コンテンツにスキップ

社内メールサーバーの保護 (レガシーモード)

Sophos Firewall を透過的なメールプロキシとして設定し、インターネットから社内メールサーバーにメールをルーティングします。

レガシーモードでメールサーバーを保護する

レガシーモードでは、Sophos Firewall は透過プロキシとして動作します。SMTP のマルウェアスキャンおよびスパムスキャンポリシーと、POP/IMAP のスキャンポリシーを指定できます。以下のルールとポリシーを設定してください。

  • 受信トラフィックおよび送信トラフィックを許可するファイアウォールルール。
  • 受信トラフィックおよび送信トラフィックの IP アドレスを変換する NAT ルール。
  • SMTP 設定
  • SMTP のマルウェアスキャンおよびスパムスキャンポリシー。この入力は任意です。
  • POP/IMAP のスキャンポリシー。この入力は任意です。

ネットワーク図の例を以下に示します。

社内メールサーバーのネットワーク図 (レガシーモード)

メールトラフィックを許可するファイアウォールルールを作成する

DMZ ゾーンと WAN ゾーン間の SMTP および SMTPS トラフィックを許可するファイアウォールルールを作成します。これらのゾーンを送信元ゾーンと宛先ゾーンに追加して、受信メールと送信メールを許可する必要があります。

  1. ルールとポリシー > ファイアウォールルール」に移動し、「ファイアウォールルールの追加」をクリックします。
  2. 送信元ゾーン」で、「DMZ」と「WAN」を選択します。
  3. 宛先ゾーン」で、「WAN」と「DMZ」を選択します。

  4. サービス」で、「SMTP」と「SMTPS」を選択します。

    次に例を示します。

    ファイアウォールルールの送信元ゾーンと宛先ゾーン

  5. メールコンテンツのスキャン」で、「SMTP のスキャン」と「SMTPS のスキャン」を選択します。

    次に例を示します。

    SMTP トラフィックと SMTPS トラフィックをスキャンします

  6. 保存」をクリックします。

NAT ルールを作成して、サーバーの IP アドレスを変換する

受信トラフィック用の NAT ルールを作成して、WAN ポートの IP アドレスを社内メールサーバーに変換します。再帰ルールの作成を選択すると、送信トラフィック用の NAT ルールが自動的に作成され、社内メールサーバーの IP アドレスがマスカレードされます。

  1. ルールとポリシー > NAT ルール」に移動します。「IPv4」または「IPv6」を選択し、「NAT ルールの追加」を選択します。
  2. 変換前の送信元」で「任意」を選択します。
  3. 変換後の送信元 (SNAT)」で「変換前」を選択します。
  4. 元の宛先」で WAN インターフェースを選択します。

  5. 変換後の宛先 (DNAT)」で社内メールサーバーを選択します。

    社内メールサーバーの IP ホストを作成して、リストに表示されるようにする必要があります。

  6. 変換前のサービス」で、「SMTP」と「SMTP[S]」を選択します。

  7. 変換後のサービス (PAT)」で「変換前」を選択します。

    次に例を示します。

    NAT ルールの変換設定

  8. 再帰ルールの作成」を選択して、社内メールサーバーから外部サーバーへのトラフィックをマスカレードする SNAT ルールを作成します。

    NAT ルールの再帰ルール

  9. 保存」をクリックします。

SMTP およびスキャンポリシーを設定する

SMTP の設定を行います。SMTP のマルウェアスキャンポリシーを指定することもできます。必要に応じて、SMTP のスパムスキャンポリシーおよび POP/IMAP のスキャンポリシーも指定します。

  1. メール > 全般設定 > SMTP 設定」に移動します。

    1. SMTP のホスト名を入力します。
    2. 次の容量を超えるメールはスキャンしない」で 2048 と入力し、スキャンするメールサイズの上限を指定します。

    3. 送信者の IP レピュテーションを検証する」を選択します。

      次に例を示します。

      SMTP 設定

  2. メール > SMTP マルウェアスキャン」に移動します。

    1. 受信者のドメインを選択します。

      新規作成」をクリックして、ドメインのアドレス帳を設定できます。

    2. ブロックするファイルの種類」で「実行形式ファイル」を選択します。

    3. MIME のホワイトリスト」で、ブロックしたくないファイルの種類を選択します。

      次に例を示します。

      ブロックするファイルタイプ

    4. スキャン」で「デュアルマルウェア対策」を選択します。

    5. アクション」で「隔離」を選択します。
    6. 感染した添付ファイル」の管理者の設定で、「添付の削除」を選択します。

    7. 保護された添付ファイル」の管理者の設定で、「元の形式を送信」を選択します。

      次に例を示します。

      マルウェアフィルタの設定

  3. 必要に応じて、SMTP と POP/IMAP のスパムスキャンポリシーを設定します。

    Sophos Firewall には、いくつかのデフォルトポリシーが用意されています。これらのデフォルトポリシーは、ポリシーリストから確認できます。ポリシーは、表示されている順序で処理されます。リスト内のポリシーの位置を変更するには、ポリシーをドラッグ&ドロップしてください。