コンテンツにスキップ

Microsoft 365 の設定

ここでは、Sophos Gateway 経由でメールがルーティングされるように Microsoft 365 を設定する方法について説明します。

Microsoft 365 (旧称: Office 365) の詳細は、Microsoft 365 ドキュメントを参照してください。

ドメインの追加と所有権の確認

ドメインを追加する必要があります。

ドメインのメールを処理・配信するように Sophos Email Security を設定するには、次の情報が必要です。

  • メールのドメイン名。
  • FQDN (Fully Qualified Domain Name) または IP アドレスで指定したメール配信の宛先ホスト。
  • メール配信の宛先ホストで、SMTP トラフィックの待機に使用されるポート番号。通常、これはポート 587 です。

Office 365 の FQDN は、次のようにして参照できます。

  • Office ポータルにログインします。
  • ドメイン」を選択します。
  • 該当する MX レコード用の値をコピーします。

    形式は、通常、次のとおりです: <yourdomain-com>.mail.protection.outlook.com

Sophos Central でドメインを追加するには、次の手順を実行します。

  1. メールセキュリティ > 設定」をクリックします。
  2. ドメイン設定/ステータス」をクリックします。
  3. ドメインの追加」をクリックします。
  4. メールドメインの詳細、トラフィックの方向、および配信の宛先の詳細を入力します。
  5. 次に、「ドメイン所有者の検証」をクリックします。
  6. ドメイン所有者の検証」ダイアログに表示される TXT 値をコピーします。

    この値は、メールドメインに固有の値です。

  7. 先ほど入力したドメイン名のルートレベルに TXT DNS レコードを作成し、先ほどコピーした TXT 値を貼り付けます。表示されている名前と同じ TXT 名を付けるか、「@」を指定できます。この手順に関してご不明な点は、ドメイン名を登録した登録機関に連絡してください。

  8. 新しい TXT DNS レコードのエントリを保存したら、「検証」をクリックします。

正しい TXT 値で更新された DNS が反映されたら、ドメインの確認に成功したことを示すメッセージが返されます。

DNS の更新内容が反映されていない場合、または誤った値が入力された場合、失敗メッセージが返されます。入力した値が正しいことを確認してください。

ドメインの確認が完了するには、多少時間がかかる可能性があります。

メールボックスの追加

次に、メールボックスを Sophos Email Security に追加できます。詳細は、メールボックスの追加を参照してください。

メールボックスを追加したら、Microsoft 365 環境の設定を続行します。

Microsoft 365 での Exchange Online Protection のバイパス

Sophos Gateway でスパムフィルタリングを実行し、問題のないメールを Microsoft 365 (旧称: Office 365) に配信している場合、メールをスムーズに配信するためには、Exchange Online Protection (EOP) をバイパスする必要があります。

Exchange Online Protection をバイパスする方法は次のとおりです。

  1. Microsoft 365 ポータルにログインします。
  2. 「管理センター」で、「Exchange」を選択します。
  3. メールフロー」で「ルール」を選択します。
  4. +」をクリックして新しいルールを追加し、メニューで「スパム対策フィルタをバイパスする」を選択します。
  5. 次の値を指定します。

    オプション
    名前 Sophos Central EOP Bypass
    このルールを適用する条件 すべてのメッセージに適用
    次の操作 SCL (Spam Confidence Level) を次の値に設定する...
    このルールを次の重大度レベルで監査する
    このルールのモードの選択 強制
  6. 保存」をクリックしてルールを追加します。

ソフォスの IP アドレスのみに配信を制限する方法

ソフォスの配信 IP のみが使用されるように、メールホストへの接続を設定できます。

配信 IP を制限すると、Sophos Gateway とメールホストとの統合のセキュリティレベルを向上できます。

警告

組織のメール設定に変更を加える前に、メールトラフィックとドメインの設定を運用環境やテスト環境でテストすることを強く推奨します。

使用する必要のある配信 IP は、Sophos Central アカウントがホストされている地域に依存します。Sophos Central アカウントを作成した際、データを保存する国を指定しました。

警告

また、メールサーバーの IP 許可リストに Sophos IP も追加する必要があります。追加しないと、ユーザーはメールを受信できません。

地域 Sophos Gateway の IP
米国 (西部) 52.41.236.76

50.112.39.248

198.154.181.128/26

米国 (東部) 18.220.12.142

18.216.7.10

103.246.251.128/26

ドイツ 52.58.166.242

52.29.100.147

94.140.18.128/26

アイルランド 52.208.126.243

52.31.106.198

198.154.180.128/26

カナダ 85.113.88.128/26
オーストラリア 192.175.3.128/26
日本 198.160.151.128/26

警告

該当する地域の IP 以外の IP を使用すると、メールが正しく配信されなくなります。

Microsoft 365 と Sophos Gateway 間の安全な接続の設定

Sophos Gateway への安全な接続を設定する必要があります。

ここでは、Sophos Gateway を Microsoft 365 に接続する手順について説明します。Sophos Mailflow を Microsoft 365 に接続する手順については、Sophos Mailflow の設定を参照してください。

