送信メールの暗号化 (MTA モード)
送信メールを暗号化して、機密情報や財務データを保護します。
はじめに
ここでは、DMZ でホストされているメールサーバーからメールを送信するときに、機密データを含むメールを暗号化する例を紹介します。Sophos Firewall は MTA モードにあります。
以下の設定例を紹介します。
- メールサーバーの IP ホストおよび証明書。この例では、スタティックサーバーを使用します。MX レコードを使用する場合は、メールサーバーの MX レコードを Sophos Firewall の WAN インターフェースにルーティングするように設定する必要があります。
- メールサーバーの SMTP リレー。
- SMTP DoS 設定。
- 財務情報を保護するためのデータコントロールリスト。
- SPX 暗号化テンプレート。
- メールドメイン (アドレスグループ)。
- SMTP ルーティング&スキャンポリシー。
保護対象のデータがメールから検出されると、パスワードの登録を求めるメールが受信者に送信されます。受信者がパスワードを登録すると、このパスワードを使用して暗号化されたメールが受信者に届きます。
メールサーバーのホストと証明書を設定する
メールサーバーの IP ホストを作成します。また、メールサーバー証明書をアップロードします。
- 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
- 名前を入力します。
- 「種類」を「IP」に設定します。
- IP アドレスを入力します。
-
2番目のサーバー用の IP ホストを作成します。IP 範囲または IP リストを使用して、すべてのメールサーバーに対して単一のホストを作成することもできます。
メールサーバーの IP ホストを作成する例を以下に示します。
-
「証明書 >証明書」の順に選択し、「追加」を選択します。
- 「証明書のアップロード」を選択します。
- 名前を入力します。
-
「証明書」と「秘密鍵」のファイルをアップロードします。
次に例を示します。
送信メールを許可します
DMZ ゾーンの SMTP リレーをオンにし、メールサーバーのリレー設定を指定します。そうすると、メールサーバーからの送信メールが Sophos Firewall によってインターネットにリレーされるようになります。
- 「管理 > デバイスのアクセス」の順に選択します。
-
「SMTP リレー」の「DMZ」を選択します。
-
「メール」に移動し、メニューボタンにカーソルを合わせて、「リレーの設定」をクリックします。
-
「ホストベースリレー」に移動します。
-
「ホスト/ネットワークからのリレーを許可」で、メールサーバーを選択します。
次に例を示します。
-
「適用」をクリックします。
SMTP のセキュリティ設定を行う
SMTP と TLS の設定を行います。
- 「SMTP 設定」の「SMTP ホスト名」に、送信メールサーバーの名前を入力します。
- 「IP レピュテーションに基づいてブロックする」を選択します。
-
「SMTP DoS 設定」を選択します。
次に例を示します。
-
「SMTP TLS 設定」の「TLS 証明書」で、メールサーバーの証明書を選択します。
メールサーバーの証明書は、「証明書 > 証明書 > 証明書のアップロード」からアップロードできます。
-
「無効な証明書を許可」チェックボックスの選択を解除します。
-
「SMTP 詳細設定」で、「送信メールをスキャン」を選択します。
データコントロールリストの追加
制御対象のデータを選択します。ここでは、財務データを保護する設定の例を示します。
- 「メール > データコントロールリスト」に移動し、「追加」をクリックします。
- 名前を入力します。
- 「CCL」(コンテンツ コントロール リスト) の「種類」を「財務データ」に設定します。
-
リストから必要な項目を選択します。スクロールダウンすると、リスト全体を表示できます。
次に例を示します。
-
「保存」をクリックします。
SPX テンプレートを作成する
SPX 暗号化テンプレートを設定します。また、SPX ポータルを設定します。SPX ポータルを使用すると、ユーザーがメールに安全に返信することができます。
- 「メール > 暗号化 > SPX テンプレート」に移動し、「追加」をクリックします。
-
「パスワードの種類」を「受信者が設定」に設定します。
-
「SPX 返信ポータルの有効化」を選択します。
-
「返信に元の本文を含める」を選択します。
-
「保存」をクリックします。
アドレスグループの追加
メールドメインのアドレスグループを作成します。
- 「メール > アドレスグループ」に移動し、「追加」をクリックします。
- 「グループの種類」が「メールアドレス/ドメイン」に設定されていることを確認します。
- 「種類」が「手動」に設定されていることを確認します。
-
「メールアドレス/ドメイン」にメールドメインを入力し、追加ボタンをクリックします。ここでは、
example.com
を使用します。次に例を示します。
-
「保存」をクリックします。
SMTP ルーティング&スキャンポリシーの追加
SMTP ルーティング&スキャンポリシーを設定して、データコントロールリストと SPX テンプレートを指定します。