コンテンツにスキップ

全般設定

全般設定では、Sophos Firewall をメール転送エージェント (MTA) または透過メールプロキシにすることができます。

MTA モードは、次のモデル以降のみで使用できます。

  • XG 105
  • SG 105

SMTP 導入モード

MTA モードとレガシーモードを切り替えるには、ボタンをクリックしてください。

MTA モードでは、複数のメールサーバー上の保護対象ドメインのメールをルーティングし、保護します。受信メールリレーと送信メールリレーを指定し、暗号化と隔離の設定を行うことができます。また、メール配信の遅延の原因や、メールログを確認することもできます。

MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。

レガシーモード (透過メールプロキシ) では、スパム、マルウェア、データ流出を防止するポリシーを指定できます。また、暗号化設定を指定することもできます。

送信バナーの設定

メールのバナーのモード: 送信メールにバナーを追加する方法。

バナーを追加するには、ファイアウォールルールで SMTP および SMTPS スキャンを選択する必要があります。

メールのバナー: 送信メールに追加されたテキスト。

テキストバナーのみを追加できます。

This email contains confidential information. You aren't authorized to copy the contents without the sender's consent. Print this email only if it's necessary. Spread environmental awareness.

アウトバウンドメールにバナーを追加すると、メール本文が変更されます。変更により DKIM ハッシュが中断され、受信側 MTA で DKIM 検証が失敗します。

SMTP 設定

SMTP ホスト名: HELO と SMTP のバナー文字列に使用する SMTP ホスト名。デフォルトのホスト名: Sophos

システムによって生成される通知メールのみに適用されます。

次の容量を超えるメールはスキャンしない: スキャンする最大ファイルサイズ (KB)。このサイズを超える SMTP/S 経由で受信したファイルはスキャンされません。0 はファイルサイズ制限を 51,200KB に設定します。

サイズ超過のメールに対するアクション: 指定されたサイズを超えるメールに対するアクション。

名前 説明
許可 スキャンせずに受信者に転送します。
拒否 メールを拒否し、送信者に通知します。
破棄 メールを破棄し、送信者に通知しません。

IP レピュテーションに基づいてブロックする: IP レピュテーションの低い送信元からのメールを拒否します。

IP レピュテーションのチェックは、SMTP ポリシーで指定されているスパムチェックよりも先に実行されます。

SMTP/S で認証された接続のスパム検索を回避する: メールサーバーにより認証された SMTP/S 接続からの受信メールについて、スパムスキャンを省略します。

送信者の IP レピュテーションを検証する: 送信者の IP アドレスのレピュテーションを確認し、レピュテーションが低いメールを拒否します。

IP レピュテーションのチェックは、SMTP ポリシーで指定されているスパムチェックよりも先に実行されます。

SMTP DoS 設定: SMTP サービス拒否攻撃からネットワークを保護します。

設定 説明 許容可能な範囲
最大接続数 メールサーバとの接続。RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。
最大接続数/ホスト ホストからメールサーバーへの接続。RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。
最大メール数/接続 接続を介して送信できるメール。 1~1000
最大受信者数/メール 1件のメールの受信者。 1~512
メールレート ホストから 1分間に送信されるメールの件数。 1~1000
接続レート ホストからメールサーバーへの接続が 1秒以内に確立されます。 1~100

SFOS 17.5 以降にアップグレードした場合、メールレートと接続レートの指定値が許容範囲内であれば、そのまま移行されます。値が最大制限を超えると、自動的にデフォルト値に設定されます。

設定 説明 許容可能な範囲
最大接続数 メールサーバーとの接続を確立できます。 1~20000
最大接続数/ホスト ホストからメールサーバーへの接続が許可されます。 1~10000
最大メール数/接続 接続を介して送信できるメール。 1~1000
最大受信者数/メール 1件のメールの受信者。 1~256
メールレート ホストから 1分間に送信されるメールの件数。 1~20000
接続レート ホストからメールサーバーへの接続が 1秒以内に確立されます。 1~20000

POP/S と IMAP/S の設定

次の容量を超えるメールはスキャンしない: スキャンするメールの最大サイズ (KB)。このサイズを超える POP/IMAP で受信したメールはスキャンされません。0 は、サイズ制限を 10,240KB に設定します。

