4-210

LDAP クエリに関する作業 4-213LDAP クエリのタイプ 4-213ベース識別名（DN） 4-214LDAP クエリの構文 4-215セキュア LDAP（SSL） 4-216ルーティングクエリー 4-216

匿名クエリー 4-216

Active Directory の実装に関する注意 4-221LDAP クエリのテスト 4-222LDAP サーバへの接続のトラブルシューティング 4-224

受け入れ（受信者検証）クエリー 4-225

受け入れクエリの例 4-225

Lotus Notes の場合の受け入れクエリの設定 4-226

ルーティング：エイリアス拡張 4-226

ルーティングクエリの例 4-227

マスカレード 4-228

ixCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

マスカレードクエリの例 4-228「フレンドリ名」のマスカレード 4-228

グループ LDAP クエリー 4-230グループクエリの例 4-230

グループクエリの設定 4-231例：グループクエリを使用してスパムとウイルスのチェックをスキップする 4-234

ドメインベースクエリー 4-236ドメインベースクエリーの作成 4-237

チェーンクエリ 4-239チェーンクエリの作成 4-240

LDAP によるディレクトリハーベスト攻撃防止 4-241SMTP カンバセーション中のディレクトリハーベスト攻撃防止 4-241

作業キュー内でのディレクトリハーベスト攻撃防止 4-244ワークキュー内でディレクトリハーベスト攻撃防止するための設定 4-244

SMTP 認証を行うための AsyncOS の設定 4-246SMTP 認証の設定 4-247

パスワードを属性として指定 4-247

SMTP 認証クエリの設定 4-249第 2 の SMTP サーバ経由での SMTP 認証（転送を使用する SMTP Auth） 4-250LDAP を使用する SMTP 認証 4-252

リスナーでの SMTP 認証のイネーブル化 4-253発信 SMTP 認証 4-258ロギングと SMTP 認証 4-259

ユーザの外部認証の設定 4-260

ユーザアカウントクエリ 4-261グループメンバーシップクエリ 4-262

xCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

スパム検疫へのエンドユーザ認証のクエリー 4-264

Active Directory エンドユーザ認証の設定例 4-265OpenLDAP エンドユーザ認証の設定の例 4-265

スパム隔離のエイリアス統合クエリ 4-266

Active Directory エイリアス統合の設定例 4-267OpenLDAP エイリアス統合の設定例 4-267

AsyncOS を複数の LDAP サーバと連携させるための設定 4-268サーバとクエリのテスト 4-268

フェールオーバー 4-269

LDAP フェールオーバーのための IronPort アプライアンスの設定 4-269

ロードバランシング 4-270ロードバランシングのための IronPort アプライアンスの設定 4-270

C H A P T E R 5 電子メール認証 5-273

電子メール認証の概要 5-274

DomainKeys および DKIM 認証：概要 5-274AsyncOS の DomainKeys および DKIM 署名 5-276

DomainKeys および DKIM 署名の設定 5-278署名キー 5-278

署名キーのエクスポートとインポート 5-279

公開キー 5-280

ドメインプロファイル 5-281ドメインプロファイルのエクスポートとインポート 5-282

送信メールの署名のイネーブル化 5-282

バウンスおよび遅延メッセージの署名のイネーブル化 5-283

DomainKeys/DKIM 署名の設定（GUI） 5-284DomainKeys 署名のドメインプロファイルの作成 5-284DKIM 署名の新しいドメインプロファイルの作成 5-286

xiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

新しい署名キーの作成 5-290

署名キーのエクスポート 5-290

既存の署名キーのインポートまたは入力 5-291

署名キーの削除 5-292

DNS テキストレコードの生成 5-293ドメインプロファイルのテスト 5-294ドメインプロファイルのエクスポート 5-295ドメインプロファイルのインポート 5-295ドメインプロファイルの削除 5-295ドメインプロファイルの検索 5-296

ドメインキーとロギング 5-296

DKIM 検証の設定 5-297メールフローポリシーでの DKIM 検証の設定 5-298DKIM 検証とロギング 5-299

DKIM 検証済みメールのアクションの設定 5-299

SPF および SIDF 検証の概要 5-301有効な SPF レコードに関する注意 5-301

IronPort 電子メールセキュリティアプライアンスでの SPF の操作 5-303

SPF と SIDF のイネーブル化 5-304CLI を使用した SPF および SIDF のイネーブル化 5-306Received-SPF ヘッダー 5-313

SPF/SIDF 検証済みメールに対して実行するアクションの決定 5-314検証結果 5-315

CLI での spf-status フィルタルールの使用 5-316GUI での spf-status コンテンツフィルタルール 5-317spf-passed フィルタルールの使用 5-318

SPF/SIDF 結果のテスト 5-319SPF/SIDF 結果の基本の詳細度のテスト 5-319SPF/SIDF 結果の高い詳細度のテスト 5-320

xiiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

C H A P T E R 6 メッセージフィルタを使用した電子メールポリシーの適用 6-323

概要 6-324

メッセージフィルタのコンポーネント 6-325メッセージフィルタルール 6-325メッセージフィルタアクション 6-326メッセージフィルタの構文例 6-326

メッセージフィルタ処理 6-328メッセージフィルタの順番 6-329メッセージヘッダールールおよび評価 6-329メッセージ本文とメッセージ添付ファイル 6-330

コンテンツスキャンの一致のしきい値 6-331メッセージ本文と添付ファイルのしきい値スコア 6-333

しきい値スコアリングマルチパート /代替 MIME 部分 6-333コンテンツディクショナリを使用したしきい値のスコアリング 6-334

メッセージフィルタ内の AND テストと OR テスト 6-335

メッセージフィルタルール 6-336フィルタルールの概要の表 6-337ルールで使用する正規表現 6-346

メッセージのフィルタリングでの正規表現の使用 6-348

正規表現の使用に関するガイドライン 6-349

正規表現と非 ASCII 文字セット 6-349n テスト 6-350大文字と小文字の区別 6-350

効率的なフィルタの作成 6-350

PDF と正規表現 6-352スマート ID 6-352

スマート ID の構文 6-353メッセージフィルタルールの例 6-354

true ルール 6-354

xiiiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

valid ルール 6-355subject ルール 6-355エンベロープ受信者ルール 6-356

グループ内エンベロープ受信者ルール 6-357

エンベロープ送信者ルール 6-357

グループ内エンベロープ送信者ルール 6-358

送信者グループルール 6-359本文サイズルール 6-359リモート IP ルール 6-360受信リスナールール 6-361受信 IP インターフェイスルール 6-361日付ルール 6-362

