メールプロテクションの設定 (MTA モード)
MTA モードで、メールのルーティングや保護の設定を行えます。
MTA モードでメールサーバーを保護する: ネットワーク図
MTA モードでは、社内のメールサーバーとインターネット間で、メールをルーティングできます。MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。
メールサーバーの MX レコードを Sophos Firewall の WAN インターフェースにルーティングするように設定する必要があります。
この例では、以下の設定を行います。
- 送信メールを許可します。
- 受信メールを許可して保護します。
- 送受信メールに TLS およびその他のセキュリティ設定を適用します。
送信メールを許可します
DMZ ゾーンの SMTP リレーをオンにし、メールサーバーのリレー設定を指定します。そうすると、メールサーバーからの送信メールが Sophos Firewall によってインターネットにリレーされるようになります。
- 「管理 > デバイスのアクセス」の順に選択します。
-
「SMTP リレー」の「DMZ」を選択します。
-
「メール」に移動し、メニューボタンにカーソルを合わせて、「リレーの設定」をクリックします。
-
「ホストベースリレー」に移動します。
-
「ホスト/ネットワークからのリレーを許可」で、メールサーバーを選択します。
次に例を示します。
-
「適用」をクリックします。
アドレスグループの追加
メールドメインのアドレスグループを作成します。
- 「メール > アドレスグループ」に移動し、「追加」をクリックします。
- 「グループの種類」が「メールアドレス/ドメイン」に設定されていることを確認します。
- 「種類」が「手動」に設定されていることを確認します。
-
「メールアドレス/ドメイン」にメールドメインを入力し、追加ボタンをクリックします。ここでは、
example.com
を使用します。次に例を示します。
-
「保存」をクリックします。
受信メールを許可して保護します
メールドメイン @example.com
へのインバウンドメールを許可するように Sophos Firewall を設定します。
Sophos Firewall で、SMTP トラフィックのリレーを許可します。また、SMTP ルートとスキャンポリシーを作成して、メールを社内メールサーバーに転送します。この例では、DMZ 内でスタティック IP アドレスを持つメールサーバーを使用します。また、基本的なセキュリティ設定も指定します。
- 「メール > 全般設定」に移動し、「MTA モードに切り替える」をクリックします。
- 「メール > ポリシーと例外」に移動し、「ポリシーの追加」をクリックします。「SMTP ルーティング & スキャン」をクリックします。
- 「保護対象ドメイン」で、先ほど設定したアドレスグループを選択します。
- 「ルート」を「スタティックホスト」に設定します。
-
「ホストの一覧」で、先ほど設定したメールサーバーを選択します。
メールサーバーの IP ホストは、「ホストとサービス > IP ホスト」で設定できます。
保護対象ドメインとメールサーバーを選択する例を以下に示します。
-
「スパム対策」をオンにします。
-
「マルウェア対策」をオンにします
-
「保存」をクリックします。
- 「管理 > デバイスのアクセス」の順に選択します。
-
「SMTP リレー」で「WAN」を選択し、受信メールのリレーを許可します。
-
「適用」をクリックします。
SMTP のセキュリティ設定を行う
SMTP と TLS の設定を行います。
- 「SMTP 設定」の「SMTP ホスト名」に、送信メールサーバーの名前を入力します。
- 「IP レピュテーションに基づいてブロックする」を選択します。
-
「SMTP DoS 設定」を選択します。
次に例を示します。
-
「SMTP TLS 設定」の「TLS 証明書」で、メールサーバーの証明書を選択します。
メールサーバーの証明書は、「証明書 > 証明書 > 証明書のアップロード」からアップロードできます。
-
「無効な証明書を許可」チェックボックスの選択を解除します。
-
「SMTP 詳細設定」で、「送信メールをスキャン」を選択します。
その他のリソース