コンテンツにスキップ

Microsoft 365 向けの受信メール

ここでは、Sophos Gateway 経由でメールがルーティングされるように Microsoft 365 を設定する方法について説明します。

Microsoft 365 (旧称: Office 365) の詳細は、Microsoft 365 ドキュメントを参照してください。

次の動画では、M365 の Sophos Email 外部依存関係を設定する手順を説明しています。受信設定について説明します。

ドメインの追加と所有権の確認

ドメインの詳細を追加する必要があります。

ドメインのメールを処理・配信するように Sophos Email Security を設定するには、次の情報が必要です。

  • メールのドメイン名。
  • FQDN (Fully Qualified Domain Name) または IP アドレスで指定したメール配信の宛先ホスト。
  • メール配信の宛先ホストで、SMTP トラフィックの待機に使用されるポート番号。

Office 365 の FQDN は、次のようにして参照できます。

  • Office ポータルにログインします。
  • ドメイン」を選択します。
  • 該当する MX レコード用の値をコピーします。

    形式は、通常、次のとおりです: <yourdomain-com>.mail.protection.outlook.com

Sophos Central でドメインを追加するには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. マイプロダクト > 全般設定 > ドメインの設定/状態」の順に選択します。
  3. ドメインの追加」をクリックします。
  4. メールドメインの詳細、トラフィックの方向、および配信の宛先の詳細を入力します。
  5. ドメイン所有者の検証」をクリックします。
  6. ドメイン所有者の検証」ダイアログに表示される TXT 値をコピーします。

    この値は、メールドメインに固有の値です。

  7. 先ほど入力したドメイン名のルートレベルに TXT DNS レコードを作成し、先ほどコピーした TXT 値を貼り付けます。表示されている名前と同じ TXT 名を付けるか、「@」を指定できます。この手順に関してご不明な点は、ドメイン名を登録した登録機関に連絡してください。

  8. 新しい TXT DNS レコードのエントリを保存したら、「検証」をクリックします。

正しい TXT 値で更新された DNS が反映されたら、ドメインの確認に成功したことを示すメッセージを受信します。

DNS の更新内容が反映されていない場合や誤った値が入力された場合は、失敗メッセージを受信します。入力した値が正しいことを確認してください。

ドメインの確認が完了するには、多少時間がかかる可能性があります。

メールボックスの追加

次に、メールボックスを Sophos Email Security に追加できます。詳細は、メールボックスの追加を参照してください。

メールボックスを追加したら、Microsoft 365 環境の設定を続行します。

Sophos Gateway を使用したMicrosoft 365 の設定

Sophos Gateway を使用したMicrosoft 365 を設定するには、次の手順を実行します。

  1. スキップリスト
  2. Microsoft 365 での Exchange Online Protection のバイパス

詳細については、 Exchange Online でサード パーティのクラウド サービスを使用してメール フローを管理するを参照してください。

スキップリスト

Microsoft のドキュメントでは、"スキップリスト" は "コネクタの拡張フィルター処理" とも呼ばれています。

M365 では、ゲートウェイモードで Sophos Email からメッセージを受信するパートナー受信コネクタでスキップリストを設定します。パートナー受信コネクタでスキップリストを設定しないと、M365 によって組織への受信メッセージが誤って分類されます。

詳細については、Exchange Onlineでのコネクタの強化されたフィルター処理を参照してください。

Microsoft 365 での Exchange Online Protection のバイパス

スパムフィルタリングをバイパスするには、トランスポートルールとも呼ばれるメールフロールールを使用します。このオプションは、Exchange Online Protection および Sophos Gateway コントロールのほとんどをバイパスし、二重のウイルス対策チェックも回避します。

Sophos Gateway でスパムフィルタリングを実行し、問題のないメールを Microsoft 365 に配信している場合、Sophos Gateway のフィルタリングとの干渉を回避するために、Exchange Online Protection をバイパスする必要があります。

Exchange Online Protection をバイパスするには、次の手順を実行します。

  1. Microsoft 365 の管理にログインします。
  2. 「管理センター」で、「Exchange」を選択します。
  3. メールフロー」で「ルール」を選択します。
  4. +」をクリックし て新しいルールを追加し、「Modify messages」(メッセージの変更) を選択します。
  5. ルールの条件の設定」で、次の値を設定します。

    • 名前: Sophos Central EOP Bypass と入力します。
    • このルールを適用する場合: 「すべてのメッセージに適用」を選択します。
    • 実行する処理: 「メッセージのプロパティを変更する」および「SCL (スパム信頼度レベル) の設定」を選択します。

      スパム対策フィルターのバイパス」のデフォルト値は「-1」になっているため、「SCL (スパム信頼度レベル) を '-1' に設定する」がメニューに表示されていることを確認してください。

    • 次の場合を除く: 変更は不要です。

      ルールの条件を設定します。

  6. 次へ」をクリックします。

  7. ルールの設定」で、「強制」を選択します。
  8. 重要度」を「」に設定します。
  9. 次へ」をクリックした後、「完了」をクリックしてルールを保存します。

ルールがオンになっていることを確認してください。

ソフォスの IP アドレスのみに配信を制限する方法

ソフォスの配信 IP アドレスのみが使用されるように、メールホストへの接続を設定する必要があります。これによって、Sophos Gateway とメールホストとの統合のセキュリティレベルを向上できます。