ヘッダールール 6-363乱数ルール 6-364

受信者数ルール 6-365

アドレス数ルール 6-365

本文スキャンルール 6-366本文スキャン 6-366

暗号化検出ルール 6-367

添付ファイルタイプルール 6-368添付ファイル名ルール 6-369

DNS リストルール 6-371SenderBase レピュテーションルール 6-372辞書ルール 6-373

SPF-Status ルール 6-376SPF-Passed ルール 6-378workqueue-count ルール 6-379SMTP Authenticated User Match ルール 6-379signed ルール 6-382署名付き証明書ルール 6-383

xivCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

メッセージフィルタアクション 6-387フィルタアクション一覧表 6-387

添付ファイルグループ 6-394アクション変数 6-397

非 ASCII 文字セットとメッセージフィルタアクション変数 6-400

一致した内容の表示 6-400

メッセージフィルタアクションの例 6-402「残りのメッセージフィルタをスキップ」アクション 6-402ドロップアクション 6-402バウンスアクション 6-403暗号化アクション 6-403

通知およびコピー通知アクション 6-404

ブラインドカーボンコピーアクション 6-407隔離および複製アクション 6-410

受信者変更アクション 6-412

配信ホスト変更アクション 6-412

送信元ホスト（Virtual Gateway アドレス）変更アクション 6-414

アーカイブアクション 6-415ヘッダー削除アクション 6-416

ヘッダー挿入アクション 6-416

ヘッダーテキスト編集アクション 6-417本文編集アクション 6-418

HTML 変換アクション 6-419バウンスプロファイルアクション 6-420アンチスパムシステムのバイパスアクション 6-421アンチウイルスシステムのバイパスアクション 6-421ウイルス感染フィルタのスキャニング処理バイパスアクション 6-422

メッセージタグ追加アクション 6-422

xvCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

ログエントリ追加アクション 6-423

添付ファイルのスキャン 6-424

添付ファイルのスキャンで使用するメッセージフィルタ 6-424

イメージ分析 6-427

スキャン値の設定 6-428

イメージ分析メッセージフィルタの使用 6-433イメージ分析コンテンツフィルタの使用 6-434

通知 6-435

添付ファイルのスキャンメッセージフィルタの例 6-436ヘッダーの挿入 6-436

ファイルタイプによる添付ファイルのドロップ 6-437ディクショナリの一致による添付ファイルのドロップ 6-439

保護された添付ファイルの隔離 6-439

保護されていない添付ファイルの検出 6-440

CLI を使用したメッセージフィルタの管理 6-440新しいメッセージフィルタの作成 6-442メッセージフィルタの削除 6-443メッセージフィルタの移動 6-443メッセージフィルタのアクティベーションとディアクティベーション 6-444

メッセージフィルタのアクティベーションまたはディアクティベーション 6-448

メッセージフィルタのインポート 6-449メッセージフィルタのエクスポート 6-449非 ASCII 文字セットの表示 6-450メッセージフィルタリストの表示 6-450メッセージフィルタの詳細の表示 6-450フィルタログサブスクリプションの設定 6-451スキャンパラメータの変更 6-453

xviCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

scanconfig の使用 6-454メッセージのエンコードの変更 6-460

サンプルメッセージフィルタの作成 6-462

メッセージフィルタの例 6-470オープンリレー防止フィルタ 6-471

ポリシー適用フィルタ 6-472

件名に基づき通知するフィルタ 6-472

競合他社に送信されたメールの BCC およびスキャン 6-472特定のユーザをブロックするフィルタ 6-472

メッセージのアーカイブおよびドロップフィルタ 6-473大きい「To:」ヘッダーのフィルタ 6-473空白の「From:」フィルタ 6-474SRBS フィルタ 6-475SRBS 変更フィルタ 6-475ファイル名の正規表現フィルタ 6-475

ヘッダー内の SenderBase レピュテーションスコアの表示フィルタ 6-476

ポリシーのヘッダーへの挿入フィルタ 6-476

多数の受信者のバウンスフィルタ 6-477ルーティングおよびドメインスプーフィング 6-477

仮想ゲートウェイフィルタの使用 6-477配信とインジェクションのリスナーが同じフィルタ 6-478

単一インジェクタフィルタ 6-478スプーフィングドメインのドロップフィルタ（単一のリスナー） 6-478

スプーフィングドメインのドロップフィルタ（複数のリスナー） 6-479

別のスプーフィングドメインのドロップフィルタ 6-479ルーピングの検出フィルタ 6-480

xviiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

C H A P T E R 7 高度なネットワーク構成 7-483

イーサネットインターフェイスのメディア設定 7-483etherconfig を使ったイーサネットインターフェイスのメディア設定の編集 7-484

メディア設定の編集例 7-484

ネットワークインターフェイスカードのペアリング/チーミング 7-487

NIC ペアリングと VLAN 7-487NIC ペアの名前 7-488NIC ペアリング/チーミングの設定とテスト 7-488

NIC ペアリングと既存のリスナー 7-488etherconfig コマンドを使った NIC ペアリングのイネーブル化 7-489

NIC ペアリングに対する failover サブコマンドの使用 7-491NIC ペアリングの確認 7-493

仮想ローカルエリアネットワーク（VLAN） 7-494VLAN と物理ポート 7-496VLAN の管理 7-497

etherconfig コマンドによる新しい VLAN の作成 7-497interfaceconfig コマンドによる VLAN 上の IP インターフェイスの作成 7-500

Direct Server Return 7-503

Direct Server Return のイネーブル化 7-504etherconfig コマンドによるループバックインターフェイスのイネーブル化 7-505

interfaceconfig コマンドによるループバック上の IP インターフェイスの作成 7-507

新しい IP インターフェイス上のリスナーの作成 7-510

xviiiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

C H A P T E R 8 集中管理 8-511

クラスタの要件 8-512

クラスタの構成 8-513

初期設定 8-515

クラスタの作成とクラスタへの参加 8-516

clusterconfig コマンド 8-516既存のクラスタへの参加 8-518

SSH を使った既存クラスタへの参加 8-519CCS を使った既存クラスタへの参加 8-522

グループの追加 8-525

クラスタの管理 8-525

CLI でのクラスタの管理 8-525設定のコピーと移動 8-526

新しい設定の実験 8-527

クラスタからの脱退（削除） 8-528

クラスタ内のマシンのアップグレード 8-528

設定ファイルコマンド 8-530設定のリセット 8-530

CLI コマンドのサポート 8-531すべてのコマンドがクラスタに対応 8-531

commit および clearchanges コマンド 8-531新たに追加された操作 8-531

制限コマンド 8-532

GUI でのクラスタの管理 8-534

クラスタ通信 8-538

DNS とホスト名の解決 8-538クラスタリング、完全修飾ドメイン名、およびアップグレード 8-539

クラスタ通信のセキュリティ 8-539

クラスタの整合性 8-540

xixCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

目次

切断/再接続 8-541互いに依存する設定 8-543

ベストプラクティスとよく寄せられる質問 8-545ベストプラクティス 8-545

コピーと移動の違い 8-546

適切な CM の設計方法 8-546手順：サンプルクラスタの設定 8-547GUI でクラスタのデフォルト以外の CM 設定を使用する場合のオプションの要約 8-550

