コンテンツにスキップ

Google Workspace の設定

ここでは、Sophos Gateway 経由でメールがルーティングされるように Google Workspace (旧称、G Suite) を設定する方法について説明します。

ドメインの追加と所有権の確認

ドメインのメールを処理・配信するように Sophos Gateway を設定するには、次の情報が必要です。

  • メールのドメイン名。
  • Google Apps の MX レコード。詳細は、Google Workspace の MX レコードの値を参照してください。
  • メール配信の宛先ホストで、SMTP トラフィックの待機に使用されるポート番号。

Sophos Central でドメインを追加するには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. マイプロダクト > 全般設定 > ドメインの設定/状態」の順に選択します。
  3. ドメインの追加」をクリックします。
  4. メールのドメインの詳細を入力します。
  5. 配信の宛先を設定します。

    配信の宛先とポートのフィールドには、MX の値、および、ポート 25 に「routing-mx.<yourdomain.com>」と入力します。ルーティング用の MX 値は、ドメインの所有権を確認後に設定します。

  6. 次に、「ドメイン所有者の検証」をクリックします。

  7. ドメイン所有者の検証」ダイアログに表示される TXT 値をコピーします。

    この値は、メールドメインに固有の値です。

  8. (ステップ 5 で入力した) ドメイン名のルートレベルに TXT DNS レコードを作成し、1つ前の手順でコピーした TXT 値を貼り付けます。表示されている名前と同じ TXT 名を付けるか、「@」を指定できます。

  9. 新しい TXT DNS レコードのエントリを保存したら、「検証」をクリックします。

正しい TXT 値で更新された DNS が反映されたら、ドメインの確認に成功したことを示すメッセージを受信します。

DNS の更新内容が反映されていない場合や誤った値が入力された場合は、失敗メッセージを受信します。入力した値が正しいことを確認してください。

ドメインの確認が完了するには、多少時間がかかる可能性があります。

Google Workspace 配信用ルーティング MX レコードの設定

Sophos Gateway と Google Workspace 間の受信接続に対してフェールオーバーを提供するには、メールドメインの新しいサブドメインに、新しい MX レコードを設定する必要があります。

この例では、次のような形式のレコードを使用することを推奨します。routing-mx.<yourdomain.com>

この設定は、メール配信のための MX レコードをドメイン上で設定する手順とは異なります。ここで説明するレコードを追加しても、まだ、メールトラフィックには何も影響を与えません。レコードは、Sophos Email で設定済みの配信の宛先用に使用されるだけです。

設定方法は、各 DNS プロバイダによって異なります。通常、種類に「MX」、ホスト名に「routing-mx」と入力し、Google の説明にあるように参照先および優先値を入力します。

  • 2023年より前に Google Workspace にサインアップした場合、 ASPMX.L.GOOGLE.COM を優先度が最も高いレコードとしてを設定する必要があります。

    "2023年以前の Google Workspaceサインアップの MX レコードの例"。

  • 2023年以降に Google Workspace にサインアップした場合は、SMTP.GOOGLE.COM をポイントするエントリのみが必要です。

この手順をスキップして、配信の宛先として、直接 ASPMX.L.GOOGLE.COM が参照されるように設定することもできます。しかし、この場合、ASPMX.L.GOOGLE.COM への接続問題が発生しても、メールは Google の別の MX サーバーには配信されません。

メールボックスの追加

次に、メールボックスを Sophos Email Security に追加できます。詳細は、メールボックスの追加を参照してください。

メールボックスを追加したら、Google Workspace 環境の設定を続行します。

ソフォスの IP アドレスのみに配信を制限する方法

ソフォスの配信 IP のみが使用されるように、メールホストへの接続を設定できます。

配信 IP アドレスを制限すると、Sophos Email とメールホストとの統合のセキュリティレベルを向上できます。

警告

組織のメール設定に変更を加える前に、メールトラフィックとドメインの設定を運用環境やテスト環境でテストすることを強く推奨します。

使用する必要のある配信 IP アドレスは、Sophos Central アカウントがホストされている地域に依存します。Sophos Central アカウントを作成した際、データを保存する国を指定しました。

