セキュア メッセージ ポリシー
セキュア メッセージ ポリシーを使用して、メールを保護し、セキュリティで保護された受信メールにユーザーがアクセスする方法を制御できます。
ユーザー、ユーザーグループ、またはドメインごとに異なるルールを適用すできます。組織内のユーザーとドメインだけでなく、外部のユーザーとドメインをポリシーに追加することもできます。
セキュア メッセージ ポリシーは、Sophos Central の他のポリシーと同様の方法で使用します。詳細は、ポリシーの作成/編集を参照してください。
ソフォスで使用しているセキュリティ方法とその相互作用の詳細は、安全なメッセージ方法を参照してください。
ポリシーのクローンを作成することもできます。詳細は、ポリシーの複製を参照してください。
移行ポリシー
セキュア メッセージ ポリシーは、メッセージのセキュリティ設定を制御するために、「全般設定」で使用可能だったオプションを置き換えます。
移行した際、「全般設定」から、TLS 設定と暗号化設定を含む新しいセキュア メッセージ ポリシーが作成されました。保護対象のユーザーとドメインは、移行ポリシーに追加されました。
作成された新しいポリシーは、「マイプロダクト > Email Protection > ポリシー > セキュアメッセージ」で確認できます。ポリシー名はすべて「移行済み」ではじまり、置き換えた設定の内容について説明します。
これで移行が完了しました。次に、ポリシーを編集、削除、または結合できます。必要に応じて、名前から「移行済み」を削除して、名前を変更することもできます。
セキュア メッセージ ポリシーの作成
セキュア メッセージ ポリシーを作成するには、次の手順を実行します。
- 「マイプロダクト > Email Protection > ポリシー」を参照します。
- 「ポリシーの追加」をクリックします。
- 「セキュアメッセージ」を選択して、「続行」をクリックします。
- ポリシー名を入力します。
-
ポリシーの「内部」ユーザー、グループ、またはドメインを追加します。
ポリシーは、ユーザー、グループ、またはドメインのいずれかのリストにあるユーザーに適用されます。ユーザーの名前にカーソルを合わせると、ユーザーのメールアドレスが表示されます。
-
必要に応じて、ポリシーの「外部」ユーザーおよびドメインを追加します。
このポリシーは、内部ユーザー、グループ、またはドメインリストのアカウントが、外部リストのアドレスまたはドメインにメッセージを送信する場合に適用されます。詳細は、外部のユーザーとドメインを参照してください。
-
「設定」をクリックし、「受信」または「送信」を選択します。
受信メッセージの設定を変更するには、次の手順を実行します。
- 「受信メッセージの保護」をオンにします。
-
「メッセージを保護する方法を選択します」で、次のいずれかを選択します。
- TLS で保護
- S/MIME で保護
-
選択したセキュリティ方法に基づいて、次のいずれかを実行します。
-
TLS を選択した場合は、次のいずれか 1つを選択します。
- 優先する TLS 1.3: 送信者が TLS 1.3 に対応していない場合、TLS 1.2 が使用されます。送信者が TLS 1.2 にも対応していない場合、暗号化されていない配信がオンになっていない限り、メッセージは拒否されます。
- 必須 TLS 1.3: 送信者が TLS 1.3 に対応していない場合、メッセージは拒否されます。
- 必須 TLS 1.2: 送信者が TLS 1.2 に対応していない場合、メッセージは拒否されます。
注
送信者が TLS に対応していない場合、 暗号化されていない配信を許可できます。
警告
「必須 TLS 1.3」または 「必須 TLS 1.2」を選択した場合、選択したバージョン以外のすべての TLS バージョンを介したメール通信が停止されます。
TLS 1.3 の使用を試行し、必要に応じて TLS 1.2 に切り替える、「優先する TLS 1.3」を推奨します。これはより柔軟で、メッセージ交換の断絶を引き起こす可能性が低くなります。
デフォルトでは、TLS 接続が可能な場合は常に TLS を介してメッセージを送信することで、メッセージを保護しようとします。
-
S/MIME を選択した場合は、メッセージの検証と復号化を選択できます。
受信メッセージの S/MIME の詳細は、受信メッセージの処理を参照してください。
-
-
ポリシーをオンまたはオフにするには、「ポリシーの状態: 適用済み」をクリックします。
注
ポリシーを無効にする日付と時刻を設定することもできます。
-
「保存」をクリックします。
新しいポリシーがリストに表示されます。
送信メッセージの設定を変更するには、次の手順を実行します。
- 「送信メッセージの保護」をオンにします。
-
「メッセージを保護する方法を選択します」で、次のいずれかを選択します。
- TLS で保護
- S/MIME で保護
-
Push Encryption
