Exchange ServerまたはIBM Notes Traveler Serverの統合

Secure Mailとメールサーバーとの同期を維持するため、Secure Mailを内部ネットワーク内またはCitrix Gatewayの背後のExchange ServerまたはIBM Notes Travelerサーバーと統合します。

重要:

Secure MailからのメールをIBM Notes Traveler(旧称:IBM Lotus Notes Traveler)と同期させることはできません。このLotus Notesサードパーティー機能は、現在サポートされていません。そのため、たとえば、応答済の会議メールをSecure Mailから削除しても、このメールはIBM Notes Travelerサーバー上では削除されません。[CXM-47936]

また、Secure NotesおよびSecure Tasksも同期できます。ただし、Secure NotesおよびSecure Tasksは2018年12月31日に製品終了(EOL)となったことにご注意ください。詳しくは、「EOLと廃止予定のアプリ」を参照してください。

  • Secure Notes for iOSを同期するには、Exchange Serverと統合します。
  • Secure Notes for AndroidおよびSecure Tasks for Androidを同期するには、Secure Mail for Androidアカウントを使用します。

Citrix Endpoint Management(XenMobileの新名称)にSecure Mail、Secure Notes、Secure Tasksを追加する場合、「バックグラウンドサービス構成のMDXアプリポリシー」で説明されているようにMDXポリシーを構成します。

注:

Secure Mail for AndroidおよびSecure Mail for iOSではNotes Traveler Serverをフルパスで指定できます。例:https://mail.example.com/traveler/Microsoft-Server-ActiveSync

Domino DirectoryにTravelerサーバーのWebサイト置換規則を構成する必要はなくなりました。

Secure Mail用のIBM Notes Travelerサーバーの構成

IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。このセクションでは、この構成の環境図およびシステム要件について説明します。

重要:

Notes TravelerサーバーがSSL 3.0を使用する場合、SSL 3.0にはPadding Oracle On Downgraded Legacy Encryption(POODLE)攻撃と呼ばれる脆弱性があることに注意してください。これはSSL 3.0を使用するサーバーに接続するいずれのアプリにも影響があるman-in-the-middle攻撃です。POODLE攻撃によってもたらされる脆弱性に対処するために、Secure MailはデフォルトでSSL 3.0接続を無効にし、サーバーへの接続にはTLS 1.0を使用します。これにより、Secure MailはSSL 3.0を使用するNotes Traveler Serverには接続できません。推奨される回避策については、「Exchange ServerまたはIBM Notes Traveler Serverの統合」の「SSL/TLSのセキュリティレベルの構成」セクションを参照してください。

IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。

以下の図は、サンプルの展開環境におけるIBM Notes TravelerサーバーとIBM Dominoメールサーバーのネットワーク配置を示しています。

IBM Notes TravelerサーバーとXenMobileを使用したIBM Dominoメールサーバー展開のイメージ

システム要件

インフラストラクチャサーバーの要件

  • IBM Domino Mail Server 9.0.1
  • IBM Notes Traveler 9.0.1

認証プロトコル

  • Dominoデータベース
  • Lotus Notes認証プロトコル
  • Lightweight Directory認証プロトコル

ポート要件

  • Exchange:デフォルトのSSLポートは443です。
  • IBM Notes:SSLはポート443でサポートされます。デフォルトで、非SSLはポート80でサポートされます。

SSL/TLSのセキュリティレベルの構成

前の「重要」の注に記載のとおり、POODLE攻撃によりもたらされる脆弱性に対処するため、Secure Mailに対して修正が加えられました。したがって、Notes TravelerサーバーでSSL 3.0を使用している場合は、接続を有効にするために推奨される回避策は、IBM Notes Traveler 9.0のサーバーでTLS 1.2を使用することです。

IBMは、Notes Travelerのセキュアなサーバーツーサーバー通信におけるSSL 3.0の使用を防ぐパッチを用意しています。2014年11月にリリースされたパッチには、以下のNotes Travelerサーバーのバージョンに対する臨時の修正更新プログラムが含まれています:9.0.1 IF7、9.0.0.1 IF8、および8.5.3 Upgrade Pack 2 IF8(および以降のすべてのリリースに含まれます)。

代替の回避策として、Secure MailをEndpoint Managementに追加するときに接続のセキュリティレベルポリシーを [SSLv3 and TLS] に変更します。この問題についての最新の情報は、「SSLv3 Connections Disabled by Default on Secure Mail 10.0.3」を参照してください。

以下の表に、Secure Mailでサポートされるプロトコルを、接続のセキュリティレベルポリシーの値に基づいてオペレーティングシステム別に示します。メールサーバーでプロトコルをネゴシエートできる必要もあります。

以下の表に、接続セキュリティレベルがSSLv3およびTLSの場合にSecure Mailでサポートされるプロトコルを示します。

オペレーティングシステムの種類 SSLv3 TLS
iOS 9以降 いいえ はい
Android Mより前 はい はい
Android MおよびAndroid N はい はい
Android O いいえ はい

以下の表に、接続セキュリティレベルがTLSの場合にSecure Mailでサポートされるプロトコルを示します。

オペレーティングシステムの種類 SSLv3 TLS
iOS 9以降 いいえ はい
Android Mより前 いいえ はい
Android MおよびAndroid N いいえ はい
Android O いいえ はい

Notes Traveler Serverの構成

次の情報は、IBM Domino Administratorの構成ページに対応しています。

  • セキュリティ: インターネット認証は、[Fewer name variations with higher security]に設定されています。この設定は、[UID]をLDAP認証プロトコルの[AD User ID]にマップするために使われます。
  • NOTES.INI設定: NTS_AS_ENFORCE_POLICY=falseを追加します。これにより、Secure MailポリシーをTravelerではなくEndpoint Managementで管理できます。この設定は、現在の展開と競合を引き起こす可能性がありますが、Endpoint Management展開でのデバイスの管理が簡略化されます。
  • 同期プロトコル: 現時点で、IBM Notesおよびモバイルデバイスの同期に関して、SyncMLはSecure Mailのサポート対象外です。Secure Mailでは、Travelerサーバーに組み込まれたMicrosoft ActiveSyncプロトコルによりメール、カレンダー、および連絡先の情報が同期されます。SyncMLがプライマリプロトコルとして強制される場合、Secure MailをTravelerインフラストラクチャを介して接続し直すことはできません。
  • Dominoディレクトリ構成 - Webインターネットサイト: /travelerに対するセッション認証をオーバーライドして、フォームベースの認証を無効にします。
Exchange ServerまたはIBM Notes Traveler Serverの統合