Exchange ServerまたはIBM Notes Traveler Serverの統合
Secure Mailとメールサーバーとの同期を維持するため、Secure Mailを内部ネットワーク内またはCitrix Gatewayの背後のExchange ServerまたはIBM Notes Travelerサーバーと統合します。
- Secure Mailのバックグラウンドサービスを構成するには、「Secure Mailのバックグラウンドサービス」を参照してください。
- IBM Notes Traveler Server for Secure Mailを構成するには、「Secure Mail用のIBM Notes Traveler Serverの構成」を参照してください。
重要:
Secure MailからのメールをIBM Notes Traveler(旧称:IBM Lotus Notes Traveler)と同期させることはできません。このLotus Notesサードパーティー機能は、現在サポートされていません。そのため、たとえば、応答済の会議メールをSecure Mailから削除しても、このメールはIBM Notes Travelerサーバー上では削除されません。[CXM-47936]
また、Secure NotesおよびSecure Tasksも同期できます。ただし、Secure NotesおよびSecure Tasksは2018年12月31日に製品終了(EOL)となったことにご注意ください。詳しくは、「EOLと廃止予定のアプリ」を参照してください。
- Secure Notes for iOSを同期するには、Exchange Serverと統合します。
- Secure Notes for AndroidおよびSecure Tasks for Androidを同期するには、Secure Mail for Androidアカウントを使用します。
Citrix Endpoint Management(XenMobileの新名称)にSecure Mail、Secure Notes、Secure Tasksを追加する場合、「バックグラウンドサービス構成のMDXアプリポリシー」で説明されているようにMDXポリシーを構成します。
注:
Secure Mail for AndroidおよびSecure Mail for iOSではNotes Traveler Serverをフルパスで指定できます。例:
https://mail.example.com/traveler/Microsoft-Server-ActiveSync。Domino DirectoryにTravelerサーバーのWebサイト置換規則を構成する必要はなくなりました。
Secure Mail用のIBM Notes Travelerサーバーの構成
IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。このセクションでは、この構成の環境図およびシステム要件について説明します。
重要:
Notes TravelerサーバーがSSL 3.0を使用する場合、SSL 3.0にはPadding Oracle On Downgraded Legacy Encryption(POODLE)攻撃と呼ばれる脆弱性があることに注意してください。これはSSL 3.0を使用するサーバーに接続するいずれのアプリにも影響があるman-in-the-middle攻撃です。POODLE攻撃によってもたらされる脆弱性に対処するために、Secure MailはデフォルトでSSL 3.0接続を無効にし、サーバーへの接続にはTLS 1.0を使用します。これにより、Secure MailはSSL 3.0を使用するNotes Traveler Serverには接続できません。推奨される回避策については、「Exchange ServerまたはIBM Notes Traveler Serverの統合」の「SSL/TLSのセキュリティレベルの構成」セクションを参照してください。
IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。
以下の図は、サンプルの展開環境におけるIBM Notes TravelerサーバーとIBM Dominoメールサーバーのネットワーク配置を示しています。
システム要件
インフラストラクチャサーバーの要件
- IBM Domino Mail Server 9.0.1
- IBM Notes Traveler 9.0.1
認証プロトコル
- Dominoデータベース
- Lotus Notes認証プロトコル
- Lightweight Directory認証プロトコル
ポート要件
- Exchange:デフォルトのSSLポートは443です。
- IBM Notes:SSLはポート443でサポートされます。デフォルトで、非SSLはポート80でサポートされます。
SSL/TLSのセキュリティレベルの構成
前の「重要」の注に記載のとおり、POODLE攻撃によりもたらされる脆弱性に対処するため、Secure Mailに対して修正が加えられました。したがって、Notes TravelerサーバーでSSL 3.0を使用している場合は、接続を有効にするために推奨される回避策は、IBM Notes Traveler 9.0のサーバーでTLS 1.2を使用することです。
IBMは、Notes Travelerのセキュアなサーバーツーサーバー通信におけるSSL 3.0の使用を防ぐパッチを用意しています。2014年11月にリリースされたパッチには、以下のNotes Travelerサーバーのバージョンに対する臨時の修正更新プログラムが含まれています:9.0.1 IF7、9.0.0.1 IF8、および8.5.3 Upgrade Pack 2 IF8(および以降のすべてのリリースに含まれます)。
代替の回避策として、Secure MailをEndpoint Managementに追加するときに接続のセキュリティレベルポリシーを [SSLv3 and TLS] に変更します。この問題についての最新の情報は、「SSLv3 Connections Disabled by Default on Secure Mail 10.0.3」を参照してください。
以下の表に、Secure Mailでサポートされるプロトコルを、接続のセキュリティレベルポリシーの値に基づいてオペレーティングシステム別に示します。メールサーバーでプロトコルをネゴシエートできる必要もあります。
以下の表に、接続セキュリティレベルがSSLv3およびTLSの場合にSecure Mailでサポートされるプロトコルを示します。
| オペレーティングシステムの種類 | SSLv3 | TLS |
|---|---|---|
| iOS 9以降 | いいえ | はい |
| Android Mより前 | はい | はい |
| Android MおよびAndroid N | はい | はい |
| Android O | いいえ | はい |
以下の表に、接続セキュリティレベルがTLSの場合にSecure Mailでサポートされるプロトコルを示します。
| オペレーティングシステムの種類 | SSLv3 | TLS |
|---|---|---|
| iOS 9以降 | いいえ | はい |
| Android Mより前 | いいえ | はい |
| Android MおよびAndroid N | いいえ | はい |
| Android O | いいえ | はい |
Notes Traveler Serverの構成
次の情報は、IBM Domino Administratorの構成ページに対応しています。
- セキュリティ: インターネット認証は、[Fewer name variations with higher security]に設定されています。この設定は、[UID]をLDAP認証プロトコルの[AD User ID]にマップするために使われます。
- NOTES.INI設定: NTS_AS_ENFORCE_POLICY=falseを追加します。これにより、Secure MailポリシーをTravelerではなくEndpoint Managementで管理できます。この設定は、現在の展開と競合を引き起こす可能性がありますが、Endpoint Management展開でのデバイスの管理が簡略化されます。
- 同期プロトコル: 現時点で、IBM Notesおよびモバイルデバイスの同期に関して、SyncMLはSecure Mailのサポート対象外です。Secure Mailでは、Travelerサーバーに組み込まれたMicrosoft ActiveSyncプロトコルによりメール、カレンダー、および連絡先の情報が同期されます。SyncMLがプライマリプロトコルとして強制される場合、Secure MailをTravelerインフラストラクチャを介して接続し直すことはできません。
- Dominoディレクトリ構成 - Webインターネットサイト: /travelerに対するセッション認証をオーバーライドして、フォームベースの認証を無効にします。