Sophos Mailflow の設定
Sophos Mailflow を使用すると、DNS レコードと MX レコードを変更せずに、Sophos Email Security を Microsoft 365 (旧称: Office 365) のメールドメインと統合できます。
Sophos Gateway を使用してオンプレミスのメールシステムおよび Microsoft 365 以外のドメインに接続する手順については、 Sophos Gateway の設定を参照してください。
注
問題を回避するには、 Sophos Mailflow と Sophos Gateway の両方のメール処理モードを同じドメインに設定しないでください。ドメインのモードを切り替える場合は、新しいモードを設定した後で、以前のモードの設定を削除します。
はじめに
Sophos Mailflow を設定する前に、次の点を理解しておくことが重要です。
-
Microsoft 365 セキュリティ機能
マイクロソフトの既定でセキュリティ保護される機能では、受信したメッセージに悪意のあるものとしてフラグを付け、Sophos Email にルーティングされる前にメッセージを隔離することができます。
これらのメッセージは、Microsoft 365 Defender ポータルから確認して解放できます。
詳細は以下を参照してください。
-
Microsoft 365 ルールとの競合
ソフォスのルールは、Microsoft 365 ドメインにある既存のメールフローのルールよりも優先度が高くなります。これは、まずメッセージの脅威検索が実行されるようにするためです。
既存のルールは、ソフォスのルールが実行された後、これまでと同じ順序で実行されます。
「既存のメールフローのルールが見つかりました」というメッセージが表示されることがあります。これを解決するには、Microsoft 365 ルールとの競合の修正を参照してください。
-
配布リスト (DL)
Microsoft 365 が DL のメールを受信すると、Microsoft 365 はメールを複数のメッセージに分割し、DL の受信者ごとに 1つのメッセージを使用して、Microsoft 365 が Sophos Email にルーティングします。この動作に合わせて Sophos Email ポリシーと設定を作成する必要があります。
-
Sophos EMS モード
EMS モードをオンにすると、この設定を適用することはできません。
Microsoft 365 のメールフローのルール
Sophos Mailflow は、Microsoft API を使用して、Microsoft 365 環境でメールフローのルールを作成します。このようなメールフローのルールによって、メールはソフォスにルーティングされ、その後 Microsoft 365 に戻されます。
含まれているドメイン
Sophos Mailflow では、Sophos Central に追加し、検証済みのドメインからのメールのみがチェックされます。ドメインは、設定する Microsoft 365 コネクタにも追加する必要があります。
たとえば、Microsoft のバックアップドメイン (例: <yourdomain>.onmicrosoft.com
) がある場合、そのドメインからのメールはチェックされません。代わりにユーザーに直接送信されます。
Microsoft 365 のバックアップドメインをオフにするか、Microsoft 365 コネクタの設定にバックアップドメインを追加することを考慮してください。
受信コネクタ
Sophos Mailflow の設定では、Microsoft 365 組織内に受信コネクタが作成されます。一部の Microsoft 365 サブスクリプションは、受信コネクタに対応していません。つまり、Sophos Mailflow の設定は失敗することを意味します。
操作を開始する前に、使用している Microsoft 365 サブスクリプションで、受信コネクタの作成が許可されていることを確認してください。
M365 コネクタを見つけるには、Microsoft 365 管理センターにサインインし、「Exchange管理センター(EAC) > メール フロー >コネクタ」に移動します。
開発者アカウント
Microsoft 開発者アカウントを使用して、Sophos Email Security を Microsoft 365 と統合することはできません。
詳細は、インスタントサンドボックスには、標準の Microsoft 365 E5サブスクリプションとは異なる機能がありますか?を参照してください。
ソフォスの緊急インボックス
Sophos Mailflow は、処理後にユーザーのメッセージを Sophos Central Self Service Portal の緊急インボックスに送信します。Microsoft のサーバーに問題がある場合、Sophos Mailflow は Microsoft からメッセージを受信できないため、緊急インボックスに到達しません。緊急インボックスには、問題が発生するより前に Sophos Mailflow が処理したメッセージのみが保存されます。詳細は、Sophos Central Self Service の設定の管理を参照してください。