- メッセージ全体を暗号化
- 添付ファイルのみを暗号化
-
Portal Encryption
ポータル暗号化を使用するには、Sophos Email Portal Encryption アドオンライセンスが必要です。また、セキュア メッセージ ポリシーを作成する必要があります。
注
送信メッセージの場合は、「データコントロール」ポリシーで「Push Encryption」と「Portal Encryption」を設定できます。送信暗号化が データコントロール ポリシーで設定されている場合、 送信メッセージのセキュアメッセージポリシーで指定されている暗号化方式が上書きされます。詳細は、データコントロール ポリシーを参照してください。
-
選択したセキュリティ方法に基づいて、次のいずれかを実行します。
-
TLS を選択した場合は、優先する TLS バージョンを選択します。
注
-
受信者が TLS に対応していない場合は、次の 2つのオプションがあります。
- 暗号化されていない配信を許可する
- プッシュ暗号化を使用する (推奨)
-
セキュリティ上の懸念から、ソフォスでは TLS 1.1 または TLS 1.0 には対応していません。また、TLS 1.3 も TLS 1.2 も対応されていない場合、メッセージは TLS 経由で配信できません。配信の問題を回避するために、「フォールバックしてメッセージ全体をプッシュ暗号化する」を選択することをお勧めします。
送信 TLS 認証の詳細については、TLS 認証を参照してください。
-
-
プッシュまたはポータル暗号化オプションを選択した場合は、受信者に送信する通知および登録メッセージの言語を選択します。
-
S/MIME を選択した場合は、署名してメッセージを暗号化することができます。
送信メッセージの S/MIME の詳細は、受信メッセージの処理を参照してください。
-
-
「保護方法の選択」では、どのメッセージを暗号化するかをユーザーが決定できるようにするか、またはすべてのメッセージを暗号化します。
Office 365 ユーザー用の Sophos Outlook アドインを導入した場合は、セキュリティで保護された送信メッセージに追加される件名タグを設定できます。
件名の先頭にタグが付いているメールはすべて暗号化されますが、その他は暗号化されていません。
警告
セキュア メッセージ ポリシーのデフォルトの件名タグは
secure:
です。このタグでは、ポリシーで指定されている他のタグに関係なく、常に暗号化が開始されます。メールを暗号化するには、デフォルトnoキーワードsecure:
を使用するか、secureTest:
またはsecureFull:
のようなカスタムトリガーを設定することができます。ユーザーがメールの件名に
secure:
を含め、ポリシーが件名タグとメッセージを一致させるように設定されている場合、カスタムトリガーも定義されている場合でも、セキュア メッセージ ポリシーが常に適用されます。カスタムトリガーは指定されているように使用する必要があります。トリガーの一部のみを使用しても暗号化は有効にはなりません。 -
ポリシーをオンまたはオフにするには、「ポリシーの状態: 適用済み」をクリックします。
注
ポリシーを無効にする日付と時刻を設定することもできます。
-
「保存」をクリックします。
新しいポリシーがリストに表示されます。
外部のユーザーとドメイン
ポリシーは、通常のユーザーとドメインにも外部のユーザーとドメインにも適用できます。ポリシーは、受信メッセージと送信メッセージの両方に適用できます。
ポリシーを作成または編集する場合は、「外部」タブをクリックします。
個々のメールアドレスまたはドメインを追加したり、ファイルからインポートしたりできます。リストをポリシーに含める、またはポリシーから除外することができます。デフォルトは、「すべて含める」です。
ポリシーの複製
多数のユーザーに対して同じような変更を行う場合は、ポリシーを複製できます。
複製されたポリシーは、デフォルトでは「ポリシーの状態: 無視」に設定されています。
ポリシーを複製するには、次の手順を実行します。
- 「マイプロダクト > Email Protection > ポリシー」を参照します。
- 複製するポリシーを選択します。
- 「複製」をクリックします。
-
「ポリシーの複製」で、必要に応じて新しいポリシーの名前を編集し、「続行」をクリックします。
新しいポリシーが表示されます。
デフォルトポリシーを複製すると、新しいポリシーにはユーザー、グループ、またはドメインは含まれません。複製されたポリシーを使用する前に、これらを選択する必要があります。
-
「保存」をクリックします。
- 複製されたポリシーが正しいことを確認し、「ポリシーの状態: 無視 > ポリシーの状態: 適用済み」の順にクリックしてオンにします。
デフォルトでは、複製されたポリシーは元のポリシーよりも優先されます。優先度は変更できます。詳細は、ポリシーの優先順位について を参照してください。