警告

また、メールサーバーの IP 許可リストに ソフォスの IP アドレスも追加する必要があります。追加しないと、ユーザーはメールを受信できません。

使用する IP アドレスを確認するには、Sophos Email ゲートウェイの IP アドレスを参照してください。

警告

該当する地域の IP アドレス以外の IP アドレスを使用すると、メールが正しく配信されなくなります。

Google メールサーバーからの DMARC エラー

メールポリシーで、「クリック時の URL 保護」または「エンドユーザーメッセージの設定」をオンにした場合、受信メッセージに対して DMARC エラーが報告されることがあります。

これは、ゲートウェイの IP リストにある IP アドレスからのメールを、Google が一貫して処理しないことが原因です。

Google のドキュメントには、次のような記述があります。「Gmail では、ゲートウェイの IP リストに含まれる IP アドレスから届くメールに対しては SPF 認証が行われません。受信ゲートウェイで DMARC 認証を行う必要がありますが、リストに登録されているホストからの受信メールについては DMARC 認証が省略されます。」詳細は、受信メールのゲートウェイを設定するを参照してください。

ソフォスが行ったテストでは、これが実行されない場合があることがわかっています。DMARC チェックを実行すべきでない環境で、Google は、一部のメールに対して DMARC エラーを報告しています。ソフォスは、この問題を Google に報告しました。

Google Workspace での受信ゲートウェイの作成

ここでは、Sophos Gateway を使用してメールをフィルタリングし、MX レコードでソフォスを直接指定しているため、Google Workspace への配信を、ソフォスの配信 IP のみに制限することを推奨します。

ここにある手順は、Google のヘルプページ、受信メールのゲートウェイを設定するを基にしています。メールの設定を変更する前に、最新の情報を Google のヘルプで確認することを推奨します。

この設定を行うには、次の手順を実行します。

  1. Google 管理コンソールにサインインします。
  2. 管理コンソールで、 [メニュー > アプリ > Google Workspace > Gmail > 迷惑メール、フィッシング、不正なソフトウェア」の順に選択します。
  3. 左側で、最上位の組織を選択します。これは通常お客様のドメインです。
  4. 受信ゲートウェイ」までスクロールし「編集」をクリックします。
  5. 受信ゲートウェイの説明を、Sophos Email Inbound Gateway などのように入力します。
  6. ゲートウェイの IP」で、 「追加」をクリックします。
  7. IP アドレスまたは範囲を追加」に、 お住まいの地域に対応する Sophos Gateway IP を入力し、 「保存」をクリックします。

    (任意) Google のサーバーの IP アドレスを追加することもできます。Google の IP アドレスが、Google によってブロックされることがあるといわれています。最新の Google の IP アドレスのリストは、Google の IP アドレス範囲を取得するを参照してください。

  8. 次のオプションをオンにします。

    • 外部 IP を自動検出 (推奨)
    • ゲートウェイの IP を経由しないメールをすべて拒否する
    • 上記のメール ゲートウェイからの接続では TLS を必須とする
  9. 保存」をクリックします。

変更が適用されるまで最長 24時間かかることがあります。

Google からドメインを購入した場合は、Google が提供するデフォルトの DNS レコードを編集できないため、カスタムレコードを設定する必要があります。詳細は、サードパーティの DNS ホストで Google Workspace を設定するを参照してください。

任意の手順で Google の IP アドレスを追加した場合でも、Google の IP アドレスが Google によってブロックされることがあります。この場合は、次のメッセージが表示されます。

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

Google の推奨ソリューションは、「ゲートウェイの IP から届いたものではないメールはすべて拒否する」をオフにすることです。問題が解決するまで、一時的にこれを実行することを推奨します。この設定がオフになっていると、MX ルックアップを使用していないメール送信者は、メールをメールゲートウェイに直接ルーティングできます。

Sophos Gateway が指定されるように MX レコードを変更する方法

Sophos Gateway が指定されるようにドメインの MX レコードを変更することで、正常に導入を行い、すべてのメールが確実にフィルタリング/配信されるようになります。

このような変更を実行できない場合は、IT 部門、ホスティングのプロバイダ、ISP、または DNS プロバイダに連絡して、社内ドメインの MX レコードの変更を依頼してください。

