SMTP ルーティング & スキャンポリシーの追加

内部メールサーバー上の複数のドメインのルーティングおよび暗号化の設定を指定できます。また、スパムおよびマルウェアチェックを適用したり、データおよびファイル保護の設定を指定したりできます。

  1. メール > ポリシーと例外にアクセスして、ポリシーの追加をクリックします。SMTP ルーティング & スキャンをクリックします。
  2. 名前を入力します。
  3. ドメインとルーティングターゲットの詳細を指定します。
    オプション説明

    保護対象ドメイン

    受信メール、送信メール、および内部メールの保護対象ドメインを追加します。

    メールアドレスを指定することはできません。既存のメールアドレスおよび移行したメールアドレスには、指定した設定が XG Firewall によって継続的に適用されますが、これらのアドレスを編集することはできません。

    ルート :

    転送先のメールサーバーを選択します。

    スタティックホスト: ホストの一覧から、内部メールサーバーのスタティック IP アドレスを選択します。

    選択したホストのうち、最初のホストにアクセスできない場合は、次のホストにメールを転送します。メールが転送されるまで、この処理をリストの末尾まで繰り返します。

    DNS ホスト: DNS ホスト名を選択して指定します (例: mailserver.example.com)。

    複数の A レコードがある DNS 名については、各サーバーにランダムにメールを配信します。サーバーにエラーが生じた場合は、自動的に他のサーバーにメールをルーティングします。

    MX: MX レコードに基づいてメールをルーティングします。

    グローバルアクション

    保護対象ドメインに関連するメールに対して実行する処理。

    許可: メールを受け付けます

    拒否: メールを拒否し、送信者に通知します。

    SPX テンプレート

    送信メールの暗号化テンプレートを選択します。

  4. スパム対策をオンにします。
    オプション説明

    受信スパムのチェック

    受信メールのスパムをチェックします。

    グレーリストを使用

    未知のメールサーバーの IP アドレスからの受信メールを一時的に拒否します。

    正規のサーバーは、拒否されたメールを定期的に再送します。XG Firewall では、再送されたメールを受け付けたうえで、その送信者の IP アドレスを一定期間、グレーリストに登録します。
    BATV に基づいてブロックする

    全般設定で BATV シークレットを入力したことを確認してください。シークレットは、BATV 署名の作成に使用されます。

    宛先不明で戻ってきたメールの受信者アドレスが BATV 署名と照合され、無効な返信アドレスや期限切れの署名を持つメールは拒否されます。これにより、返信アドレスが偽装されたバウンスメールをブロックできます。

    BATV 署名の有効期限は 7日間です。

    SPF に基づいてブロックする

    SPF (Sender Policy Framework) では、送信者の正規メールサーバーの IP アドレスを DNS レコードで確認し、不正なサーバーからのメールを拒否します。

    RBL に基づいてブロックする

    RBL サービスを選択し、そのリストに含まれる送信者 IP アドレスからのメールを拒否します。

    受信者検証

    オフ

    Callout を使用: 受信者のメールアドレスを、宛先メールサーバーのユーザーアカウントと照合します。存在しないユーザーへのメールは拒否されます。一定期間、メールサーバーに到達不可能な場合は、メールを受け入れます。

    Active Directory で: AD サーバー上で、簡易/SSL/STARTTLS プロトコルを使って受信メールの受信者を検証します。AD サーバー、バインド DN、ベース DN を指定します。

    バインド DN は、指定した AD サーバーで設定されている管理者ユーザーの一般名 (CN) を含む完全な識別名 (DN) です。

    CN=Administrator,CN=Users,DC=example,DC=com

    ベース DN は、AD サーバーにおける検索の開始点となるベース識別名 (DN) です。

    DC=example,DC=com

    検証は 30秒後にタイムアウトになります。

    スパムに適用する動作

    スパムの可能性があるメールに適用する動作

    処理を指定します。

    なし

    警告: 件名のプレフィックスを指定します。件名にプレフィックスを追加して受信者にメールを配信します。

    隔離

    破棄: メールを破棄し、送信者に通知しません。

    これらの処理は、SPF と RBL チェックには適用されません。これらのチェックで問題が見つかると、そのメールは拒否されます。
  5. マルウェア対策をオンにします。
    オプション説明