セットアップと設定に関する質問 8-551

一般的な質問 8-552

ネットワークに関する質問 8-552

計画と設定 8-553

A P P E N D I X A AsyncOS クイックリファレンスガイド A-555

A P P E N D I X B アプライアンスへのアクセス B-561

FTP アクセス B-562secure copy（scp）アクセス B-566シリアル接続によるアクセス B-567

I N D E X

xxCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

はじめに

『Cisco IronPort AsyncOS 7.3 for Email 上級コンフィギュレーションガイド』では、Cisco IronPort メッセージングゲートウェイ™ アプライアンスのセットアップ方法、管理方法、およびモニタ方法について説明します。これらの方法は、ネットワーキングおよび電子メールの管理に関する知識を持つ、経験豊富なシステム管理者向けに記載されています。

このマニュアルをお読みになる前に『Quickstart Guide』と、アプライアンスに付属の製品リリースノートをお読みください。このマニュアルでは、お客様がすでにアプライアンスを開梱し、ラックキャビネットに設置し、電源をオンにしたものと見なします。

（注）すでにアプライアンスをネットワークに配線済みの場合は、Cisco IronPort アプライアンスのデフォルト IP アドレスが、ネットワーク上の他の IP アドレスと競合していないことを確認します。工場出荷時に管理ポートに割り当てられた IP アドレスは、192.168.42.42 です。Cisco IronPort アプライアンスに対する IP アドレス割り当ての詳細については、『Cisco IronPort AsyncOS for Email Configuration Guide』の「Setup and Installation」の章および付録 B「アプライアンスへのアクセス」を参照してください。

xxiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

ドキュメントセット

AsyncOS のドキュメントセットは、『Cisco IronPort AsyncOS for Email Configuration Guide』、『Cisco IronPort AsyncOS CLI Reference Guide』、『Cisco IronPort AsyncOS for Email Daily Management Guide』、およびこのマニュアルの 4 つに分かれており、本マニュアルには高度な機能と設定に関する情報が記載されています。このマニュアルでは、各トピックの追加情報に関して他のマニュアルを参照することがあります。

このマニュアルの構成第 1 章「FIPS 管理」では、暗号化を処理する FIPS 準拠のハードウェアセキュリティモジュールカードとともに C370 アプライアンスをセットアップするプロセスについて説明します。

第 2 章「リスナーのカスタマイズ」では、エンタープライズ電子メールゲートウェイの設定を調整するプロセスについて説明します。この章では、ゲートウェイを通って受信する電子メールを処理するために、インターフェイスおよびリスナーを設定する際に使用できる高度な機能を詳細に説明します。

第 3 章「ルーティングおよび配信機能の設定」では、Cisco IronPort アプライアンスを通過する電子メールのルーティングと配信に影響を与える機能について説明します。

第 4 章「LDAP クエリ」では、Cisco IronPort アプライアンスと社内の Lightweight Directory Access Protocol（LDAP）サーバを接続してクエリーを実行し、受け入れる受信者（グループのメンバーシップを含む）の確認、メールルーティングとアドレス書き換え、ヘッダーのマスカレード、および SMTP 認証のサポートを行う方法について説明します。

第 5 章「電子メール認証」では、IronPort アプライアンスで電子メール認証を設定してイネーブルにするプロセスについて詳しく説明します。IronPort AsyncOS は、複数のタイプの電子メール認証をサポートしています。これには、着信メールの Sender Policy Framework（SPF）検証、Sender ID Framework（SIDF）検証、DomainKeys Identified Mail（DKIM）検証、および発信メールの DomainKeys 署名と DKIM 署名が含まれます。

xxiiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

第 6 章「メッセージフィルタを使用した電子メールポリシーの適用」では、メッセージフィルタを使って電子メールを処理するルールを規定する方法について説明します。これには、添付ファイルフィルタ、イメージ分析、コンテンツディクショナリの各機能を使ったメッセージコンテンツの変更が含まれます。

第 7 章「高度なネットワーク構成」では、NIC ペアリング、仮想 LAN、およびその他の機能に関して説明します。

第 8 章「集中管理」では、複数のアプライアンスを管理および設定できる集中管理機能について説明します。中央集中型管理機能によって、ネットワーク内の信頼性、柔軟性、およびスケーラビリティが向上し、ローカルポリシーを順守しながらグローバルな管理を行うことができます。

付録 A「AsyncOS クイックリファレンスガイド」では、CLI のほとんどのコマンドに関するクイックリファレンスを示します。

付録 B「アプライアンスへのアクセス」では、Cisco IronPort アプライアンスにアクセスし、Cisco IronPort アプライアンスのファイルを送受信する方法について説明します。

印刷時の表記法書体または記号意味例

AaBbCc123 コマンド、ファイル、およびディレクトリの名前、画面に表示されるコンピュータの出力。

Please choose an IP interface for this Listener.

sethostname コマンドは、Cisco IronPort アプライアンスの名前を設定します。

AaBbCc123 ユーザ入力（画面上のコンピュータ出力と対比される場合）。

mail3.example.com> commitPlease enter some comments describing your changes:[]> Changed the system hostname

xxiiiCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

IronPort カスタマーサポートへの問い合わせサポートは、電話、電子メール、またはオンラインで依頼できます（24 時間年中無休）。

当社の営業時間（米国の休日を除く月～金曜日の 24 時間）中は、お客様の請求から 1 時間以内にエンジニアがご連絡を差し上げます。

当社の営業時間外に緊急のサポートを必要とする重大な問題を報告する場合は、下記の電話番号に直接おかけください。

米国フリーダイヤル：1 (877) 641-IRON (4766)

海外：www.ironport.com/support/contact_support.html

サポートポータル：www.ironport.com/support

AaBbCc123 マニュアルのタイトル、新しい語句や用語、強調する語句。コマンドライン変数（実際の名前や値に置き換えられる部分）。

『Cisco IronPort Quickstart Guide』をお読みください。

Cisco IronPort アプライアンスは、発信パケットを送信するためのインターフェイスを一意に選択できる必要があります。

Before you begin, please reset your password to a new value.Old password: ironportNew password: your_new_password

Retype new password: your_new_password

xxivCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

IronPort にコメントお寄せください弊社はドキュメントの改善を重視しています。是非お客様のご意見とご提案をお寄せください。ご意見は次の宛先に電子メールでお送りいただけます。

[email protected].

