Change オンラインで 2022 年に従来の SMTP エンドポイントを導入

Change オンラインで 2022 年に従来の SMTP エンドポイントを導入

SMTP 接続を TLS 1.2 に移動する新しい戦略の一部

8月18日、 マイクロソフトは、Exchange Online へのトランスポート層セキュリティ (TLS) 1.0 および 1.1 接続を無効にすると発表しました。 「2022年に」SMTP クライアントは、TLS 1.2 を使用して Exchange に接続し、電子メールを送信する必要があります。これは、プロトコルのこれらのバージョンに既知の脆弱性があるという根拠に基づいて、マイクロソフトが TLS 1.0 および 1.1 から離れるよう顧客にアドバイスし始めた 2018 年に始まった最新の手順です。2018 年 10 月 31 日より、マイクロソフトは TLS 1.0 および 1.1 をマイクロソフト 365 用に廃止しました。もちろん、廃止は削除や停止を意味するものではありません。それは、そのうちに何かが削除されることを意図しています。

Exchange オンライン チームは、顧客を支援するアドバイスを公開し始めました 2019 年 3 月にテナントで TLS の使用状況を分析します。.この時点で、2020 年 6 月は Office 365 で TLS 1.0 と 1.1 を無効にする目標日でした。結局のところ、Exchange Online は 2020 年 7 月に TLS 1.0 および 1.1 のサポートを停止しました。次のステップは、 MC229914 2020年12月14日 マイクロソフトは、2021 年 1 月 11 日から TLS 1.0 および 1.1 接続のサポートを徐々に削除すると発表しました。

私たちは徐々に変更を行うので、最初の影響はメッセージが遅れる可能性があり、変更が完了したときにのみメッセージが送り先に配信されません."

悲しいか、ネズミと男性の最良の計画は、時には障害に遭遇します。マイクロソフトは、顧客のプッシュバックと世界的なパンデミックの組み合わせにより、続行できませんでした。

マイクロソフトの新しい計画 TLS 1.2 を排除する

Exchange Online では TLS 1.0 と 1.1 がサポートされなくなりましたが、一部の SMTP クライアントは引き続きこれらのバージョンを使用して Exchange Online メールボックスに電子メールを送信します (マイクロソフトは"重要な使用法"を参照します)。TLS 1.0 と 1.1 から離れることができなかった顧客の問題を解決するために、マイクロソフトの新しい計画は次のとおりです。

  • Exchange Online への受信電子メールの受信に使用される通常の SMTP エンドポイントの TLS 1.0 および 1.1 接続のサポートを停止する (smtp.office365.com).これは2022年に起こることです。
  • ビジネス上の理由がよくあるテナントは、これらの接続を受け入れるようにテナントを構成することで、引き続き古い TLS を使用してリスクを受け入れるようにします。

言い換えれば、Microsoft は、攻撃の潜在的な方法である可能性のある受信電子メールを受け入れるリスクがあるかどうかを判断する責任をテナントに譲渡しています。このリスクは、組織がアプリケーション (電子メール クライアントを含む) やハードウェア デバイスを更新するために、SMTP 経由で Exchange Online に接続するために Exchange Online に接続する必要がある場合に、正当なリスクです。

リスクを受け取ることを決定したテナントは、次のことが必要です。

Set-TransportConfig -AllowLegacyTLSClients $True
  • 新しいエンドポイントを使用するようにクライアントを構成します。 smtp-legacy.office365.com.

マイクロソフトは、ほとんどのテナントが単にTLS 1.2に切り替えることを賭けていると確信しています。古いプロトコルを使用し続ける必要がある人は、コンポーネントをアップグレードしている間にそうすることができます(以下を含む スクリプト).全体的に見て、組織が自分の仕事を選ぶのでうまくいく計画のように思えます。

古い TLS 接続を今すぐブロックする

早期に切り替えて、古い TLS 接続をブロックするテナントは、実行することで、今すぐ行うことができます。 セットトランスポート構成 設定を$Falseに更新するには(マイクロソフトが TLS 1.0 と 1.1 をオフにするまでは、既定で$Trueされます。これを行う前に、受信メッセージ レポートのメール フロー レポート セクションで確認することをお勧めします。 新しい EAC (図1)。確認したところ、先週配信された 700 通のメッセージのうち 2 個が TLS 1.2 を使用していないのを発見しました。

Exchange オンライン管理センターでの受信メッセージレポート
図 1: Exchange オンライン管理センターでの受信メッセージレポート

このレベルのトラフィックと、テナントへのほとんどの受信電子メールが、TLS 1.2 を使用する他の Office 365 テナントおよびよく知られたメール サーバーから送信されていることを考えると、TLS 1.2 を強制することに満足しています。したがって、私はコマンドを実行しました:

Set-TransportConfig -AllowLegacyTLSClients $False

尻尾の刺し傷

テナントの TLS 1.0 と 1.1 接続を削除したので、2021 年 9 月に導入予定のマイクロソフトが魅力的に 「新しいサブミッション エラー スピードバンプ」と呼ぶものの影響を受けることはありません。速度バンプが設定されると、Exchange Online は TLS 1.0 または 1.1 を使用して SMTP 接続を試みる試みの小さな (指定されていない) 割合を拒否し、このエラー メッセージを発行します。

421 4.7.66 TLS 1.0 and 1.1 are not supported. Please upgrade/update your client to support TLS 1.2. Visit https://aka.ms/smtp_auth_tls

これは一時的なエラーであり、クライムnts は接続を再試行できます。Exchange Online がブロックする接続の割合がごく一部であることを考えると、次に接続を試みると成功する可能性があります。ただし、拒否された接続の割合が少ない場合は、時間の経過と同時に増加し、古いプロトコルを使用しているクライアントが Exchange Online に接続する際に、徐々に苦痛を伴います。Exchange Online が接続を拒否すると、クライアントは電子メールの送信に遅延が発生します。場合によっては、クライアントのエラー処理によっては、クライアントが頻繁に再試行を処理するように更新するまでメールが通過しない場合があります (または、さらに良い場合は、クライアントを TLS 1.2 にアップグレードします)。

最終的に、マイクロソフトはtls 1.0と1.1のプラグを smtp.office365.com に引っ張り、古いプロトコルを続行するか、弾丸を噛んでTLS 1.2に移行することを決めるのはテナント次第です。楽しい時間になるはずです。


サブスクリプションを使用して Exchange オンラインおよび Office 365 の残りの部分を保護する方法について説明します。 IT 担当者向け Office 365 電子書籍。テナントを保護する上で重要な内容と最善の方法を理解するために、経験を活かしてください。


未分類

Posted by admin