IMAP プロキシ:TLS

トランスポート層セキュリティ (TLS) は、IMAP にさらなるデータ セキュリティを提供します。TLS プロトコルは、インターネット上の通信セキュリティを提供し、クライアントとサーバー アプリケーション間の通信で盗聴、改ざん、またはメッセージの偽装を防ぐ設計を提供します。TLS プロトコルは、SSLv3 プロトコルをベースにしていますが、より強化されたデータ セキュリティを提供します。

TLS についての詳細は、次を参照してください: トランスポート層セキュリティ (TLS) について

IMAP プロキシでは、暗黙的 TLS と明示的 TLS の両方がサポートされています。IMAP プロキシ アクションでは、TLS 設定は暗黙的 TLS 対象で、STARTTLS 設定は明示的 TLS 対象です。IMAP プロキシで明示的 TLS を構成する方法については、IMAP プロキシ:STARTTLS を参照してください。

同じ IMAP プロキシ アクションで暗黙的と明示的 TLS 暗号化の両方を有効化できますが、各接続では 1 つの暗号化方法のみが使用されます。ポート 993 の接続では暗黙的 TLS 暗号化 (IMAPS) が使用され、ポート 143 の接続では明示的 TLS 暗号化 (STARTTLS) が使用されます。

IMAP プロキシの TLS は、Fireware OS v12.1 以降でサポートされています。

IMAP プロキシ ポリシーで TLS サポートを有効にするには、プロキシ アクションでコンテンツ インスペクションを有効にする必要があります。

TLS 暗号化の証明書について

コンテンツ インスペクションが有効である場合、インスペクション後に着信トラフィックが暗号解除された時、プロキシ アクションは証明書を使用してそれを再暗号化します。

  • インバウンド トラフィックの場合、プロキシ アクションは規定のプロキシ サーバー証明書を使用します。
  • アウトバウンド トラフィックの場合、プロキシ アクションはプロキシ認証機関証明書を使用します。

これらの証明書の詳細については、次を参照してください: 証明書について

IMAP プロキシ ポリシーで TLS サポート オプションを変更する

IMAP プロキシ アクションでコンテンツ インスペクションを有効にするには、IMAP プロキシ ポリシーで TLS サポートも有効または必須にする必要があります。

IMAP プロキシ ポリシーでは、TLS サポートを以下のいずれかのオプションに設定できます:

  • 無効 — IMAP プロキシはポート 143 でのみ待機します
  • 有効 — IMAP プロキシはポート 143 および 993 で待機します (規定)
  • 必須 — IMAP プロキシはポート 993 でのみ待機します
  1. IMAP プロキシ ポリシーを編集します。

Screen shot of the IMAP-proxy Settings tab

  1. 設定 タブの TLS サポート ドロップダウン リストから、有効 または 必須 を選択します。
    ポリシーの IMAP ポートおよび IMAPS ポートは、選択するオプションに応じて更新されます。
  1. IMAP プロキシ ポリシーを編集します。

Screen shot of the IMAP-proxy Properties tab

  1. ポリシー タブの TLS サポート ドロップダウン リストから、有効 または 必須 を選択します。ヒント!
    ポリシープロパティタブの IMAP および IMAPS ポートは、選択するオプションに応じて更新されます。

IMAP プロキシ アクションでコンテンツ インスペクションを有効にする

IMAP プロキシでコンテンツ インスペクションを有効にするには、IMAP プロキシポリシーで使用されるプロキシ アクションの TLS 設定で、インスペクション アクションを選択する必要がります。インスペクション アクションを選択すると、プロキシはコンテンツ インスペクションに TLS プロファイルの設定を使用します。TLS プロファイル設定は、プロキシ アクション、または TLS プロファイル ページから編集できます。

  1. IMAP プロキシ ポリシーにより使用されている IMAP プロキシ アクションを編集します。
  2. TLS タブを選択します。
    コンテンツ インスペクション設定が表示されます。

  1. TLS プロファイル ドロップダウン リストから、使用する TLS プロファイルを選択します。
    選択したプロファイルの設定がコンテンツ インスペクションの概要に表示されます。
  • 最小プロトコル バージョン — 許可される最小プロトコル バージョンを表示します
  • OCSP — OCSP の設定 (無効、寛大、または厳格) を表示します (TLS クライアント プロファイルのみ)
  • PFS 暗号 — Perfect Forward Secrecy 暗号の設定 (許可、必須、または なし) を表示します
  • TLS 準拠 — TLS プロファイルが TLS プロトコル標準に準拠しているかを表示します
  1. コンテンツ検査を有効にするには、アクション ドロップダウン リストから インスペクション を選択します。
  2. Fireware Web UI で TLS プロファイルを編集するには、編集 をクリックします。Policy Manager で TLS プロファイルを編集するには、をクリックします 。事前定義された TLS プロファイルは編集できません。事前定義された TLS 設定を変更するには、クローン をクリックして編集可能な TLS プロファイルのコピーを作成します。
  3. TLS プロファイルをネットワークで要求される設定で構成します。詳細については、TLS プロファイルを構成する を参照してください。
  1. IMAP プロキシ ポリシーにより使用されている IMAP プロキシ アクションを編集します。
  2. カテゴリ リストで、TLS を選択します。
    コンテンツ インスペクション設定が表示されます。

Screen shot of the TLS settings in an IMAP proxy action in Policy Manager

  1. TLS プロファイル ドロップダウン リストから、使用する TLS プロファイルを選択します。
    選択したプロファイルの設定がコンテンツ インスペクションの概要に表示されます。
  • 最小プロトコル バージョン — 許可される最小プロトコル バージョンを表示します
  • OCSP — OCSP の設定 (無効、寛大、または厳格) を表示します (TLS クライアント プロファイルのみ)
  • PFS 暗号 — Perfect Forward Secrecy 暗号の設定 (許可、必須、または なし) を表示します
  • TLS 準拠 — TLS プロファイルが TLS プロトコル標準に準拠しているかを表示します
  1. コンテンツ検査を有効にするには、アクション ドロップダウン リストから インスペクション を選択します。
  2. Fireware Web UI で TLS プロファイルを編集するには、編集 をクリックします。Policy Manager で TLS プロファイルを編集するには、をクリックします 。事前定義された TLS プロファイルは編集できません。事前定義された TLS 設定を変更するには、クローン をクリックして編集可能な TLS プロファイルのコピーを作成します。
  3. TLS プロファイルをネットワークで要求される設定で構成します。詳細については、TLS プロファイルを構成する を参照してください。

ポリシーの TLS 設定を表示する

プロキシ ポリシーでコンテンツの検査を実行するには、プロキシ ポリシーの TLS サポートオプションを 有効 または 必須 に設定する必要があります。プロキシ アクションリストにあるプロキシ アクションの TLS 設定を編集した場合、プロキシ アクションは複数のポリシーに適用される可能性があります。コンテンツの検査を有効にした後、プロキシ アクションを使用するすべてのポリシーの TLS サポートが有効または必須に設定されていることを確認してください。

プロキシ アクションを使用するすべてのポリシーで TLS サポート設定を確認するには、次の手順を実行します:

  1. プロキシ アクション リストからプロキシ アクションを編集します。
  2. プロキシ アクションの TLS 設定で、表示 をクリックします。
    各ポリシーの TLS サポート設定とともにプロキシ アクションを使用しているポリシーのリストが表示されます。

 

関連情報:

TLS プロファイルを構成する

IMAP プロキシについて

プロキシ アクションについて