SMTPトラフィックに対しサーバDPI-SSLを設定する方法

Server DPI-SSL は、 Client DPI-SSL と共にSSL ベースのトラフィックを検査するために使用される、2 つの展開シナリオのうちの 1 つです。

Server DPI-SSLの導入シナリオは、通常、リモートクライアントがWAN経由でSonicWallセキュリティアプライアンスのLAN（またはDMZ）上にあるコンテンツにアクセスする際に、HTTPSトラフィックを検査するために使用されます。

Server DPI-SSLは、以下の方法でSSLベースのトラフィックを復号化することができます。

• 内部アドレスオブジェクトと証明書のペアリングを設定する。
  
• アプライアンスは、アドレスオブジェクトへのSSL接続を検出すると、ペアリングされた証明書を提示し、接続クライアントとSSL接続をネゴシエートします。これにより、SonicWallはトラフィックを検査し、脅威が検出された場合は、セキュリティサービスとアプリケーションファイアウォールポリシーを適用することができます。
  

この展開シナリオでは、SonicWall UTMの所有者がオリジンコンテンツサーバーの証明書と秘密鍵を所有しています。管理者は、サーバーのオリジナルの証明書をUTMアプライアンスにインポートし、サーバーDPI-SSL設定画面でサーバーIPアドレスとサーバー証明書の適切なマッピングを作成する必要があります。

さらに、内部アドレスオブジェクトと証明書のペアリングは、暗号化または平文のいずれかを選択することができます。 ペアリングが平文と定義されていない場合、サーバーへのSSL接続がネゴシエートされます。これにより、接続をエンドツーエンドで暗号化することができます。ペアリングが平文であると定義されている場合、標準的なTCP接続が元の（NAT再マッピング後の）ポートでサーバーに行われます。

この記事では、Server DPI-SSLがSMTPトラフィックを検査するように設定できることを確認しています。

Server DPI-SSLは、SMTPやその他の種類のトラフィックを検査するように設定することができます。しかし、潜在的な脅威をブロックすることはできず、報告するのみです。これは、Server DPI-SSLを設定し、GAV機能でSMTP Inbound/Outbound Inspectionを有効にするだけで可能です。

注: Capture ATP/GAVでは、SMTPトラフィック（インバウンド/アウトバウンド）は検査されますが、ファイアウォールはSonicWall E-mail Securityなどの他のソリューションのように電子メールトラフィックを処理するように設計されていないため、悪質な添付ファイルがクライアントに配信されます。メールトラフィックをより適切に処理するために、当社のホスティングメールセキュリティやクラウドアプリセキュリティ製品では、このようなソリューションや暗号化されたメールトラフィックの非常に詳細な制御を提供しています。

以下のKBに記載されている手順に従ってください。

1. サーバDPI-SSLの設定方法
2. SMTP Inspectionを正しく機能させるために、サーバ証明書とその秘密鍵を取り出し、ファイアウォール上にインポートしてください。