警告

組織のメール設定に変更を加える前に、メールトラフィックとドメインの設定を運用環境やテスト環境でテストすることを強く推奨します。

Microsoft 365 Defender ポータルを使用して、デフォルトの接続フィルターポリシーに IP アドレスを追加します。詳細は、接続フィルタを構成するを参照してください。

使用する IP アドレスを確認するには、Sophos Email ゲートウェイの IP アドレスを参照してください。

Microsoft 365 と Sophos Gateway 間の安全な接続の設定

Sophos Gateway への安全な接続を設定する必要があります。

ここでは、Sophos Gateway を Microsoft 365 に接続する手順について説明します。Sophos Mailflow を Microsoft 365 に接続する手順については、Sophos Mailflow の設定を参照してください。

次の手順は、Microsoft の Exchange Online ヘルプページのパートナー組織とセキュリティで保護されたメール フロー用のコネクタを設定 Exchange Online を基にしています。メールの設定を変更する前に、最新の情報を Microsoft のヘルプで確認することを推奨します。Microsoft 365 と、旧称である Office 365 の両方の名称が使用されている場合があります。

安全な接続を設定する方法は次のとおりです。

  1. Microsoft 365 (旧称: Office 365) 管理センターにログインします。
  2. Exchange」、「Exchange 管理センター」の順にクリックします。
  3. メールフロー」、「コネクタ」の順にクリックします。「コネクタ」画面が表示されます。
  4. +」をクリックして、新しいコネクタを追加します。
  5. 差出人」フィールドで、「パートナー組織」を選択します。
  6. 宛先」フィールドで、「Office 365」を選択します。
  7. 次へ」をクリックします。
  8. コネクタの名前を入力します。Sophos Email Inbound Connector をお勧めします。
  9. (任意)説明を追加します。
  10. 保存後、直ちにコネクタを有効にする場合は、「オンにする」を選択したままにします。それ以外の場合は、チェックボックスの選択を解除し、後でオンにします。
  11. 次へ」をクリックします。
  12. 送信者のドメインを使用する」を選択します。
  13. +」をクリックして、送信者ドメインを追加します。
  14. *」を入力して、すべての送信者ドメインに設定内容を適用します。
  15. 次へ」をクリックします。
  16. TLS を使って送信されていないメール メッセージを拒否する」および「この IP アドレス範囲から送信されていないメール メッセージを拒否する」を選択します。
  17. +」をクリックして、送信者の IP アドレスを追加します。
  18. 該当する地域の Sophos Email Security 配信 IP アドレスをここに入力します。

    使用する IP アドレスを確認するには、Sophos Email ゲートウェイの IP アドレスを参照してください。

  19. 次へ」をクリックします。

  20. 新しいコネクタの設定を確認した後、「保存」をクリックします。

この方法でコネクタを設定した場合、Sophos Central の IP アドレスから送信されるメールのみが Office 365 で許可されます。

Sophos Gateway が指定されるように MX レコードを変更する方法

Sophos Gateway が指定されるようにドメインの MX レコードを変更することで、正常に導入を行い、すべてのメールが確実にフィルタリング/配信されるようになります。

このような変更を実行できない場合は、IT 部門、ホスティングのプロバイダ、ISP、または DNS プロバイダに連絡して、社内ドメインの MX レコードの変更を依頼してください。

Sophos Central アカウントを作成した際、データの保存場所として地域を指定しました。MX レコードは、この指定した地域に依存します。

MX レコードを変更して、データの保存先に指定した地域に関連付けられているレコード値が含まれるようにします。

使用する MX レコードを確認するには、ソフォスの MX レコードを参照してください。

MX レコードに関する注意事項

オプションを指定する際、スペルや数字に誤りがないことを確認してください。

ここにある MX レコードの値以外の値を使用すると、メールが正しく配信されなくなります。

MX レコードなどの DNS エントリを変更する場合、TTL (Time To Live) の値を、前もって 600ミリ秒以内に変更しておくことを推奨します。これによって、すばやく変更が反映されるだけでなく、テスト中に問題が発生した際には迅速に変更を元に戻すことができます。

メールフローのテストと確認

MX レコードを更新したら、Sophos Gateway で保護されているメールボックスのいずれかにテストメールを送信します。テストメールは、社外のメールドメインから送信してください。

メッセージが Sophos Gateway 経由で配信されることを確認するには、「メッセージの履歴」レポートを参照します。

レポートにアクセスするには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. レポート > メッセージの履歴」を参照します。

    メッセージが Sophos Email 経由で配信されている場合、このレポートにエントリが表示されます。

経由していない場合は、テスト用受信トレイにメールが配信されていないことを意味します。次の手順を実行します。

  1. MX レコードが、該当する地域に適したものであることを確認します。
  2. ゲートウェイ、ファイアウォール、またはコネクタで、ソフォスの配信 IP が正しく設定されていることを確認します。
  3. 宛先のメールボックスが Sophos Email Security で存在することを確認します。

この手順すべてを行っても、該当するドメインにメールが配信されない場合は、ソフォスサポートにお問い合わせください。

その他のリソース

Sophos Email Security の設定方法について説明する動画を視聴できます。