TLS 接続の使用
トランスポート層セキュリティ (TLS) 接続をメールで使用することができます。
TLS 接続に問題がある場合は、 TLS が有効になっていることを確認し、正しいバージョンと暗号化の設定が使用されていることを確認してください。それでも問題が解決しない場合は、Sophos Email のサポートにお問い合わせください。
メール暗号化の詳細は、安全なメッセージ方法を参照してください。
注
メールゲートウェイで TLS 1.3 が有効になっていることを確認してから、任意のドメインで TLS 1.2 を施行してください。そうしないと、ソフォスとの接続が切断され、メールの送受信ができなくなります。必要な暗号鍵は、「TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL」です。
TLS エラー
「Sophos Email」が TLS 接続を確立できない場合、メールは送信されません。メールは再配信のために、7日間キューに追加されます。その後、削除されます。
TLS 接続エラーのログ
TLS エラーが原因で「Sophos Email」がメールを送信できない場合は、そのたびに、履歴ログにエントリが作成されます。
最後のエラー発生後、TLS ポリシーに従ってメールが削除されたことを示すエントリがログに追加されます。エントリの形式は次のとおりです: "Processing: Check TLS"。
ソフォスの TLS 証明書の詳細
ソフォスの TLS 接続で使用される証明書の詳細は次のとおりです。
| パラメータ | 値 |
|---|---|
| 一般名(CN) | *.api-upe.p.hmr.sophos.com |
| SAN | DNS:*.api-upe.p.hmr.sophos.com、DNS:*.prod.hydra.sophos.com、DNS:api-upe.p.hmr.sophos.com |
| 組織 | SOPHOS LIMITED |
| ロケーション | C=GB、ST=Oxfordshire、L=Abingdon, |
| シリアル番号 | 42:05:5f:21:c1:9b:e9:f0:e8:8a:bb:0c |
| 署名アルゴリズム | sha256WithRSAEncryption |
| 発行元 | C=BE、O=GlobalSign nv-sa、CN=GlobalSign RSA OV SSL CA 2018 |
TLS 1.0 および 1.1 のサポート終了
2024年1月1日以降、Transport Layer Security (TLS) 1.0 および 1.1 プロトコルは、受信および送信のメール配信でサポートされなくなりました。TLS versions 1.0 and 1.1 will be disallowed を参照してください。
TLSv1.0 と TLSv1.1 はどちらもセキュリティ攻撃に対して脆弱であるため、多くのサーバーからこれらのバージョンの使用が削除されています。
影響を受けるユーザー
現在、メールサーバーで TLS バージョン 1.0 および 1.1 を使用しているすべてのお客様には、これらのバージョンがオフになっていない場合、TLS 配信失敗エラーが発生する可能性があります。
説明・対策
リスクを軽減するには、次の手順を実行します。
- メールサーバーが TLSv1.0 または TLSv1.1 のみに制限されていないことを確認してください。
- メールサーバーで TLSv1.0 または TLSv1.1 がオフになっていることを確認します。
-
Sophos Email でサポートされている、TLSv1.2 または TLSv1.3 などの推奨 TLS バージョンを使用します。
推奨される TLS バージョンの詳細については、TLS 認証を参照してください。
メールサーバーの設定に失敗すると、メール通信が中断されます。