MDaemonメールサーバ 23.0

パスワード強度

強固なパスワードを求める

デフォルトで、MDaemonは新しいアカウントの作成時やパスワードの変更時、強固なパスワードを要求します強固なパスワードを要求しない場合には、このチェックボックスを外して無効にして下さい。

強固なパスワードの条件:

•最少文字数以上である事

•大文字、小文字を含むこと

•文字と数字を含むこと

•記号を含むこと (下記の記号オプションが設定されていた場合)

•名前やメールボックス名を含まないこと

•使用禁止パスワードファイルに含まれていないこと

最少のパスワード長 (8文字以上)

ここでは強固なパスワード要件となる最少パスワード文字数を設定します。最低8文字以上である必要がありますが、より長い文字数を推奨します。新規インストール時のデフォルト文字数は10です。この設定は、新しいパスワード要件に満たない長さのパスワードを使っているアカウントに対して、パスワードの変更を自動で強制変更するよう求める事はありませんが、ユーザーが次にパスワードを変更しようとした際、新しいパスワード要件を求めるようになります。

パスワードに記号を含む事を必須とする

デフォルトで、新規のMDaemonインストールでは、強固なパスワードとして、最低1つ以上、次の記号が含まれている必要があります: !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ 記号を強固なパスワードで必須としない場合には、このオプションを無効に設定して下さい。

使用禁止パスワードファイルを編集

このボタンで使用禁止パスワードファイルの編集を行います。ファイルの中のエントリ一覧は大文字小文字を区別し、パスワードとして使用できない文字が記載されています。より複雑なエントリや、除外設定を行う場合は正規表現 を使う事ができます。！から始まるエントリは、正規表現として扱われます。

脆弱なパスワードの変更を強制

脆弱なパスワードを使っている全てのアカウントに対しパスワードの変更を強制するにはこのボタンをクリックします。これにより脆弱なアカウントはパスワードを変更するまでロックアウトされます。パスワードは管理者がMDaemonの管理画面から変更するもできますし、ユーザーがWebmailやRemote Administrationから変更する事もできます。ユーザーが古いパスワードでログインすると、その直後に、パスワード変更を求める画面へ転送されます。 注意点: このオプションは「復号できない暗号化方式を使ってパスワードを保存する」オプションを使っている場合は使用できません。

脆弱なパスワードの報告

このボタンをクリックすると、脆弱なパスワードを使っているMDaemonアカウントのレポートを生成します。レポートはOKを押すと、指定のアドレスへメールで送信されます。 注意点: このオプションは「復号できない暗号化方式を使ってパスワードを保存する」オプションを使っている場合は使用できません。

パスワードオプション

指定日数後のパスワードを期限切れとする (0=パスワードを無期限にする)

アカウントへパスワード変更を行わずにアクセスできる最大日数を設定する場合はこのオプションを使用します。デフォルト値は0で無期限と設定されています。例えばこの値を30へ変更すると、ユーザーは、パスワードを最後に変更してから30日以内にパスワード変更が必要になります。パスワードが変更されると、タイマーがリセットされます。ユーザーのパスワード期限が過ぎると、POP, IMAP, SMTP, Webmail, Remote Administrationへのログインは行えなくなります。ただし、ユーザーは、パスワード期限の処理が行われる前に、パスワード変更が行えるよう、WebmailやRemote Administrationへのアクセスは行えます。Outlook, Thunderbirdなどからパスワード変更は行えません。また、多くのメールクライアントは、詳細なエラーメッセージを表示しない場合もあり、管理者がログイン失敗の理由を調査しなくてはならない場合もあります。

指定日数ごとにユーザーのパスワード期限を警告する [xx] 日間経過後 (0 = しない)

パスワードの変更期限が近いアカウントに日別の通知を行います。このオプションはパスワード変更の何日前からユーザーへ通知するかを指定するのに使用します。

パスワードの履歴を記憶する (0=しない)

MDaemonが記憶するユーザー毎の古いパスワードの数をここで指定します。ユーザーがパスワードを変更する際、古いパスワードの再利用は、ここで指定した回数分できなくなります。オプションはデフォルトで0 (記憶しない）設定となっています。

復号化のできない暗号化方式を使ってパスワードを保存する

メールボックスのパスワードを復元できない暗号化方式で暗号化し保管するにはこのオプションを有効にして下さい。これにより、パスワードはMDaemon、管理者、攻撃者の誰からも復元できなくなります。これを有効にすると、MDaemonはbcryptパスワードハッシュを使用します。これは今までよりも長いパスワード（72文字まで）を許可しており、アカウントのエクスポートやインポートの際には、パスワAPOP & CRAM-MD5認証や弱いパスワード検出などMDaemonによって復元する機能がある場合もあり、この機能との互換性はありません。復元できないパスワードはデフォルトで有効です。

脆弱なパスワード

MDaemonはサードパーティーサービスが提供する脆弱なパスワード一覧を使ってユーザーパスワードを確認します。この確認はパスワードをサービスへ配信する事なく行う事ができ、ユーザーのパスワードが一覧に存在していた場合であっても、パスワードがハッキングされたという事ではありません。これは、どこかの誰かが同じ文字列をパスワードに使用していた事があり、悪用された事がある事を示唆しています。公開されているパスワードは辞書攻撃でハッカーが使用している場合もあり、使用された事のないパスワードの利用はより安全です。Pwned Passwordsにて詳細をご覧頂けます。

サードパーティーの脆弱なパスワードリストにあるパスワードの使用は許可しない

脆弱なパスワード一覧の中の文字列をパスワードとして使用する事を許可しない場合はこのオプションを有効にしてください。

ログイン時に脆弱なパスワードを確認し脆弱な場合には都度警告メールを送信する [xx] 日経過後 (0 = 送信しない)

このオプションを使用すると、各ユーザーのパスワードが、指定日数毎に、ユーザーがログインするタイミングで脆弱なパスワード一覧に該当しないか確認されます。脆弱なパスワードを使用していた場合、警告メールがアカウントとpostmaster宛に送信されます。警告メールの本文は\MDaemon\App　フォルダの中のテンプレートを編集しカスタマイズできます。ユーザーのパスワード変更方法は、パスワードをMDaemonが保持しているのかActive Directoryが保持しているのかにより異なるため、 CompromisedPasswordMD.dat と CompromisedPasswordAD.dat の2種類のテンプレートを用意しています。マクロはメールの個別設定や件名、あて先の変更などに使用する事ができます。

 

Appパスワード

Appパスワード とは、メーラーやアプリで使用する、非常に強力なランダム生成されたパスワードで、メールアプリケーションのような2段階認証 (2FA)を使用できない場合であっても、これをより安全に利用するためのものです。 参照: Appパスワード.

Appパスワードを有効にする

デフォルトで、全ユーザーはWebmailへ2段階認証でログインすればAppパスワードを使用できます。ユーザーのAppパスワードの利用を許可しない場合は、ユーザーのWebサービスページにある ...appパスワードの編集 オプションを無効化する事ができます。

Appパスワードの設定に2段階認証を必須とする

デフォルトで、新しいAppパスワードを作成するには、Webmailへ2段階認証 (2FA) でサインインする必要があります。この要件を無効にするのはお勧めしません。全体管理者 は、MDRAにおけるこの要件からは除外されていますが、MDRAやWebmailへのサインインには、毎回2FAを使用する事をお勧めします。

 

参照:

アカウントエディタ » アカウントの詳細

アカウントエディタ » ウェブサービス

アカウントエディタ » Appパスワード

正規表現