電子メールの件名には次のパーツ番号を記載してください。OL-22158-01

xxvCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

xxviCisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J

Cisco IronPort AsyncOS 7.3 for Email 詳細OL-23081-01-J

CH A P T E R 1

FIPS 管理

この章は次のトピックで構成されています。

• FIPS 管理の概要（1 ～ 1 ページ）

• FIPS 管理の概要（1 ～ 2 ページ）

• 証明書およびキーの管理（1 ～ 11 ページ）

• DomainKeys および DKIM の署名キーの管理（1 ～ 13 ページ）

• 証明書およびキーのバックアップと復元（1 ～ 15 ページ）

• fipsconfig CLI コマンドの使用（1 ～ 17 ページ）

• HSM カードを使用した複数の電子メールセキュリティアプライアンスの操作（1 ～ 20 ページ）

FIPS 管理の概要一部の組織には、慎重な扱いを要するにもかかわらず機密扱いでないデータを保護するために、より厳格な標準規格が必要です。Federal Information Processing Standard（FIPS；連邦情報処理標準）140 は、米国およびカナダ連邦政府が共同で策定して公式に発表した標準規格です。これは、慎重な扱いを要するにもかかわらず機密扱いでない情報を保護するために、政府機関によって使用される暗号化モジュールの要件を規定しています。Cisco IronPort 電子メールセキュリティアプライアンスには、FIPS 140-2 レベル 2 検証済みの Hardware Security Module（HSM；ハードウェアセキュリティモジュール）カードが付属しています。

1-1コンフィギュレーションガイド

第 1 章 FIPS 管理

HSM カードは、サーバアプリケーションのデジタルキーの管理を目的としたセキュアな暗号プロセッサの一種です。HSM カードは暗号キーの保管や保護に使用されます。E メールセキュリティアプライアンスは、暗号化操作を FIPS 準拠の方法で HSM カードに引き渡します。

Cisco IronPort E メールセキュリティアプライアンスの HSM カードは、CAVIUM Nitrox XL CN15xx-NFBE 暗号化モジュールです。FIPS 証明書番号 1360 によると、モジュールは FIPS 140-2 レベル 2 コンプライアンスで検証されています。

（注） E メールセキュリティアプライアンスの中央集中型サービスを提供するために FIPS 準拠の HSM カードを持たないセキュリティ管理アプライアンスを使用することはできますが、これにより HSM カードが FIPS に準拠しなくなる可能性もあります。

FIPS 管理の概要HSM カードでは、すべての暗号化操作が実行され、すべての暗号キーが保管および保護されます。HSM カードではキーのみが保管され、対応する証明書は保管されません。証明書は E メールセキュリティアプライアンスのハードドライブに保管されます。

HSM カードでは、次のコンポーネントのキーが保管されます。

• SSH。これは、CLI を使用したアプライアンスの管理用の E メールセキュリティアプライアンス管理インターフェイスへの SSH セッションに適用されます。SSH キーは、HSM を初期化する際に自動的に生成されます。

• Web インターフェイス。これは、Web インターフェイスを使用したアプライアンスの管理用の E メールセキュリティアプライアンス管理インターフェイスへの HTTPS セッションに適用されます。また、IronPort スパム検疫および他の IP インターフェイスへの HTTPS セッションにも適用されます。fipsconfig > certconfig CLI コマンドまたは Web インターフェイスの FIPS 管理ページを使用して、証明書またはキーペアをアップロードまたは生成できます。

1-2Cisco IronPort AsyncOS 7.3 for Email 詳細コンフィギュレーションガイド

OL-23081-01-J


• SMTP の受信および配信。E メールセキュリティアプライアンスの公開リスナーおよびリモートホスト間の TLS を介した着信および発信の SMTP 通信に適用されます。リスナーへの証明書を割り当て、電子メールの着信（受信）または発信（送信）用にリスナーの HAT の TLS をイネーブルにします。Web インターフェイスの [FIPS 管理（FIPS Management）] ページ、または fipsconfig > certconfig CLI コマンドを使用して、証明書やキーペアをアップロードまたは生成できます。

• 宛先制御。これは、電子メールの配信で E メールセキュリティアプライアンスからすべての発信 TLS 接続に適用されます。Web インターフェイスの [FIPS 管理（FIPS Management）] ページ、または fipsconfig > certconfig CLI コマンドを使用して、証明書やキーペアをアップロードまたは生成できます。

• LDAP。これは、E メールセキュリティアプライアンスと LDAP サーバ間の TLS トランザクションに適用され、外部認証用の LDAP サーバの使用を含みます。Web インターフェイスまたは fipsconfig > certconfig CLI コマンドを使用して、証明書やキーペアをアップロードまたは生成できます。RADIUS サーバを使用する外部認証は、FIPS 140-2 要件に準拠しないことに注意してください。

• DomainKeys および DKIM 署名。これは、DomainKeys および DKIM 署名に使用される署名キーに適用されます。DomainKeys および DKIM 署名は、電子メールの発信元の確認に使用され、通過中に内容が変更されません。発信メッセージの署名に DomainKeys または DKIM を使用する場合、E メールセキュリティアプライアンスによって送信される発信メールの署名には公開 DNS に保管された公開キーおよび HSM カードに保管された機密キーが使用されます。Web インターフェイスまたは fipsconfig > domainkeysconfig CLI コマンドを使用して、証明書やキーペアをアップロードまたは生成できます。

（注） AsyncOS 7.3 for Email でサポートされる SSL バージョンは、TLS バージョン 1 だけです。

組織内の誰かを FIPS オフィサーとして指定する必要があります。FIPS オフィサーは、HSM カード上の証明書とキーの管理者としての役割を果たします。詳細については、FIPS オフィサーパスワードの使用（1 ～ 8 ページ）を参照してください。


