全般設定

制約事項: この機能を使用するにはサブスクリプションが必要です。設定はできますが、有効なメールプロテクションサブスクリプションなしでは施行できません。
注: MTA モードは Sophos Firewall XG105、Cyberoam CR25iNG、Sophos UTM SG105 以降のモデルでのみ利用可能です。

SMTP 導入モード

MTA に切り替えるには、ボタンを押してください。

MTA モードでは、ファイアウォールはメール転送エージェント (MTA) として動作します。レガシーモードでは、透過プロキシとして動作します。

MTA モードでは、XG Firewall は保護されているメールサーバーのメールをルーティングします。送受信するメールのリレーを設定できるほか、SMTP プロフィールを作成して社内メールサーバー上の複数のドメインや複数のメールサーバーを保護したり、着信待ちのメールやエラーが発生したメールを確認したり、メールログを確認したりできます。

デフォルト: MTA モードが有効にされています。

注:
  • MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。
  • CyberoamOS または SFOS v15 から SFOS v16 に移行した場合は、デフォルトでレガシーモードが有効になります。

送信バナーの設定

メールのバナーのモード
バナーを送信メールに追加するモードを選択します。
注: バナーを追加するためには、該当する「業務アプリケーションルール」内の「マルウェアのスキャン」「SMTP のスキャン」「SMTPS のスキャン」を選択してください。
Eメールのバナー
送信メールに追加するテキストバナーを指定します。テキストバナーのみが許可されています。

例:

このメールには機密情報が含まれています。送信者の同意なしにコンテンツをコピーすることは禁じられています。重大な必要性がない限り、このメールを印刷しないでください。環境問題に関する意識を高めましょう。

SMTP 設定

SMTP ホスト名
HELO と SMTP のバナー文字列に使用する SMTP ホスト名を指定します。XG Firewall はデフォルトで「Sophos」というホスト名を使用します。
次の容量を超えるメールはスキャンしない
スキャンの最大ファイルサイズ (KB) を指定します。SMTP/S 経由で受信したこのサイズを超えるファイルはスキャンされません。

デフォルト - 1024 KB

デフォルトのファイルサイズのスキャン制限を 51200 KB に増やすには 0 を指定します。

サイズ超過のメールに対するアクション
サイズ超過のメールに対する操作を指定します。

利用可能なオプション:

許可: すべてのサイズ超過のメールをスキャンせずに受信者に転送します。 拒否: サイズ超過のメールをすべて拒否し、送信者に通知します。 破棄する: サイズ超過のメールをすべて破棄し、送信者には通知しません。
IP レピュテーションに基づいてブロックする
IP レピュテーションの低い送信元からのメールを拒否します。
注: IP レピュテーションのチェックは、SMTP ルーティング & スキャンポリシーで指定されているスパムチェックよりも先に実行されます。
SMTP DoS 設定
有効にして、ネットワークを SMTP DoS 攻撃から保護する SMTP DoS 設定を指定します。

有効にした場合は、最大接続数最大接続数/ホスト最大メール数/接続最大受信者数/メール毎分あたりのメールレート/ホスト毎秒あたりの接続レート/ホストの値を指定します。

最大接続数
RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。
最大接続数/ホスト
RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。
最大メール数/接続
単一接続で送信可能なメール数の上限を指定します。

デフォルト: 1000

許容可能な範囲: 1~1000

最大受信者数/メール
メールの受信者数の上限を指定します。

デフォルト: 100

許容可能な範囲: 1~512

メールレート
1 分間にホストから送信できるメール数を指定します。

デフォルト: 1000

許容可能な範囲: 1~1000

接続レート
ホストからメールサーバーへの 1 秒あたりの接続数の上限を指定します。

デフォルト: 100

許容可能な範囲: 1~100

注: XG Firewall の SFOS を v17.5 以降のバージョンにアップグレードすると、メールレート と 接続レート に指定した値は自動的に移行されます (許容範囲内の場合)。指定した値が上限を超える場合は、デフォルトの値に自動的に設定されます。

POP/S と IMAP/S の設定

次の容量を超えるメールはスキャンしない
スキャンする最大ファイルサイズ (KB) を指定します。POP/IMAP から受信したこのサイズを超えるファイルはスキャンされません。

デフォルト - 1024 KB

デフォルトのファイルサイズの制限を 10240 KB に増やすには 0 を指定します。

受信者のへッダー
POP3/IMAP の受信者を検知するためのヘッダー値を指定します。

デフォルト - 配信済み-宛先、受信済み、X-RCPT-TO

SMTP TLS 設定

TLS 証明書
SMTP over SSL トラフィックをスキャンするための CA 証明書またはサーバー証明書を選択します。利用可能なオプションは以下のとおりです。

利用可能なオプション:

