全般設定

全般設定では、XG Firewall をメール転送エージェント (MTA) または透過メールプロキシとして設定できます。

MTA モードは、次のモデル以降でのみ使用できます。XG105、Cyberoam CR25iNG、SG105。

SMTP 導入モード

MTA モードとレガシーモードを切り替えるには、ボタンをクリックしてください。

MTA モードでは、1台または複数のメールサーバーの保護対象ドメインにおいて XG Firewall がメールをルーティング、保護します。受信メールおよび送信メールのリレーを指定したり、暗号化および隔離の設定を指定できます。また、メール配信の遅延の原因を確認したり、メールログを表示することもできます。

MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。

レガシーモード (透過メールプロキシ) ではメール保護ポリシーを指定して、スパム、マルウェア、データ流出を防止できます。暗号化の設定を指定することもできます。

CyberoamOS または SFOS v15 から SFOS v16 に移行した場合は、レガシーモードが自動的に有効になります。

送信バナーの設定

メールのバナーのモード
送信メールにバナーを追加する方法。
バナーを追加するには、ファイアウォールルールで SMTP および SMTPS スキャンを選択する必要があります。
Eメールのバナー
送信メールに追加するキスト。
テキストのバナーのみ追加できます。

例:

このメールには機密情報が含まれています。送信者の同意なしにコンテンツをコピーすることは禁じられています。メールの印刷はできるだけ避けましょう。環境への配慮をお願いいたします。

送信メールにバナーを追加すると、メールの本文が変更されます。 この変更により DKIM ハッシュが中断され、受信側の MTA の DKIM 検証がエラーになります。

SMTP 設定

SMTP ホスト名
HELO と SMTP のバナー文字列に使用する SMTP ホスト名。デフォルトのホスト名: Sophos.
次の容量を超えるメールはスキャンしない
スキャンする最大ファイルサイズ (KB)。SMTP/S 経由で受信した、このサイズを超えるファイルはスキャンされません。0 を指定すると、51,200 KB に設定されます。
サイズ超過のメールに対するアクション
指定サイズを超えるメールに対するアクション。

名前

説明

許可

スキャンせずに受信者に転送します。

拒否 メールを拒否し、送信者に通知します。
破棄 メールを破棄し、送信者に通知しません。
IP レピュテーションに基づいてブロックする
IP レピュテーションの低い送信元からのメールを拒否します。
IP レピュテーションのチェックは、SMTP ポリシーで指定されているスパムチェックよりも先に実行されます。
SMTP DoS 設定
SMTP サービス拒否攻撃からネットワークを保護します。

設定

説明

許容範囲:

最大接続数

メールサーバーとの接続数。 RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。

最大接続数/ホスト

ホストからメールサーバーへの接続数。 RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。

最大メール数/接続

1つの接続で送信可能なメールの件数

1~1000

最大受信者数/メール 1つのメールの受信者数

1~512

メールレート ホストから 1分間に送信されるメールの件数

1~1000

接続レート ホストからメールサーバーへの 1秒あたりの接続数

1~100

XG Firewall を v17.5 以降のバージョンにアップグレードすると、メールレートおよび接続レートに指定した値は自動的に移行されます (許容範囲内の場合)。許容範囲の最大値を超える場合は、自動的にデフォルト値に設定されます。

POP/S と IMAP/S の設定

次の容量を超えるメールはスキャンしない
スキャンするメールの最大サイズ (KB)。POP/IMAP で受信した、このサイズを超えるメールはスキャンされません。0 を指定すると、10,240 KB に設定されます。
受信者のへッダー
POP/IMAP ポリシーで指定された受信者を検出するためにスキャンするヘッダの値。デフォルト: Delivered-To, Received, X-RCPT-TO

SMTP TLS 設定

SMTP トラフィックの保護設定を指定します。

TLS 証明書
SMTP over SSL トラフィックをスキャンするときに使用する CA 証明書またはサーバー証明書。
無効な証明書を許可
SMTP over SSL トラフィックがメールサーバーからの無効な証明書を使用している場合に、このトラフィックを許可します。 このような接続を拒否するには、チェックボックスをオフにします。
レガシーの TLS プロトコルを無効にする
選択すると、TLS 1.1 より古いプロトコルが無効になります。
TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルを無効にすることが推奨されます。
TLS ネゴシエーションを義務付ける
TLS 暗号化を強制的に適用するリモートホスト (メールサーバー) またはネットワークを選択します。XG Firewall は、ここで選択したホストまたはネットワークに送信されたメールに対して、TLS で保護された接続を開始します。 最大 512 のホストエントリを指定できます。
TLS を適用した接続を確立できない場合、そのリモートホストまたはネットワークへのメールは破棄されます。
送信元のメールドメインを要求する
送信者ドメインを指定し、このドメインからのメール接続に対して TLS 暗号化を適用します。 最大 512 のホストエントリを指定できます。
TLS を適用した接続を確立できない場合、その送信者ドメインからのメールは破棄されます。
TLS ネゴシエーションをスキップ
TLS 暗号化をスキップするリモートホスト (メールサーバー) またはネットワークを選択します。XG Firewall は、ここで指定されたホストに対して、暗号化されていない SMTP 接続を確立します。 最大 512 のホストエントリを指定できます。