OL-23081-01-J


AsyncOS for Email では FIPS 管理コンソールが提供されます。これにより FIPS オフィサーが HSM カード上のすべての証明書およびキーを管理します。FIPS 管理コンソールには、[FIPS モード（Mode）] > [FIPS 管理：証明書とキー（FIPS Management: Certificates and Keys）] ページからアクセスします。詳細については、FIPS 管理コンソールへのログイン（1 ～ 6 ページ）を参照してください。

すべての証明書、キーペアおよび署名キーは FIPS 管理コンソールで管理されるため、Web インターフェイスの他の場所にはアップロードまたは生成できません。たとえば DKIM 署名をイネーブルにするには、まず FIPS 管理コンソールによって署名キーをインポートまたは生成してから [ メールポリシー（Mail Policies）] > [ ドメインプロファイル（Domain Profiles）] ページに移動し、そのキーを使用して DKIM 署名を実装します。[ メールポリシー（Mail Policies）] > [署名キー（Signing Keys）] ページでは、署名キーをインポートまたは生成できません。

HSM カードの初期化HSM カードに保管されたキーを削除する必要がある場合、HSM カードを初期化できます。HSM カードを初期化するには、次の機能を実行します。

• FIPS オフィサーパスワードをリセットします。

• HSM カードに保管されたすべての既存のキーを削除し、アプライアンスのハードドライブに保管された対応するすべての証明書を削除します。

• リスナーのデフォルトを含むすべてのリスナーの HAT ポリシーで TLS をディセーブルにします。

• HAT ポリシーの DomainKeys と DKIM 署名および確認をディセーブルにします。

• 宛先制御の TLS をディセーブルにします。

• Web インターフェイス管理の HTTPS 、IronPort スパム検疫およびその他のインターフェイスをディセーブルにします。

• LDAP プロファイルの TLS はディセーブルにしないでください。

• E メールセキュリティアプライアンスの管理者ユーザに電子メールアラートを送信して初期化を報告します。


OL-23081-01-J


• E メールセキュリティアプライアンスの SSH ホストキーを再度生成します。中央集中型サービス用の FIPS 準拠 HSM カードのないセキュリティ管理アプライアンスを使用している場合、または E メールセキュリティアプライアンスがクラスタ内にある場合、まず最初に古いホストキーを削除しないと、E メールセキュリティアプライアンスをセキュリティ管理アプライアンスまたはクラスタに再接続できません。

• 新しい IronPort Appliance FIPS Demo Certificate および SSH を使用するアプライアンスにアクセスするための対応する秘密キーを生成します。証明書はアプライアンスのハードドライブに保管され、キーは HSM カードに保管されます。

HSM カードを初期化するには、fipsconfig > init CLI コマンドを実行します。

FIPS オフィサーパスワードを 3 回誤って入力すると、HSM カードがリセットされます。FIPS オフィサーパスワードはデフォルト値の sopin123 に変更されます。

E メールセキュリティアプライアンスを最初に受け取ったときは、HSM カードが初期化状態になっています。これは、アプライアンスへの SSH トランザクションを許可する SSH キーが HSM カードに含まれていることを意味します。HSM カードには、「IronPort Appliance FIPS Demo Certificate」と、HTTPS を使用した Web インターフェイスへのアクセスを許可する対応する秘密キーも含まれています。対応するすべてのキーが HSM カードに保管されます。

メッセージの配信および受信などのサービスに対する IronPort Appliance FIPS Demo Certificate の使用は推奨しません。

HSM カードが初期化された場合、または組織の需要に応じて、FIPS オフィサーは次のいずれかを実行して別の証明書およびキーをアップロードできます。

• CLI を使用してアプライアンスにログインし、IronPort Appliance FIPS Demo Certificate を使用する代わりに Web インターフェイスへの HTTPS アクセスを許可する別の証明書およびキーペアをインポートします。これを行うには、fipsconfig > certconfig CLI コマンドを使用します。詳細については、fipsconfig CLI コマンドの使用（1 ～ 17 ページ）を参照してください。


OL-23081-01-J


• Web インターフェイスにログインして、SMTP 送受信、宛先制御、および LDAP などの E メールセキュリティアプライアンスサービスの証明書およびキーペアをインポートまたは生成します。これを行うには、[FIPS 管理コンソール（FIPS Management Console）] ページの [証明書を追加（Add Certificate）] を使用します。詳細については、証明書およびキーの管理（1 ～ 11 ページ）を参照してください。

• Web インターフェイスにログインし、DKIM および DomainKeys 署名の署名キーをインポートまたは生成します。これを行うには、[FIPS 管理コンソール（FIPS Management Console）] ページの [キーを追加（Add Key）] または [キーをインポート（Import Keys）] を使用します。詳細については、DomainKeys および DKIM の署名キーの管理（1 ～ 13 ページ）を参照してください。

（注） HSM が初期化された場合、または誤ったパスワードが 3 回以上入力された場合、SSH クライアントおよび Web ブラウザの SSH または HTTPS 接続が自動的に失われます。SSH を使用して誤ったパスワードを 3 回入力した場合、HTTP を使用してアプライアンスにログインしなおそうとすると、接続が HTTPS にリダイレクトされないため、エラーメッセージが表示されます。このような場合は、管理者は電源をオフにしてオンにすることで、アプライアンスを手動で再起動する必要があります。

FIPS 管理コンソールへのログイン管理者ユーザとして E メールセキュリティアプライアンスにログイン後、FIPS オフィサーとして FIPS 管理コンソールにログインし、HSM カードを管理することができます。他のアプライアンス Web インターフェイスへのログインを維持しながら、別途 FIPS 管理コンソールにログインまたはログアウトできます。

Web インターフェイスの画面右上の [FIPS モード（FIPS Mode）] メニューから FIPS 管理コンソールにアクセスします。図 1-1 [FIPS モード（FIPS Mode）] メニューを示します。


OL-23081-01-J


図 1-1 [FIPS モード（FIPS Mode）] メニュー

FIPS 管理コンソールからログアウトしても、管理者ユーザとしてアプライアンスにログインしたセッションに影響はありません。ただし、FIPS 管理コンソールから手動でログアウトせずに Web インターフェイスからログアウトした場合、AsyncOS for Email によって FIPS 管理コンソールから自動的にログアウトされます。