受信者のへッダー: POP/IMAP ポリシーで指定された受信者を検出するためにスキャンされるヘッダー値。デフォルト: Delivered-To、Received、X-RCPT-TO

ポート

Sophos Firewall では、メールに以下の標準ポートを使用します。

  • SMTP: ポート25
  • SMTPS: ポート465
  • POP3: ポート 110 (STARTTLS 拡張機能を使用して SSL/TLS 接続にアップグレード)
  • POP3S: ポート 995 (SSL/TLS over POP3)
  • IMAP: ポート 143 (STARTTLS 拡張機能を使用して SSL/TLS 接続にアップグレード)
  • IMAPS: ポート 993 (SSL/TLS over POP3)

STARTTLS は、安全でない POP3/IMAP 接続を、同じポート上で SSL/TLS セッションにアップグレードします。

標準ポート 25、587、465 以外のポートにメールスキャンを設定することもできます。

SMTP TLS 設定

SMTP トラフィックを保護する設定を指定します。

TLS 証明書: SSL を介した SMTP トラフィックをスキャンする CA 証明書またはサーバー証明書。

無効な証明書を許可: 選択すると、メールサーバーからの無効な証明書を使用した SSL 接続経由の SMTP トラフィックが許可されます。このような接続を拒否するには、チェックボックスをオフにします。

レガシーの TLS プロトコルを無効にする: TLS 1.1 より前のプロトコルをオフにする場合に選択します。

TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルをオフにすることが推奨されます。

TLS ネゴシエーションを義務付ける: 接続に TLS 暗号化を適用するリモートホスト (メールサーバー) またはネットワークを選択します。指定したホストまたはネットワーク宛てに送信されたメールに対して、TLS で保護された接続を開始します。最大 512 のホストエントリを指定できます。

TLS が強制されているにもかかわらず接続を確立できない場合、Sophos Firewall は指定されたリモートホストまたはネットワークへのメールを破棄します。

送信元のメールドメインを要求する: 送信者ドメインを指定し、このドメインからのメール接続に対して TLS 暗号化を適用します。最大 512 のホストエントリを指定できます。

TLS が強制されているにもかかわらず接続を確立できない場合、Sophos Firewall はこれらの送信者ドメインからのメールを破棄します。

TLS ネゴシエーションをスキップ: リモートホスト (メールサーバー) またはネットワークを選択して、接続の TLS 暗号化をスキップします。Sophos Firewall は、暗号化されていない SMTP 接続をこれらのホストに確立します。最大 512 のホストエントリを指定できます。

POP および IMAP TLS 設定

POP/IMAP トラフィックを保護する設定を指定します。

TLS 証明書: SSL 経由の POP および IMAP トラフィックをスキャンする CA 証明書。

無効な証明書を許可: 選択すると、メールサーバーからの無効な証明書を使用した SSL 接続で POP および IMAP トラフィックが許可されます。このような接続を拒否するには、チェックボックスをオフにします。

レガシーの TLS プロトコルを無効にする: TLS 1.1 より前のプロトコルをオフにする場合に選択します。

TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルをオフにすることが推奨されます。

ブロック対象の送信元

ブロック対象のメールアドレスを入力します。

メールジャーナル

1人または複数の受信者の受信メールを保存し、これらのメールを管理者に転送できます。

  • メールジャーナルを追加するには、「追加」をクリックします。

スパムチェックの例外

ドメイン名: スパムチェックをスキップするドメインを入力します。

マルウェア対策

マルウェア対策は、以下のモデル (およびそれ以降のモデル) のみで使用できます。

  • XG 105
  • SG 105

Sophos Firewall は、2つのマルウェア対策エンジンによるスキャンを提供します。

プライマリマルウェア対策エンジン

プライマリマルウェア対策エンジンを選択して、次のオプションからトラフィックをスキャンします。

  • Sophos
  • Avira。これを選択すると、SMTP ポリシーでシングルマルウェア対策スキャンを選択した場合、ゼロデイ対策がオフになります。

SMTP ポリシーでデュアルマルウェア対策を選択した場合、プライマリエンジンは最初にトラフィックをスキャンし、次にセカンダリエンジンはトラフィックをスキャンします。シングルマルウェア対策を選択した場合は、プライマリエンジンのみがトラフィックをスキャンします。