TLS
Sophos Mailflow で、トランスポート層セキュリティ (TLS) は、常に Sophos Email と Microsoft 365 の間に適用されます。Microsoft 365 で送受信されるメールが安全になるように、Microsoft 365 で TLS を設定する必要があります。
リアルタイム ブロックリスト
リアルタイム ブロック リスト (RBL) チェックは、メールを受信するプロセスの初期段階 (SMTP コマンドの実行中) で適用されます。これは、RBL チェックが Microsoft 365 によって適用されることを意味します。
Sophos Mailflow の設定
Sophos Mailflow を設定するには、Microsoft 365 管理者である必要があります。
Sophos Mailflow を設定するには、次の手順を実行します。
- 保護するメールボックスを追加する。
-
保護するメールドメインを追加して設定する。
操作方法は、Sophos Email Security を既に使用しているかどうかによって異なります。
-
ポリシーと設定を構成する。
次の動画では、Microsoft 365 メールドメインを Sophos Central に統合するための Sophos Mailflow の設定方法について、詳細なガイドをご覧いただけます。
メールボックスの追加
次の方法で実行できます。
- 自動 (ディレクトリサービスを使用)。Active Directory と Microsoft Entra ID を使用できます。ディレクトリサービスの詳細、および設定方法の手順については、ディレクトリサービスを参照してください。
- GUI で手動で追加する。
- 手動 (CSV ファイルを使用)。
Microsoft 365 グループを使用してメールボックスのサブセットを保護する場合は、ドメインに接続する前にグループを設定する必要があります。詳細は、Microsoft 365 メールグループを参照してください。
Microsoft ポップアップへの同意
ドメインを追加して設定する際、Microsoft テナントにアクセスするためのパーミッションを、ソフォスのアプリケーションに許可する必要があります。
これには、ブラウザで Microsoft のポップアップに同意する必要があります。ポップアップブロッカーを無効にしたり、Microsoft ドメインを例外に指定したりすることが必要になる場合があります。
正しいドメインにサインインできる必要もあります。別のドメイン用のサインインの認証情報がブラウザに保存されている場合は、シークレットウィンドウやプライベート ブラウジング ウィンドウを使用してください。
ドメインの追加と設定
実行する手順は、Sophos Email Security を既に使用しているかどうかによって異なります。
Sophos Gateway 用の Microsoft 365 ドメインが未設定の場合は、次の手順を実行します。
- Sophos Central で、「マイプロダクト > 全般設定」の順に選択します。
- 「M365 メールフローのドメインの設定/状態」をクリックします。
- 「M365 メールフローのドメインとポリシーの設定」をクリックします。
- Active Directory を同期していない場合は、今すぐ同期してください。ユーザーとメールボックスを既に同期済みの場合は、「次の手順に進む」をクリックします。
-
「ドメインの追加」で、ドメインの詳細を入力し、「M365 メールフローの設定」をクリックします。
注
ドメインのメールボックスの一部を保護するには、Microsoft 365 で新しいグループを作成し、保護するメールボックスを追加します。ユーザーとグループを同期すると、このグループもインポートされます。詳細は、Microsoft 365 メールグループを参照してください。
-
手順に従って、ドメインとメールフローのルールを設定します。ドメインを追加すると、認証およびパーミッションの許可のために Microsoft にリダイレクトされます。必要なアプリケーション、およびメールフローのルールを作成するには、このようなパーミッションを許可する必要があります。
ドメインの移行または追加が完了すると、ドメインのリストが表示された「M365 メールフローのドメインの設定/状態」画面が表示されます。
-
このようなドメインのメールフローのルールを設定するには、「接続」をクリックして、指示に従います。
ドメインを認証し、パーミッションを許可するために、Microsoft にリダイレクトされます。
Microsoft 365 環境で、Microsoft 365 コネクタ、および必要なアプリケーションとメールフローのルールを作成するには、これらのパーミッションを許可する必要があります。
注
パーミッションを許可した場合、コネクタの作成プロセスには最大 10分かかることがあります。