デフォルトの FIPS オフィサーパスワードは sopin123 です。

警告 AsyncOS for Email では、FIPS オフィサーパスワードを使用して HSM カードにログインを試みて失敗した合計数が記録されます。3 回連続でログインに失敗すると、HSM カードは初期化され、内容が消去されます。ログイン試行が失敗した期間にタイムアウトはありません。HSM カードが初期化されるため、アプライアンス Web インターフェイスにアクセスする証明書およびキーは失われます。3 回ログインに失敗した後に HSM カードが初期化された場合、ブラウザには Web ページを表示できないという一般的なエラーメッセージが表示されます。詳細については、HSM カードの初期化（1 ～ 4 ページ）を参照してください。

（注） Web ブラウザの [戻る（Back）] ボタンを使用して FIPS 管理コンソールのログインページに戻ることは推奨されていません。間違った FIPS オフィサーパスワードを入力し、そのページを離れ、ブラウザの [戻る（Back）] ボタンを使用して FIPS 管理コンソールに戻った場合、ブラウザによって間違ったパスワードが再入力されてしまうため、ログインが 2 回失敗することになります。

FIPS 管理コンソールにログインするには、次の手順を実行します。

ステップ 1 [FIPS モード（FIPS Mode）] メニューから [FIPS ログイン（制限あり）（FIPS Login (Restricted)）] を選択します。

図 1-2 [FIPS ログイン（制限のあるエリア）（FIPS Login (Restricted Area)）] ページを示します。


OL-23081-01-J


図 1-2 [FIPS ログイン（FIPS Login）] ページ

ステップ 2 FIPS オフィサーパスワードを入力し、[ログイン（Login）] をクリックします。

FIPS 管理コンソールが表示されます。

図 1-3 に [FIPS 管理（FIPS Management）] ページの FIPS 管理コンソールを示します。

図 1-3 FIPS 管理コンソール

ステップ 3 FIPS 管理コンソールに初めてアクセスする場合、[FIPS モード（FIPS Mode）] メニューから [FIPS パスワードの変更（Change FIPS Password）] を選択して FIPS オフィサーパスワードを変更します。詳細については、FIPS オフィサーパスワードの使用（1 ～ 8 ページ）を参照してください。

FIPS オフィサーパスワードの使用HSM カードの証明書やキーペアおよび署名キーを管理するには、管理者として E メールセキュリティアプライアンスにログインして FIPS オフィサーパスワードを入力する必要があります。FIPS 管理コンソールにアクセスしたり fipsconfig CLI コマンドを使用するには、FIPS オフィサーパスワードが必要です。


OL-23081-01-J


（注） FIPS オフィサーパスワードは一度設定すると元に戻すことができません。FIPS オフィサーパスワードを忘れた場合、HSM カードにアクセスするには HSM カードを初期化するしかありません。初期化すると、HSM カードで管理されるすべての証明書やキーは消去されます。

FIPS 管理コンソールにログインした後は、画面右上の [FIPS モード（FIPS Mode）] メニューから FIPS オフィサーパスワードを変更できます。

図 1-4 [FIPS モード（FIPS Mode）] メニューのオプションを示します。

図 1-4 [FIPS モード（FIPS Mode）] メニューのオプション

FIPS オフィサーパスワードを変更するには、次の手順を実行します。

ステップ 1 FIPS 管理コンソールにログインします。

ステップ 2 [FIPS モード（FIPS Mode）] メニューから [FIPS パスワードの変更（Change FIPS Password）] を選択します。

図 1-5 [パスワード管理設定の編集（Edit Password Management Settings）] ページを示します。

図 1-5 [パスワード管理設定の編集（Edit Password Management Settings）] ページ


OL-23081-01-J


ステップ 3 現在の FIPS オフィサーパスワードを入力し、適切なフィールドに新しい FIPS オフィサーパスワードを入力します。

（注）デフォルトの FIPS オフィサーパスワードは sopin123 です。

ステップ 4 [送信（Submit）] をクリックします。

サポートされる証明書キーの種類

SSL セッションで RSA キーを使用している場合、キーは HSM カードで保護されます。SSL セッションで DSA キーを使用している場合、キーは HSM カードで保護されません。Web インターフェイスや CLI により、管理者は DSA キーを使用する証明書をアップロードできなくなります。

ロギング

FIPS 管理に関するエラーメッセージについては、INFO レベルの FIPS ログを確認してください。

中央集中型の管理

FIPS 準拠のアプライアンスでクラスタが開始された場合、他の FIPS 準拠アプライアンスだけがクラスタに参加できます。fipsconfig CLI コマンドおよび秘密キーはマシンレベルに制限されます。クラスタを開始するアプライアンスでは、クラスタレベルまたはグループレベルで秘密キーを共有しません。

クラスタ化されたアプライアンスで同じ証明書およびキーを使用するには、すべてのアプライアンス間で単一のマスターキーを複製し、バックアップ/復元機能を使用してそれらのアプライアンスに証明書またはキーを分配します。マスターキーの複製の詳細については、HSM カードを使用した複数の電子メールセキュリティアプライアンスの操作（1 ～ 20 ページ）を参照してください。クラスタリングの詳細については、次を参照してください：第 8 章「集中管理」


OL-23081-01-J


証明書およびキーの管理AsyncOS では、証明書と秘密キーのペアを使用して、アプライアンス上のリスナーとリモートホストの間の SMTP 通信を暗号化することができます。既存の証明書とキーのペアをアップロードしたり、自己署名証明書を生成したり、または Certificate Signing Request（CSR; 証明書署名要求）を生成して認証局に送信し、公開証明書を取得したりできます。認証局は秘密キーによって署名された信頼できる公開証明書を戻し、それをアプライアンスにアップロードできます。

また、FIPS 管理コンソールを使用して、証明書とキーのペアを管理できます。秘密キーは HSM カードに保管されます。これを実行するには、FIPS 管理コンソールにログインして [アプライアンスの証明書（Appliance Certificate）] セクションの [証明書を追加（Add Certificate）] をクリックし、証明書とキーのペアをインポートしたり、自己署名証明書として作成します。