    検索

    ウイルス対策スキャンの処理を選択します。

    無効: メールはスキャンされません。

    シングルウイルス対策エンジン: プライマリエンジンによってメールがスキャンされます。

    デュアルウイルス対策エンジン: 最初にプライマリエンジンで、続けてセカンダリエンジンでメールがスキャンされます。

    プライマリエンジンは、全般設定で指定できます。
    Sophos Firewall XG 105 より古いモデルでは、プライマリのウイルス対策エンジンによるスキャンのみを有効にできます。

    Sandstorm でゼロデイ脅威を検出

    Sandstorm 分析にメールを送信し、分析可能な最大ファイルサイズを指定します。指定サイズよりも大きいファイルは分析されません。

    シングルスキャンを選択した場合、Sandstorm 分析を実行するには、プライマリエンジンとして Sophos を指定してください。

    選択項目 - ウイルス対策の動作

    処理を指定します。

    • なし
    • 破棄: メールを破棄し、送信者に通知しません。
    • 隔離

    送信者に通知

    メールが感染していたことを送信者に通知します。

    スキャン不可なコンテンツの隔離

    スキャンできなかったメールを隔離します (破損したメール、暗号メール、圧縮ファイル、サイズ超過メール、内部エラーが発生してスキャンできなかったメールなど)。

  6. 添付ファイルをフィルタリングするには、ファイル保護をオンにします。
    オプション説明
    ブロックするファイルタイプ ブロックする添付ファイルのタイプを選択します。ファイルタイプを複数選ぶには、Ctrl+Shift を押しながら選択します。MIME ヘッダが MIME ホワイトリスト に自動的に挿入されます。

    すべて: 添付ファイル付きのメールをブロックします

    なし: 添付ファイル付きのメールを許可します

    MIME ホワイトリスト 特定の種類のファイルを許可するには、その MIME ヘッダを選択します。それ以外の種類はブロックされます。
    指定サイズを超えたメッセージをドロップ : スキャンする最大ファイルサイズを入力します。このサイズを超えるメールは、破棄されます。
  7. データ保護をオンにします。
    オプション説明

    データコントロールリスト

    リストから選択して、送信メールに機密情報が含まれていないかどうかをスキャンします。

    コンテンツ コントロール リスト (CCL) からデータコントロールリストを作成することができます。CCL は、クレジットカード番号や、社会保障番号、住所、メールアドレスなど、一般的な金融情報や個人情報のデータ形式を含むリストです。

    データコントロールリストのアクション

    処理を指定します。

    許可: メールを配信します。

    SPX で許可する: メールを SPX 暗号化して配信します。適用する SPX テンプレートを選択してください。

    破棄: メールを破棄し、送信者に通知しません。

    送信者に通知

    機密情報について送信者に通知します。

    SPX 暗号化の適用、件名へのプレフィックス追加、ファイルの種類に基づくブロック、または送信メールへのバナー追加を行うと、メールのヘッダまたは本文が変更されます。この変更により DKIM ハッシュが中断され、受信側の MTA の DKIM 検証がエラーになります。
    XG Firewall ではまず、保護対象ドメインからの送信メールをチェックし、指定された SPX テンプレートを適用します。SPX テンプレートを指定していない場合、データ保護用に指定したカスタム SPX テンプレートが適用されます。上記の方法で SPX 暗号化が適用されなかった場合でも、送信者が指定したヘッダが見つかった場合は、SPX テンプレートが適用されます。

    XG Firewall では、表示可能なファイルに加え、ファイルパッケージ (docx、xlsx、pptx、odt、ods、odp、odg などの zip 圧縮ファイルを含む) のコンテンツもポリシー設定と照合されます。

    XG Firewall では、AUTH コマンドは使用できません。
  8. 保存」をクリックします。