私たちは最近、Webアプリケーションへのログオンを強化するために2要素認証ソリューションを導入しました(そのうちの1つはWebベースのメール、Microsoft Outlook Webアクセスです)。新しいトークンを割り当てられたユーザーのほとんどは、ずっと前。その後、Webアプリケーションは2FAによって十分に保護されていますが、POP3/IMAPは2FAをサポートしていないため、メールアプリケーションはより強力な認証方法をバイパスする簡単な方法であることに気付きました。
私の質問は、2FAをサポートしないpop3/imapサービスでより強力な認証方法を提供するにはどうすればよいですか?この問題に対処するためのアドバイスはありますか?
IMAPS(別名「SSL内のIMAP」)は、クライアント証明書(二重認証されたSSL)の要件で構成できます。その方法でIMAPSサーバーをセットアップし、カスタムCAによって発行され、スマートカード(またはスマートカードと同等のUSBトークン。これらは特定のリーダーを必要としないため、より簡単です)で配布された証明書を要求できます。最後に、スマートカードにはPINコードが必要です。このコードは2FAとしてカウントされます(1つの要素はスマートカードの所有、2番目の要素はPINの知識です)。
残念ながら、すべてのIMAPSクライアントがクライアント証明書をサポートしているわけではありません(たとえば、iPhoneでは、明らかに 脱獄といくつかの追加の作業 )が必要です(とにかく、スマートカードをiPhoneに差し込んで頑張ってください...)。また、PKIを設定してスマートカードを登録することは、たとえば、少し高価になる傾向があります。
オープンソースのPOP/IMPAサーバーを別の認証方法を使用するように変更するのは比較的簡単ですが、MS Outlookの書き換えははるかに困難になります。
または、リバースキャプティブゲートウェイを使用して、最近HTTP経由で正常に認証されたIPアドレスのPOP/IMAPサーバーへのアクセスのみを許可することもできますが、これには多くの問題があります。
ユーザーではなくIPアドレスに基づいて認証を行っている-IPアドレスに他のユーザーがいる可能性がある
サーバーサイドに表示されるクライアントIPは、プロトコルやクライアントによって異なる場合があります
より実用的なソリューションは、VPNへのIMAP/POPアクセスを制限し、POPユーザー名/パスワード(第2要素)とともにVPNの認証(第1要素)を要求することです。
内部IPからメールサーバーへの接続のみを許可し、VPNおよびWebメールソリューションを提供できます。 VPNはOutlookなどのクライアントを使用するために必要であり、接続時に2要素認証が必要になります。ウェブメールオプションでは、サイトに接続するために2要素認証が必要です。サイトでは、メールサーバーのルールによってアクセスが許可されている内部サーバー経由で電子メールを送受信できます。
IMAPサーバーが認証にPAMの使用をサポートしている場合、2要素認証にYubikey +パスワードを使用するようにPAMを構成できる場合があります。 YubikeyはPAMとの統合をサポートしていると思いますが、PAMに関する個人的な経験はなく、IMAPサーバーと統合する方法についての報告もありません。
または、Gmailをメールプロバイダーとして使用し、「アプリケーション固有のパスワード」を使用してGmailへの認証を行うことができます。これは技術的には2要素認証ではありませんが、ユーザーが選択したパスワードよりもいくらか優れています。
クライアント証明書を調べるというトムリークの推奨事項が最善の策です。 ワンタイムパスワードソリューションは、IMAPにはあまり適していません。ユーザーには明らかです。
今朝一度、ウェブメールのIMAPクライアントにログインしましたが、ログを見ると、過去90分間にIMAPバックエンドに対する認証が40回実行されています。ワンタイムパスワード要素が使用されている場合、追加のプロンプトなしではそれを行うことはできません。
最初の質問は、質問を再構成することです。IMAPで2要素認証を実装するには、どの標準認証プロトコルを使用できますか?ファイアウォールの内側の答えは通常は半径です。 RADIUSとセッションキャッシュをサポートするようにIMAPサーバーを構成できる場合(@gowenfawrがWebアプリに対しても確実に行っているため、言及されている問題を回避するため)、任意の2FAベンダーで動作させることができます。私たちはみんなRADIUSをサポートしているので。
これを1つのWindowsで行う方法はわかりませんが、ほとんどの場合、ForefrontなどのIMAPサーバーの前に何かが必要になります。 LinuxでSquirrelMail/IMAPを実行する方法は次のとおりです。 https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail-for-wikid-強力な認証 。