Exchange ServerまたはIBM Notes Travelerサーバーの統合

Secure Mailとメールサーバーとの同期を維持するため、Secure Mailを内部ネットワーク内またはCitrix Gatewayの背後のExchange ServerまたはIBM Notes Travelerサーバーと統合します。

重要:

Secure MailからのメールをIBM Notes Traveler(旧称:IBM Lotus Notes Traveler)と同期させることはできません。このLotus Notesサードパーティー機能は、現在サポートされていません。そのため、たとえば、応答済の会議メールをSecure Mailから削除しても、このメールはIBM Notes Travelerサーバー上では削除されません。[CXM-47936] IBM/Lotus Notesの既知の制限事項については、このCitrixブログの投稿を参照してください。

また、Secure NotesおよびSecure Tasksも同期できます。ただし、Secure NotesおよびSecure Tasksは2018年12月31日に製品終了(EOL)となったことにご注意ください。詳しくは、「EOLと廃止予定のアプリ」を参照してください。

  • Secure Notes for iOSを同期するには、Exchange Serverと統合します。
  • Secure Notes for AndroidおよびSecure Tasks for Androidを同期するには、Secure Mail for Androidアカウントを使用します。

Citrix Endpoint Management(XenMobileの新名称)にSecure Mail、Secure Notes、Secure Tasksを追加する場合、「バックグラウンドサービス構成のMDXアプリポリシー」で説明されているようにMDXポリシーを構成します。

注:

Secure Mail for AndroidおよびSecure Mail for iOSではNotes Traveler Serverをフルパスで指定できます。例:https://mail.example.com/traveler/Microsoft-Server-ActiveSync

Domino DirectoryにTravelerサーバーのWebサイト置換規則を構成する必要はなくなりました。

Secure Mail用のIBM Notes Travelerサーバーの構成

IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。このセクションでは、この構成の環境図およびシステム要件について説明します。

重要:

Notes TravelerサーバーがSSL 3.0を使用する場合、SSL 3.0にはPadding Oracle On Downgraded Legacy Encryption(POODLE)攻撃と呼ばれる脆弱性があることに注意してください。これはSSL 3.0を使用するサーバーに接続するいずれのアプリにも影響があるman-in-the-middle攻撃です。POODLE攻撃によってもたらされる脆弱性に対処するために、Secure MailはデフォルトでSSL 3.0接続を無効にし、サーバーへの接続にはTLS 1.0を使用します。これにより、Secure MailはSSL 3.0を使用するNotes Traveler Serverには接続できません。推奨される回避策について詳しくは、「Exchange ServerまたはIBM Notes Travelerサーバーの統合」の「SSL/TLSのセキュリティレベルの構成」セクションを参照してください。

IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。

以下の図は、サンプルの展開環境におけるIBM Notes TravelerサーバーとIBM Dominoメールサーバーのネットワーク配置を示しています。

IBM Notes TravelerサーバーとXenMobileを使用したIBM Dominoメールサーバー展開のイメージ

システム要件

インフラストラクチャサーバーの要件

  • IBM Domino Mail Server 9.0.1
  • IBM Notes Traveler 9.0.1

認証プロトコル

  • Dominoデータベース
  • Lotus Notes認証プロトコル
  • Lightweight Directory認証プロトコル

ポート要件

  • Exchange:デフォルトのSSLポートは443です。
  • IBM Notes:SSLはポート443でサポートされます。デフォルトで、非SSLはポート80でサポートされます。

SSL/TLSのセキュリティレベルの構成

前の「重要」の注に記載のとおり、POODLE攻撃によりもたらされる脆弱性に対処するため、Secure Mailに対して修正が加えられました。したがって、Notes TravelerサーバーでSSL 3.0を使用している場合は、接続を有効にするために推奨される回避策は、IBM Notes Traveler 9.0のサーバーでTLS 1.2を使用することです。

IBMは、Notes Travelerのセキュアなサーバーツーサーバー通信におけるSSL 3.0の使用を防ぐパッチを用意しています。2014年11月にリリースされたパッチには、以下のNotes Travelerサーバーのバージョンに対する臨時の修正更新プログラムが含まれています:9.0.1 IF7、9.0.0.1 IF8、および8.5.3 Upgrade Pack 2 IF8(および以降のすべてのリリースに含まれます)。このパッチについて詳しくは、「LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION」を参照してください。

代替の回避策として、Secure MailをEndpoint Managementに追加するときに接続のセキュリティレベルポリシーを [SSLv3 and TLS] に変更します。最新情報は、Secure Mail 10.0.3でSSLv3接続がデフォルトで無効になっている問題に関する記事を参照してください。

以下の表に、Secure Mailでサポートされるプロトコルを、接続のセキュリティレベルポリシーの値に基づいてオペレーティングシステム別に示します。メールサーバーでプロトコルをネゴシエートできる必要もあります。

以下の表に、接続セキュリティレベルがSSLv3およびTLSの場合にSecure Mailでサポートされるプロトコルを示します。

オペレーティングシステムの種類 SSLv3 TLS
iOS 9以降 いいえ はい
Android Mより前 はい はい
Android MおよびAndroid N はい はい
Android O いいえ はい

以下の表に、接続セキュリティレベルがTLSの場合にSecure Mailでサポートされるプロトコルを示します。

オペレーティングシステムの種類 SSLv3 TLS
iOS 9以降 いいえ はい
Android Mより前 いいえ はい
Android MおよびAndroid N いいえ はい
Android O いいえ はい

Notes Traveler Serverの構成

次の情報は、IBM Domino Administratorの構成ページに対応しています。

  • セキュリティ: インターネット認証は、[Fewer name variations with higher security]に設定されています。この設定は、[UID]をLDAP認証プロトコルの[AD User ID]にマップするために使われます。
  • NOTES.INI設定: NTS_AS_ENFORCE_POLICY=falseを追加します。これにより、Secure MailポリシーをTravelerではなくEndpoint Managementで管理できます。この設定は、現在の展開と競合を引き起こす可能性がありますが、Endpoint Management展開でのデバイスの管理が簡略化されます。
  • 同期プロトコル: 現時点で、IBM Notesおよびモバイルデバイスの同期に関して、SyncMLはSecure Mailのサポート対象外です。Secure Mailでは、Traverlerサーバーに組み込まれたMicrosoft ActiveSyncプロトコルによりメール、カレンダー、および連絡先の情報が同期されます。SyncMLがプライマリプロトコルとして強制される場合、Secure MailをTravelerインフラストラクチャを介して接続し直すことはできません。
  • Dominoディレクトリ構成 - Webインターネットサイト: /travelerに対するセッション認証をオーバーライドして、フォームベースの認証を無効にします。