Microsoft 365 ドメインにメールフローのルールが既に設定されている場合は、「既存のメールフローのルールが見つかりました」というメッセージが表示されます。これに対処するには、Microsoft 365 ルールとの競合の修正を参照してください。
Sophos Mailflow による保護の設定が完了すると、「成功」メッセージが表示されます。
-
Sophos Mailflow の設定を確認するには、「クイックテストの実行」をクリックします。テストメッセージを受信するメールアドレスを入力します。テストには数分かかることがあります。
警告
接続の設定後も、Microsoft はバックグラウンドで他の接続とリソースを作成し続けることがあります。クイックテストに失敗した場合は、少なくとも 15分待ってから再実行し、その後でトラブルシューティングを開始してください。詳細は、Sophos Mailflow のトラブルシューティングを参照してください。
ドメインは、「M365 メールフローのドメインの設定/状態」で、緑のチェックマーク付きで表示されます。
Microsoft 365 ドメインで既に Sophos Gateway を使用していて、新しいドメインで Sophos Mailflow ルールを設定したり、既存のドメインを Sophos Mailflow に移行したりする場合は、次の手順を実行します。
- Sophos Central で、「マイプロダクト > 全般設定」の順に選択します。
- 「M365 メールフローのドメインの設定/状態」をクリックします。
-
次に表示される画面で、次のいずれかの手順を実行します。
- ドメインを Sophos Gateway から Sophos Mailflow に移行する場合は、「既存の M365 ドメインのコピー」をクリックします。選択を確認した後、検出された Microsoft 365 ドメインがコピーされます。
- Sophos Mailflow で使用するドメインをはじめて追加する場合は、「M365 メールフローのドメインとポリシーの設定」をクリックし、指示に従います。
-
ドメインの移行または追加が完了すると、ドメインのリストが表示された「M365 メールフローのドメインの設定/状態」画面が表示されます。
-
このようなドメインのメールフローのルールを設定するには、「接続」をクリックして、指示に従います。
ドメインを認証し、パーミッションを許可するために、Microsoft にリダイレクトされます。
Microsoft 365 環境で、Microsoft 365 コネクタ、および必要なアプリケーションとメールフローのルールを作成するには、これらのパーミッションを許可する必要があります。
注
パーミッションを許可した場合、コネクタの作成プロセスには最大 10分かかることがあります。
Microsoft 365 ドメインにメールフローのルールが既に設定されている場合は、「既存のメールフローのルールが見つかりました」というメッセージが表示されます。これに対処するには、Microsoft 365 ルールとの競合の修正を参照してください。
Sophos Mailflow による保護の設定が完了すると、「成功!」メッセージが表示されます。
-
Sophos Mailflow の設定を確認するには、「クイックテストの実行」をクリックします。テストメッセージを受信するメールアドレスを入力します。テストには数分かかることがあります。
警告
接続の設定後も、Microsoft はバックグラウンドで他の接続とリソースを作成し続けることがあります。クイックテストに失敗した場合は、少なくとも 15分待ってから再実行し、その後でトラブルシューティングを開始してください。詳細は、Sophos Mailflow のトラブルシューティングを参照してください。
ドメインは、「M365 メールフローのドメインの設定/状態」で、緑のチェックマーク付きで表示されます。
既存のドメインを移行した場合は、メールフローのルールが機能していることを確認してから、各ドメインの Sophos Gateway 設定を削除してください。この際、ソフォスを指定する MX レコードの削除が必要になる場合もあります。詳細は、重複したスキャンの防止を参照してください。
ポリシーと設定の構成
「マイプロダクト > Email Protection > ポリシー」を参照して、「Email Security」および「データコントロール」ポリシーを設定、編集、削除します。
「マイプロダクト > Email Protection > 設定」を参照して、「メールセキュリティ」を設定、編集、削除します。
Sophos Gateway 接続の削除
既存のユーザーで、これまで Sophos Gateway に接続されていたドメインに Sophos Mailflow を接続した場合は、Sophos Gateway への接続をできるだけ早く切断することを推奨します。この際、ソフォスを指定する MX レコードの削除が必要になる場合もあります。
Sophos Gateway 接続を切断して削除しないと、メッセージが 2度スキャンされる可能性があります。詳細は、重複したスキャンの防止を参照してください。
その他のリソース
Sophos Email Security の設定方法について説明する動画を視聴できます。