POP および IMAP TLS 設定

POP/IMAP トラフィックの保護設定を指定します。

TLS 証明書
POP/IMAP over SSL トラフィックをスキャンするときに使用する CA 証明書。
無効な証明書を許可
POP/IMAP over SSL トラフィックがメールサーバーからの無効な証明書を使用している場合に、このトラフィックを許可します。 このような接続を拒否するには、チェックボックスをオフにします。
レガシーの TLS プロトコルを無効にする
選択すると、TLS 1.1 より古いプロトコルが無効になります。
TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルを無効にすることが推奨されます。

ブロック対象の送信元

ブロックするメールアドレスを入力します。

マルウェア対策

マルウェア対策は、Sophos Firewall XG105、Cyberoam CR500iNG、Sophos UTM SG105 以降のモデルで利用可能です。

XG Firewall では、2つのウイルス対策エンジンによるスキャンを提供しています。

プライマリマルウェア対策エンジン

次のいずれかのプライマリエンジンを選択します。

  • Sophos
  • Avira。このオプションを選択し、シングルスキャンを指定した場合は、SMTP ポリシーの Sandstorm はオフになります。
SMTP ポリシーでデュアルスキャンを選択した場合、最初にプライマリエンジンでスキャンされ、続けてセカンダリエンジンでスキャンされます。シングルスキャンを選択した場合は、プライマリエンジンでのみスキャンされます。

スマートホストの設定

スマートホストとは、送信者と受信者のメールサーバーの間で中間サーバーとして動作する MTA です。送信メールが指定サーバーを経由するようにルーティングするには、スマートホストの設定を選択します。
ホスト名
スマートホストを選択します。
スマートホストに XG Firewall のインターフェース IP アドレスを指定しないでください。そうすると、ルーティングループが発生します。
ポート
ポート番号を入力します。デフォルト: 25
デバイスをスマートホストで認証する
メールをルーティングする前に、XG Firewall でスマートホストを認証します。サインイン認証情報を入力します。
XG Firewall は、認証プロトコルの PLAIN および LOGIN をサポートしています。

DKIM 検証

DKIM では、暗号化認証によって送信元ドメイン名とメッセージの整合性を検証し、メールのスプーフィングを防止します。DKIM 検証は受信メールに適用できます。

DKIM 検証をオンにすると、XG Firewall は送信元ドメインの TXT レコードから公開鍵を検索して、DKIM 署名を確認します。

表 1. 検証結果

設定

説明

DKIM 検証ができませんでした

本文のハッシュが署名と一致しませんでした。送信中にメール本文が改ざんされた可能性があります。または、XG Firewall で署名を検証できませんでした。署名が偽造されているか、ヘッダが改ざんされている可能性があります。

DKIM 署名が無効です

送信元ドメインの公開鍵が TXT レコードに見つからなかったか、公開鍵の構文が無効です。

DKIM 署名が見つかりません

このドメインの DKIM 署名がメールにありません。

XG Firewall は、DKIM で署名されたメールのうち、RSA SHA-1 を使用しているものと、鍵の長さが 1024ビット未満または 2048ビットを超えるものを隔離します。

検証結果に対するアクションを選択します。

  • 許可: 受信者に転送します
  • 隔離: メールを隔離します
  • 拒否: メールを破棄します

DKIM 署名

XG Firewall は、指定したドメイン名、セレクタ、および RSA 秘密鍵を使用して、送信メールのヘッダにデジタル署名を追加します。宛先サーバーは、ドメインの TXT レコードにある公開鍵を使用して署名を確認し、ドメインを検証して、メールが送信中に改ざんされていないかどうかを確かめます。

DKIM 署名の追加方法についてはDKIM 署名の追加を参照してください。

SMTP 詳細設定

無効な HELO または不明な RDNS を拒否
無効な HELO/EHLO 引数を送信するホストや、RDNS レコードがないホストからのメールを拒否します。
厳格な RDNS チェックを実行
RDNS レコードが無効なホストからのメールを拒否します。
ホスト名を送信元の IP アドレスに変換し直せない場合は、RDNS レコードは無効とみなされます。
送信メールをスキャン
送信メールをスキャンします。スパムおよびマルウェアに感染したメールを隔離します。
受信メールをゲートウェイにルーティングする

元のファイアウォールルールを使用して、(外部または内部の送信者からの) 受信メールをメールサーバーにルーティングします。デフォルトでは、送信メールのみが XG Firewall によってルーティングされます。

この設定は、次の場合に使用します。

  • 受信メールを WAN ゾーン内のメールサーバー (オンプレミスまたはホスト) にルーティングする。
  • LAN または DMZ 内のメールサーバーに受信メールを転送するときに、元のファイアウォールルールの設定を適用する。
  • ISP リンク間でトラフィックの負荷分散を行うときに IP レピュテーションを維持する。XG Firewall は、元のファイアウォールルールで指定されたゲートウェイ設定を適用します。
BATV シークレット

BATV (Bounce Address Tag Validation) のシークレットを入力します。ドメインに複数の MX レコードがある場合は、すべてのシステムに同じ BATV シークレットを指定できます。

XG Firewall では、このシークレット、タイムスタンプ、および送信者のメールアドレスを使用して、BATV 署名を生成します。エンベロープの送信元アドレスを、送信メールの署名で置き換えます。これにより、返送先アドレスが偽装されたバウンスメール (不達で返送されるメール) を識別できます。

署名の形式: prvs=<tagvalue>=<送信者のメールアドレス>

シークレットを入力すると、SMTP ルーティング & スキャンポリシーで BATV チェックを適用できるようになります。