デフォルト ApplianceCertificate SecurityAppliance_SSL_CA カスタム CA 証明書とカスタムサーバー証明書のリスト (追加した場合)カスタム CA 証明書は「証明書」 > 「認証局」から、カスタムサーバー証明書は「証明書」 > 「証明書」から作成できます。
無効な証明書を許可
有効にすると、メールサーバーからの無効な証明書を使って、SMTP over SSL 接続ができるようになります。このような接続を拒否する場合はこのオプションを無効にします。

デフォルト - 有効

レガシーの TLS プロトコルを無効にする
有効にすると、TLS 1.1 より前のプロトコルが無効になります。TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルを無効にすることが推奨されます。

デフォルト: 無効

TLS ネゴシエーションを義務付ける
TLS 暗号化を強制的に適用するするリモートホスト (メールサーバー) またはネットワークを選択します。この場合、選択したホスト/ネットワークにメールが送信されると、デバイスは常に TLS 保護された接続を開始します。TLS の適用後、接続を確立できない場合、そのリモートホスト/ネットワークへのメールは破棄されます。
送信元のメールドメインを要求する
送信者ドメインを指定し、このドメインからのメール接続に対して TLS 暗号化を適用します。送信者ドメインとはメール送信者のドメインです。指定された送信者ドメインからのメールは、常に TLS 暗号化された接続経由で届くようになります。TLS の適用後、接続を確立できない場合、その送信者ドメインからのメールは破棄されます。
TLS ネゴシエーションをスキップ
TLS 暗号化をスキップ (バイパス) するリモートホスト (メールサーバー) またはネットワークを選択します。設定時に、選択されたホストへの SMTP 接続はクリアテキストで暗号化されずに構築されます。

POP および IMAP TLS 設定

TLS 証明書
利用可能なオプションから SSL 経由で POP および IMAP トラフィックをスキャンするための CA を選択します。

利用可能なオプション:

デフォルト SecurityAppliance_SSL_CA 追加した場合は、カスタム CA のリスト。カスタム CA は 証明書 > 認証局 から作成できます。
無効な証明書を許可
有効にすると、メールサーバーからの無効な証明書を使って、POP / IMAP over SSL 接続ができるようになります。無効にして、このような接続を拒否します。

デフォルト - 有効

レガシーの TLS プロトコルを無効にする
有効にすると、TLS 1.1 より前のプロトコルが無効になります。TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルを無効にすることが推奨されます。

デフォルト: 無効

ブロック対象の送信元

メールアドレスをブロックするには、ここに追加します。

マルウェア対策

マルウェア対策は、Sophos Firewall XG105、Cyberoam CR500iNG、Sophos UTM SG105 以降のモデルで利用可能です。

Sophos XG Firewall は、2 台のウイルス対策エンジンでトラフィックをスキャンする、デュアルスキャンを提供します。トラフィックは最初にプライマリエンジンでスキャンされ、次にセカンダリエンジンでスキャンされます。
プライマリウイルス対策エンジン
トラフィックスキャンのプライマリウイルス対策エンジンを選択します。デュアルスキャンの場合、パケットは最初にプライマリエンジンでスキャンされ、次にセカンダリエンジンでスキャンされます。シングルスキャンの場合、プライマリエンジンのみが使用されます。

利用可能なオプション:

Sophos Avira
注: 「Avira」を選択すると、シングルウイルス対策スキャンを有効にしているすべての SMTP ポリシーの Sandstorm が無効になります。

スマートホストの設定

スマートホストは送信者と受信者のメールサーバーの間にある中間サーバーとして動作するメール転送エージェント (MTA) です。スマートホストを設定すると、指定されたサーバーに送信メールがリダイレクトされ、その後、受信者のメールサーバーにルーティングされます。この機能を使用するには、「スマートホストを使用」を有効にします。
ホスト名
スマートホストとして動作するホストを選択します。
注: スマートホストとして、XG Firewall デバイスのインターフェース IP アドレスを設定することはできません。そうすると、ルーティングループが発生します。
ポート
ポート番号を入力します。

デフォルト: 25

デバイスをスマートホストで認証する
メールのルーティング前にデバイスの認証を必要とする場合は、選択します。プレーンとログインの両方の認証タイプがサポートされています。「ユーザー名」「パスワード」を入力します。

SMTP 詳細設定 (MTA モードのみで利用可能)

無効な HELO または不明な RDNS を拒否
無効な HELO/EHLO 引数を送信するホストや、RDNS エントリがないホストを拒否するには、このオプションを選択します。無効な RDNS レコードを含むホストからのメールも拒否するには、「厳格な RDNS チェックを実行」を選択します。見つかったホスト名を元の IP アドレスに変換し直せない場合は、RDNS レコードは無効と見なされます。
送信メールをスキャン
すべての発信メールトラフィックをスキャンするために有効にします。マルウェアに感染していることが判明した場合、または迷惑メールとしてマークされた場合、メールが隔離されます。