コンテンツにスキップ

送信メールの暗号化 (MTA モード)

送信メールを暗号化して、機密情報や財務データを保護します。

はじめに

ここでは、DMZ でホストされているメールサーバーからメールを送信するときに、機密データを含むメールを暗号化する例を紹介します。Sophos Firewall は MTA モードにあります。

以下の設定例を紹介します。

  • メールサーバーの IP ホストおよび証明書。この例では、スタティックサーバーを使用します。MX レコードを使用する場合は、メールサーバーの MX レコードを Sophos Firewall の WAN インターフェースにルーティングするように設定する必要があります。
  • メールサーバーの SMTP リレー。
  • SMTP DoS 設定。
  • 財務情報を保護するためのデータコントロールリスト。
  • SPX 暗号化テンプレート。
  • メールドメイン (アドレスグループ)。
  • SMTP ルーティング&スキャンポリシー。

保護対象のデータがメールから検出されると、パスワードの登録を求めるメールが受信者に送信されます。受信者がパスワードを登録すると、このパスワードを使用して暗号化されたメールが受信者に届きます。

メールサーバーのネットワーク図

メールサーバーのホストと証明書を設定する

メールサーバーの IP ホストを作成します。また、メールサーバー証明書をアップロードします。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 種類」を「IP」に設定します。
  4. IP アドレスを入力します。

  5. 2番目のサーバー用の IP ホストを作成します。IP 範囲または IP リストを使用して、すべてのメールサーバーに対して単一のホストを作成することもできます。

    メールサーバーの IP ホストを作成する例を以下に示します。

    メールサーバーの IP ホスト

  6. 証明書 >証明書」の順に選択し、「追加」を選択します。

  7. 証明書のアップロード」を選択します。
  8. 名前を入力します。

  9. 証明書」と「秘密鍵」のファイルをアップロードします。

    次に例を示します。

    メールサーバーの証明書をアップロードします

送信メールを許可します

DMZ ゾーンの SMTP リレーをオンにし、メールサーバーのリレー設定を指定します。そうすると、メールサーバーからの送信メールが Sophos Firewall によってインターネットにリレーされるようになります。

  1. 管理 > デバイスのアクセス」の順に選択します。

  2. SMTP リレー」の「DMZ」を選択します。

    SMTP リレーを許可します

  3. メール」に移動し、メニューボタンにカーソルを合わせて、「リレーの設定」をクリックします。

    リレーの設定メニュー

  4. ホストベースリレー」に移動します。

  5. ホスト/ネットワークからのリレーを許可」で、メールサーバーを選択します。

    次に例を示します。

    メールサーバーを追加してリレーを許可します

  6. 適用」をクリックします。

SMTP のセキュリティ設定を行う

SMTP と TLS の設定を行います。

  1. SMTP 設定」の「SMTP ホスト名」に、送信メールサーバーの名前を入力します。
  2. IP レピュテーションに基づいてブロックする」を選択します。

  3. SMTP DoS 設定」を選択します。

    次に例を示します。

    SMTP 設定

  4. SMTP TLS 設定」の「TLS 証明書」で、メールサーバーの証明書を選択します。

    メールサーバーの証明書は、「証明書 > 証明書 > 証明書のアップロード」からアップロードできます。

  5. 無効な証明書を許可」チェックボックスの選択を解除します。

    TLS 証明書

  6. SMTP 詳細設定」で、「送信メールをスキャン」を選択します。

    送信メールをスキャンします

データコントロールリストの追加

制御対象のデータを選択します。ここでは、財務データを保護する設定の例を示します。

  1. メール > データコントロールリスト」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. CCL」(コンテンツ コントロール リスト) の「種類」を「財務データ」に設定します。

  4. リストから必要な項目を選択します。スクロールダウンすると、リスト全体を表示できます。

    次に例を示します。

    財務データのコントロールリスト

  5. 保存」をクリックします。

SPX テンプレートを作成する

SPX 暗号化テンプレートを設定します。また、SPX ポータルを設定します。SPX ポータルを使用すると、ユーザーがメールに安全に返信することができます。

  1. メール > 暗号化 > SPX テンプレート」に移動し、「追加」をクリックします。

  2. パスワードの種類」を「受信者が設定」に設定します。

    SPX のパスワードの種類

  3. SPX 返信ポータルの有効化」を選択します。

  4. 返信に元の本文を含める」を選択します。

    SPX ポータルの設定

  5. 保存」をクリックします。

アドレスグループの追加

メールドメインのアドレスグループを作成します。

  1. メール > アドレスグループ」に移動し、「追加」をクリックします。
  2. グループの種類」が「メールアドレス/ドメイン」に設定されていることを確認します。
  3. 種類」が「手動」に設定されていることを確認します。

  4. メールアドレス/ドメイン」にメールドメインを入力し、追加ボタンをクリックします。ここでは、example.com を使用します。

    次に例を示します。

    アドレスグループにメールドメインを追加する

  5. 保存」をクリックします。

SMTP ルーティング&スキャンポリシーの追加

SMTP ルーティング&スキャンポリシーを設定して、データコントロールリストと SPX テンプレートを指定します。

  1. メール > ポリシーと例外」に移動し、「ポリシーの追加」をクリックします。「SMTP ルーティング & スキャン」をクリックします。
  2. 保護対象ドメイン」で、先ほど設定したアドレスグループを選択します。
  3. ルート」を「スタティックホスト」に設定します。

  4. ホストの一覧」で、先ほど設定したメールサーバーを選択します。

    次に例を示します。

    メールドメインとルーティングサーバー

  5. データ保護」をオンにします。

    次に例を示します。

    データ保護

  6. 保存」をクリックします。