図 1-6 [証明書の追加（Add Certificate）] ページを示します。

図 1-6 [証明書の追加（Add Certificate）] ページ

自己署名証明書を作成するには、[自己署名証明書（Self-Signed Certificate）] を選択して、次の情報を入力します。

Common Name 完全修飾ドメイン名

Organization 組織の正確な正式名称。

組織組織の部署名。

市（地名）組織の本拠地がある都市。

州/県組織の本拠地がある州、郡、または地方。

国（Country）組織の本拠地がある 2 文字の ISO 国名コード。

失効までの期間証明書が期限切れになるまでの日数。

秘密キーサイズ（Private Key Size）

CSR 用に生成する秘密キーのサイズ。2048 ビットと 1024 ビットだけがサポートされています。


OL-23081-01-J


[次へ（Next）] をクリックして、証明書および署名情報を確認します。

自己署名証明書の CSR を認証局に送信する場合、[証明書署名要求をダウンロード（Download Certificate Signing Request）] をクリックしてローカルまたはネットワークマシンに PEM 形式で CSR を保存します。[送信（Submit）] をクリックして証明書を保存し、変更を確定します。[FIPS 管理（FIPS Management）] ページに証明書が表示され、秘密キーが HSM カードに保管されます。

秘密キーによって署名された信頼できる公開証明書を認証局が戻すと、[FIPS 管理（FIPS Management）] ページの証明書の名前をクリックしてローカルマシンまたはネットワーク上のファイルへのパスを入力することで、信頼できる公開証明書をアップロードします。受信した信頼できる公開証明書が PEM 形式であるか、またはアプライアンスにアップロードする前に PEM を使用するように変換できる形式であることを確認します。認証局から証明書をアップロードすると、既存の証明書が上書きされます。

認証局からの証明書とキーのインポートの方法など、アプライアンスで使用する証明書の取得方法の詳細については、証明書の取得（2 ～ 58 ページ）を参照してください。

証明書をアプライアンスに追加した後は、次のサービスで証明書を使用できます。

• SMTP の受信および配信。TLS を使用して暗号化を必要とするすべてのリスナーに証明書を割り当てるには、[ネットワーク（Network）] > [ リスナー（Listeners）] ページ（または listenerconfig - > edit - > certificate CLI コマンド）を使用します。インターネットに対するリスナーの TLS のみをイネーブルにするか（公開リスナー）、または内部システムを含むすべてのリスナーの暗号化をイネーブルにする（プライベートリスナー）ことができます。詳細については、リスナー HAT の TLS のイネーブル化（2 ～ 66 ページ）を参照してください。

• 宛先制御。電子メール配信のすべての発信 TLS 接続にグローバル設定として証明書を割り当てるには、[ メールポリシー（Mail Policies）] > [送信先コントロール（Destination Controls）] ページ（または destconfig CLI コマンド）を使用します。すべての発信 TLS 接続の証明書を使用する方法については、配信時の TLS および証明書検証のイネーブル化（2 ～ 70 ページ）を参照してください。


OL-23081-01-J


• インターフェイス。管理インターフェイスが含まれるインターフェイスで HTTPS サービスの証明書をイネーブルにするには、[ネットワーク（Network）] > [IP インターフェイス（IP Interfaces）] ページ（または interfaceconfig CLI コマンド）を使用します。インターフェイスで HTTPS サービスの証明書を使用する方法については、HTTPS の証明書のイネーブル化（2 ～ 80 ページ）を参照してください。

• LDAP。TLS 接続が必要なすべての LDAP トラフィックに証明書を割り当てるには、[システム管理（System Administration）] > [LDAP] ページを使用します。このアプライアンスでは、ユーザの外部認証の LDAP を使用することもできます。詳細については、グローバル設定の構成（4 ～ 206 ページ）およびユーザの外部認証の設定（4 ～ 260 ページ）を参照してください。

DomainKeys および DKIM の署名キーの管理HSM カードを使用して、E メールセキュリティアプライアンスが DomainKeys または DKIM の電子メール署名によるメッセージの署名に使用する秘密キーを管理できます。E メールセキュリティアプライアンスでの DomainKeys および DKIM の動作の概要については、DomainKeys および DKIM 認証：概要（5 ～ 274 ページ）を参照してください。

新しい署名キーを作成するには、FIPS 管理コンソールにログインして [署名キー（Signing Keys）] セクションで [キーを追加（Add Key）] をクリックします。[キーをインポート（Import Keys）] をクリックして、既存の署名キーをテキストファイルとしてインポートすることもできます。


OL-23081-01-J


図 1-7 [署名キーの追加（Add Signing Key）] ページを示します。

図 1-7 [署名キーの追加（Add Signing Key）] ページ

署名キーの作成時に、キーサイズを指定します。FIPS モードの E メールセキュリティアプライアンスでは、1024 および 2048 ビットのキーサイズのみがサポートされます。キーサイズが大きいほどセキュリティが向上しますが、パフォーマンスに影響する可能性があります。

既存のキーを入力する場合は、[編集/貼り付け（Edit/Paste）] フィールドにキーを貼り付けるだけです（PEM 形式であり、RSA キーである必要があります）。

AsyncOS では HSM カードに署名キーが保管されます。

キーを入力すると、ドメインプロファイルで使用可能になり、[ メールポリシー（Mail Policies）] > [ ドメインプロファイル（Domain Profiles）] ページを使用してドメインプロファイルを作成または編集するときに [署名キー（Signing Key）] リストにキーが表示されます。署名キーをドメインプロファイルに関連付けると、公開キーが含まれる DNS テキストレコードを作成できます。これは、ドメインプロファイルのリストの [DNS テキストレコード（DNS Text Record）] カラムの [生成（Generate）] リンクから（または CLI の domainkeysconfig -> profiles -> dnstxt から）実行します。

DomainKeys と DKIM の設定の詳細については、DomainKeys/DKIM 署名の設定（GUI）（5 ～ 284 ページ）を参照してください。


OL-23081-01-J


証明書およびキーのバックアップと復元HSM カードに管理される証明書またはキーを XML ファイルにバックアップできます。同様に、XML ファイルから HSM カードへ証明書およびキーを復元できます。バックアップには、すべての証明書と、HSM カードに保管されているキーが含まれます。キーはファイルに保管される前に暗号化されます。

（注）アプライアンス設定をファイルに保存する場合、HSM カードで管理される証明書およびキーは設定ファイルに含まれません。また、証明書やキー情報が誤って含まれているファイルからアプライアンス設定を復元する場合、AsyncOS ではファイルの証明書およびキー情報が無視されます。

証明書とキーをバックアップおよび復元するには、[FIPS モード（FIPS Mode）] メニューの [FIPS バックアップ/復元（FIPS Backup/Restore）] を選択します。図 1-8 [バックアップと復元（Backup and Restore）] ページを示します。

図 1-8 証明書およびキーのバックアップと復元


OL-23081-01-J


証明書およびキーのバックアップ

HSM カードで管理される証明書やキーをバックアップするには、次の手順を実行します。

ステップ 1 [FIPS モード（FIPS Mode）] メニューから [FIPS バックアップ/復元（FIPS Backup/Restore)）] を選択します。