次の手順は、Microsoft の Exchange Online ヘルプページのパートナー組織とセキュリティで保護されたメール フロー用のコネクタを設定 Exchange Online を基にしています。メールの設定を変更する前に、最新の情報を Microsoft のヘルプで確認することを推奨します。Microsoft 365 と、旧称である Office 365 の両方の名称が使用されている場合があります。

安全な接続を設定する方法は次のとおりです。

  1. Microsoft 365 (旧称: Office 365) 管理センターにログインします。
  2. Exchange」、「Exchange 管理センター」の順にクリックします。
  3. メールフロー」、「コネクタ」の順にクリックします。「コネクタ」画面が表示されます。
  4. +」をクリックして、新しいコネクタを追加します。
  5. 差出人」フィールドで、「パートナー組織」を選択します。
  6. 宛先」フィールドで、「Office 365」を選択します。
  7. 次へ」をクリックします。
  8. コネクタの名前を入力します。「Sophos Email コネクタ」と入力することを推奨します。
  9. 説明を入力します (任意)。
  10. 保存後、直ちにコネクタを有効にする場合は、「オンにする」チェックボックスを選択したままにします。それ以外の場合は、チェックボックスの選択を解除し、後でオンにします。
  11. 次へ」をクリックします。
  12. 送信者のドメインを使用する」を選択します。
  13. +」をクリックして、送信者ドメインを追加します。
  14. *」を入力して、すべての送信者ドメインに設定内容を適用します。
  15. 次へ」をクリックします。
  16. TLS を使って送信されていないメール メッセージを拒否する」および「この IP アドレス範囲から送信されていないメール メッセージを拒否する」を選択します。
  17. +」をクリックして、送信者の IP アドレスを追加します。
  18. 該当する地域の Sophos Email Security 配信 IP アドレスをここに入力します。

    使用する IP アドレスについては、ソフォスの IP アドレスのみに配信を制限する方法を参照してください。

  19. 次へ」をクリックします。

  20. 新しいコネクタの設定を確認した後、「保存」をクリックします。

この方法でコネクタを設定した場合、Sophos Central の IP アドレスから送信されるメールのみが Office 365 で許可されます。

Sophos Gateway が指定されるように MX レコードを変更する方法

Sophos Gateway が指定されるようにドメインの MX レコードを変更することで、正常に導入を行い、すべてのメールが確実にフィルタリング/配信されるようになります。

このような変更を実行できない場合は、IT 部門、ホスティングのプロバイダ、ISP、または DNS プロバイダに連絡して、社内ドメインの MX レコードの変更を依頼してください。

Sophos Central アカウントを作成した際、データの保存場所として地域を指定しました。MX レコードは、この指定した地域に依存します。

MX レコードを変更して、データの保存先に指定した地域に関連付けられているレコード値が含まれるようにします。

地域 MX レコード
米国 (西部) 10, mx-01-us-west-2.prod.hydra.sophos.com

20, mx-02-us-west-2.prod.hydra.sophos.com

米国 (東部) 10, mx-01-us-east-2.prod.hydra.sophos.com

20, mx-02-us-east-2.prod.hydra.sophos.com

ドイツ 10, mx-01-eu-central-1.prod.hydra.sophos.com

20, mx-02-eu-central-1.prod.hydra.sophos.com

アイルランド 10, mx-01-eu-west-1.prod.hydra.sophos.com

20, mx-02-eu-west-1.prod.hydra.sophos.com

カナダ 10, mx-01.eml100yul.ctr.sophos.com

20, mx-02.eml100yul.ctr.sophos.com

日本 10, mx-01.eml100hnd.ctr.sophos.com

20, mx-02.eml100hnd.ctr.sophos.com

オーストラリア 10, mx-01.eml100syd.ctr.sophos.com

20, mx-02.eml100syd.ctr.sophos.com

オプションを指定する際、スペルや数字に誤りがないことを確認してください。

ここにある MX レコードの値以外の値を使用すると、メールが正しく配信されなくなります。

MX レコードなどの DNS エントリを変更する場合、TTL (Time To Live) の値を、前もって 600ミリ秒以内に変更しておくことを推奨します。これによって、すばやく変更が反映されるだけでなく、テスト中に問題が発生した際には迅速に変更を元に戻すことができます。

メールフローのテストと確認

MX レコードを更新したら、Sophos Gateway で保護されているメールボックスのいずれかにテストメールを送信します。正確なテストを行うためには、社外のメールドメインからメールを送信するようにしてください。

メッセージが Sophos Gateway 経由で配信されることを確認するには、「メッセージの履歴」レポートを参照します。

レポートの表示方法は次のとおりです。

  1. 「Sophos Central」で、「ログとレポート」をクリックします。
  2. メッセージの履歴」をクリックします。

    メッセージが Sophos Email 経由で配信されている場合、このレポートにエントリが表示されます。

経由していない場合は (テスト用受信トレイにメールが配信されていないことを意味します)、次の手順を実行します。

  1. MX レコードが、該当する地域に適したものであることを確認します。
  2. ゲートウェイ、ファイアウォール、またはコネクタで、ソフォスの配信 IP が正しく設定されていることを確認します。
  3. 宛先のメールボックスが Sophos Email Security で存在することを確認します。

この手順すべてを行っても、該当するドメインにメールが配信されない場合は、ソフォスサポートにお問い合わせください。

トップへ