Sophos Central アカウントを作成した際、データの保存場所として地域を指定しました。MX レコードは、この指定した地域に依存します。

MX レコードを変更して、データの保存先に指定した地域に関連付けられているレコード値が含まれるようにします。

使用する MX レコードを確認するには、ソフォスの MX レコードを参照してください。

オプションを指定する際、スペルや数字に誤りがないことを確認してください。

ここにある MX レコードの値以外の値を使用すると、メールが正しく配信されなくなります。

MX レコードなどの DNS エントリを変更する場合、TTL (Time To Live) の値を、前もって 600ミリ秒以内に変更しておくことを推奨します。これによって、すばやく変更が反映されるだけでなく、テスト中に問題が発生した際には迅速に変更を元に戻すことができます。

内部メッセージ用 Google Workspace ルールの作成

デフォルトで、すべてのメッセージは、受信 MX レコードで設定されている宛先を使用して Sophos Gateway に送信されます。内部メッセージを代わりに Google サーバーに送信する場合は、Google Workspace でルーティングルールを作成する必要があります。

次の手順は、Google の Gmail の高度な配信設定 (メールルートの追加) ヘルプページを基にしています。メールの設定を変更する前に、最新の情報を Google ヘルプで確認することを推奨します。

ルールを作成するには、次の手順を実行します。

  1. Google 管理コンソールにサインインします。
  2. 管理コンソールで、 [メニュー > アプリ > Google Workspace > Gmail > ホスト」の順に選択します。
  3. ルートを追加」をクリックします。
  4. Internal Messages など、覚えやすいルートの名前を入力します。
  5. 複数のホスト」を選択します。
  6. プライマリホスト」の詳細を次のように入力します。

    オプション
    ホスト名 aspmx.l.google.com
    ポート 25
    負荷 100%
  7. セカンダリホストの詳細」を次のように入力します。

    オプション
    ホスト名 alt1.aspmx.l.google.com
    ポート 25
    負荷 100%
  8. セキュアなトランスポート (TLS) を使用する (推奨)」を選択し、「CA 署名済み証明書を使用する (推奨)」を選択します。

  9. SAVE」をクリックします。
  10. アプリ > Google Workspace > Gmail > ルーティング」を参照します。
  11. ルーティング」設定までスクロールし、次のいずれかの操作を行います。

    • まだルールを設定していない場合は、 「設定」をクリックします。
    • 既にルールを設定している場合は、「別のルールを追加」をクリックします。
  12. ルーティング設定の名前を入力します (例: Internal Emails Route Rule)。

  13. 影響を受けるメール」で、 「内部 - 送信」を選択します。
  14. 手順 2で、ドロップダウンリストから「メッセージを変更」を選択し、「ルートを変更」を選択します。
  15. オプションを表示」をクリックし 、次のアカウントの種類が選択されていることを確認します。

    • ユーザー
    • グループ
  16. オプション C 「エンベロープフィルタ」で、「特定のエンベロープ送信者のみを適用する」を選択し、 ドロップダウンリストから「パターン一致」を選択して、 「正規表現」フィールドにドメインを入力します。例: example.com

  17. SAVE」をクリックします。

    変更が適用されるまで最長 24時間かかることがあります。変更は、Google Workspace の管理者の監査ログで追跡できます。

メールフローのテストと確認

MX レコードを更新したら、Sophos Gateway で保護されているメールボックスのいずれかにテストメールを送信します。テストメールは、社外のメールドメインから送信してください。

メッセージが Sophos Gateway 経由で配信されることを確認するには、「メッセージの履歴」レポートを参照します。

レポートにアクセスするには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. レポート > メッセージの履歴」を参照します。

    メッセージが Sophos Email 経由で配信されている場合、このレポートにエントリが表示されます。

経由していない場合は、テスト用受信トレイにメールが配信されていないことを意味します。次の手順を実行します。

  1. MX レコードが、該当する地域に適したものであることを確認します。
  2. ゲートウェイ、ファイアウォール、またはコネクタで、ソフォスの配信 IP が正しく設定されていることを確認します。
  3. 宛先のメールボックスが Sophos Email Security で存在することを確認します。

この手順すべてを行っても、該当するドメインにメールが配信されない場合は、ソフォスサポートにお問い合わせください。