[バックアップと復元（Backup and Restore）] ページが表示されます。

ステップ 2 [証明書とキーのバックアップ（Backup Certificates and Keys）] セクションから、暗号化された証明書とキーのペアが含まれる XML ファイルに使用するファイル名を選択します。ファイル名は独自に定義することも、AsyncOS によって自動的に選択されるようにすることもできます。

ステップ 3 [バックアップ（Backup）] をクリックします。

ステップ 4 ファイルに保存するように選択し、[OK] をクリックします。

ステップ 5 XML ファイルを保存するローカルマシンのディレクトリを選択し、[保存（Save）] をクリックします。

証明書およびキーの復元

HSM カードで管理される証明書およびキーをバックアップすると、キーが暗号化されます。キーは暗号化されるため、過去にバックアップした証明書およびキーと他のアプライアンス上のマスターキーが同じである場合、キーは別の E メールセキュリティアプライアンスにのみに復元できます。HSM カードが初期化されると、マスターキーが変更されることに注意してください。アプライアンス間のマスターキーのコピーの詳細については、HSM カードを使用した複数の電子メールセキュリティアプライアンスの操作（1 ～ 20 ページ）を参照してください。

XML ファイルに保管されている証明書とキーのペアを復元するには、次の手順を実行します。

ステップ 1 管理コンソールの [FIPS モード（FIPS Mode）] メニューから [FIPS バックアップ/復元（FIPS Backup/Restore)）] を選択します。

[バックアップと復元（Backup and Restore）] ページが表示されます。


OL-23081-01-J


ステップ 2 [証明書とキーの復元（Restore Certificates and Keys）] セクションで [参照（Browse）] をクリックします。

ステップ 3 XML ファイルが保存されているローカルマシンのディレクトリに移動し、[開く（Open）] をクリックします。

ステップ 4 復元する証明書とキーのペアのチェックボックスをクリックします。

ステップ 5 [復元（Restore）] をクリックします。

fipsconfig CLI コマンドの使用AsyncOS for Email には、次のタスクを実行する fipsconfig CLI コマンドが含まれています。

• HSM カードの初期化。

• HSM カードのステータスの読み取り。

• E メールセキュリティアプライアンスのサービス用の証明書とキーの設定。

• DKIM および DomainKeys 用のキーの設定。

• 同じマスターキーを使用するための複数の HSM カードの設定。

• FIPS パスワードの変更。

• クリティカルセキュリティパラメータのバックアップと復元。

コマンドラインで fipsconfig と入力すると、CLI から FIPS オフィサーパスワードを入力するように要求されます。詳細については、FIPS オフィサーパスワードの使用（1 ～ 8 ページ）を参照してください。


OL-23081-01-J


表 1-1 では、fipsconfig のサブコマンドについて説明します。

表 1-1 fipsconfig サブコマンド

fipsconfig サブコマンド説明

init カードを初期化し、E メールセキュリティアプライアンスを再起動します。

詳細については、HSM カードの初期化（1 ～ 4 ページ）を参照してください。

注：HSM が初期化された場合、または誤ったパスワードが 3 回以上入力された場合、SSH クライアントの SSH 接続が自動的に失われます。この場合、管理者は電源をオフにしてオンにすることで、アプライアンスを手動で再起動する必要があります。

getinfo HSM カードのステータスを表示します。certconfig 次の E メールセキュリティアプライアンスサー

ビスで使用するセキュリティ証明書とキーを設定できます。

• リスナーの HTTPS サービス

• SMTP 受信および配信

• 宛先制御

• LDAP

このサブコマンドは、certconfig CLI コマンドと同様に機能します。

domainkeysconfig DomainKeys および DKIM の電子メール署名のキーを設定します。

このサブコマンドは、domainkeysconfig CLI コマンドと同様に機能します。


OL-23081-01-J


E メールセキュリティアプライアンスが FIPS 準拠モードの場合、AsyncOS では次の CLI コマンドが制限されます。

• certconfig。certificate サブコマンドでは、サービスに割り当てられた証明書の表示のみを行います。certauthority サブコマンドに制限はありません。

• domainkeysconfig。key サブコマンドは、publickey、print、および list の処理に制限されます。profiles サブコマンドでは、対話形式でキーを生成できません。

clonetarget 複数の HSM カードの間でマスターキーをコピーするときに、HSM カードをターゲットとして複製します。

詳細については、HSM カードを使用した複数の電子メールセキュリティアプライアンスの操作（1 ～ 20 ページ）を参照してください。

clonesource 複数の HSM カードの間でマスターキーをコピーするときに、HSM カードをソースとして複製します。

詳細については、HSM カードを使用した複数の電子メールセキュリティアプライアンスの操作（1 ～ 20 ページ）を参照してください。

backup HSM カードに管理される証明書またはキーを XML ファイルにバックアップします。

詳細については、証明書およびキーのバックアップと復元（1 ～ 15 ページ）を参照してください。

restore XML ファイルから HSM カードへ証明書およびキーを復元します。

詳細については、証明書およびキーのバックアップと復元（1 ～ 15 ページ）を参照してください。

passwd FIPS オフィサーパスワードを変更します。

表 1-1 fipsconfig サブコマンド（続き）

fipsconfig サブコマンド説明


OL-23081-01-J


• sslconfig。このコマンドでは、構成設定の表示のみを行います。

• loadconfig。AsyncOS では、証明書とキーのペア、またはアップロードされた XML ファイルで見つかった署名キーが無視されます。

HSM カードを使用した複数の電子メールセキュリティアプライアンスの操作

HSM カードを初期化すると、HSM カードでは新しいマスターキーが生成されます。E メールセキュリティアプライアンス間で証明書または署名キーを移動する場合、まず HSM カード（移動元のアプライアンス）から別の HSM カード（移動先のアプライアンス）にマスターキーを複製する必要があります。E メールセキュリティアプライアンスで生成された証明書またはキーは、HSM カードのマスターキーが異なる場合、別のアプライアンスで動作しません。マスターキーを複製することによって、アプライアンスは証明書とキーを共有できます。

アプ �

Cisco IronPort AsyncOS 7.3 for Email Security 詳細 ......目次 vi Cisco IronPort AsyncOS 7.3 for...

Documents

Transcript of Cisco IronPort AsyncOS 7.3 for Email Security 詳細 ......目次 vi Cisco IronPort AsyncOS 7.3 for...