スマートホストの設定

スマートホストとは、送信者と受信者のメールサーバーの間にある中間サーバーとして動作する MTA です。指定したサーバーを経由して送信メールをルーティングするには、最もスマートな設定を選択します。

ホスト名: 最もスマートなホストを選択します。

スマートホストに、Sophos Firewall のインターフェース IP アドレスを指定しないでください。そうすると、ルーティングループが発生します。

ポート: ポート番号を入力します。デフォルト: 25

デバイスをスマートホストで認証する: メールをルーティングする前に、Sophos Firewall でスマートホストを認証する場合に選択します。サインインの認証情報を入力します。

Sophos Firewall は、プレーンおよびログイン認証プロトコルに対応しています。

DKIM 検証

DKIM を使用すると、暗号化認証によって送信元ドメイン名とメッセージの整合性を検証し、メールのスプーフィングを防止できます。DKIM 検証はインバウンドメールに適用できます。

DKIM 検証をオンにすると、Sophos Firewall は送信側ドメインの TXT レコード内の公開キーを検索して DKIM 署名を確認します。

設定 説明
DKIM 検証ができませんでした 署名に本文ハッシュの不一致があり、送信中のメール本文の変更を示しています。または Sophos Firewall は、偽造された署名またはヘッダーの変更を示す署名を検証できませんでした。
DKIM 署名が無効です Sophos Firewall で、送信側ドメインの公開鍵が TXT レコードに見つからなかったか、無効な公開鍵構文が見つかりました。
DKIM 署名が見つかりません メールには、このドメインの DKIM 署名がありません。

Sophos Firewall は、RSA SHA-1 を使用するか、キー長が 1024 ビット未満または 2048 ビットを超える DKIM 署名付きメールを隔離します。

検証結果のアクションを選択します。

  • 許可: 受信者に転送します
  • 隔離: メールを隔離します
  • 拒否: メールを破棄します

DKIM 署名

Sophos Firewall は、指定したドメイン名、セレクタ、および秘密 RSA キーを使用して、アウトバウンドメールのヘッダーにデジタル署名を追加します。移行先サーバーは、ドメインの TXT レコードの公開キーを使用して署名を確認し、ドメインを検証して、移行中にメールが変更されていないことを確認します。

DKIM 署名の追加方法については、DKIM 署名の追加を参照してください。

SMTP 詳細設定

無効なHELOまたは不明なRDNSを拒否: 無効な HELO/EHLO 引数を送信するホストや、RDNS レコードがないホストを拒否します。

厳密なRDNSチェック: RDNS レコードが不正なホストからのメールを拒否します。

RDNS レコードは、ホスト名が送信元の IP アドレスに解決されない場合に、不正とみなされます。

送信メールをスキャン: 送信メールをスキャンする場合に選択します。スパムおよびマルウェアに感染したメールを隔離します。

受信メールをゲートウェイにルーティングする: 選択すると、元のファイアウォールルールを使用して、受信メール (外部および内部の送信者から) をメールサーバーにルーティングします。デフォルトでは、Sophos Firewall はアウトバウンドメールのみをルーティングします。

この設定は、次の場合に使用します。

  • 着信メールを WAN ゾーン内のメールサーバー (オンプレミスまたはホスト) にルーティングする。
  • LAN または DMZ 内のメールサーバに着信メールを転送するときに、元のファイアウォールルール設定を適用します。
  • ISP リンク間でトラフィックのロードバランシングを行うときに IP レピュテーションを維持します。Sophos Firewall は、元のファイアウォールルールで指定されたゲートウェイ設定を適用します。

BATVシークレット: Bounce Address Tag Validation (BATV) のシークレットを入力します。ドメインに複数の MX レコードがある場合は、すべてのシステムに同じ BATV シークレットを指定できます。

Sophos Firewall は、このシークレット、タイムスタンプ、および送信者のメールアドレスを使用して、BATV 署名を生成します。エンベロープ送信者アドレスをアウトバウンドメールの署名に置き換えます。これにより、返送先アドレスが偽装されたバウンスメールを識別できます。

署名形式: prvs=<tagvalue>=<sender's email address>

シークレットを入力すると、 SMTP ルートおよびスキャンポリシーで BATV チェックを適用できます。

そのほかの設定はありません。

その他のリソース

トップへ