メールプロテクションの設定 (MTA モード)
MTA モードで、メールのルーティングや保護の設定を行えます。
MTA モードでメールサーバーを保護する: ネットワーク図
MTA モードでは、社内のメールサーバーとインターネット間で、メールをルーティングできます。MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。
メールサーバーの MX レコードを Sophos Firewall の WAN インターフェースにルーティングするように設定する必要があります。
ここでは、以下の手順に従います。
- 送受信メールに TLS およびその他のセキュリティ設定を適用します。
- アドレスグループを追加します。
- 受信メールを許可して保護します。
- 送信メールを許可します。
SMTP のセキュリティ設定を行う
SMTP と TLS の設定を行います。
-
「メール > 全般設定」に移動し、「MTA モードに切り替える」をクリックします。
注
MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。このルールは、ネットワーク要件に基づいて編集できます。レガシーモードに切り替えてから MTA モードに戻すと、ファイアウォールルールが再作成されます。
-
「SMTP 設定」の「SMTP ホスト名」に、ドメイン名 (例: organization.com) を入力します。メールサーバーのホスト名を入力しないでください。
ファイアウォールは、HELO および SMTP バナー文字列で SMTP ホスト名を使用します。
注
SMTP ホスト名は、システムが生成する通知メールにのみ適用されます。
-
「IP レピュテーションに基づいてブロックする」を選択します。
-
「証明書 > 証明書 > 証明書のアップロード」に移動し、メールサーバーの証明書をアップロードします。
ヒント
リモートメールサーバーが証明書を確実に受け付けるようにするために、パブリック CA によって署名された証明書を使用することをお勧めします。
-
「SMTP TLS 設定」に移動し、「TLS 証明書」で、メールサーバーの証明書を選択します。
-
「SMTP 詳細設定」で、「送信メールをスキャン」を選択します。
-
「適用」をクリックします。
アドレスグループの追加
組織のメールドメインのアドレスグループを作成します。
- 「メール > アドレスグループ」に移動し、「追加」をクリックします。
- 「グループの種類」が「メールアドレス/ドメイン」に設定されていることを確認します。
- 「種類」が「手動」に設定されていることを確認します。
-
「メールアドレス/ドメイン」にメールドメインを入力し、追加ボタンをクリックします。ここでは、
example.com
を使用します。次に例を示します。
-
「保存」をクリックします。
受信メールを許可して保護します
メールドメイン @example.com
へのインバウンドメールを許可するように Sophos Firewall を設定します。
Sophos Firewall で、SMTP トラフィックのリレーを許可します。また、SMTP ルートとスキャンポリシーを作成して、メールを社内メールサーバーに転送します。この例では、DMZ 内でスタティック IP アドレスを持つメールサーバーを使用します。また、基本的なセキュリティ設定も指定します。
- 「メール > ポリシーと例外」に移動し、「ポリシーの追加」をクリックします。「SMTP ルーティング & スキャン」をクリックします。
- 「保護対象ドメイン」で、先ほど設定したアドレスグループを選択します。
- 「ルート」を「スタティックホスト」に設定します。
-
「ホストの一覧」で、先ほど設定したメールサーバーを選択します。
メールサーバーの IP ホストは、「ホストとサービス > IP ホスト」で設定できます。
保護対象ドメインとメールサーバーを選択する例を以下に示します。
-
「スパム対策」をオンにします。
-
「マルウェア対策」をオンにします
-
「保存」をクリックします。
- 「管理 > デバイスのアクセス」の順に選択します。
-
「SMTP リレー」で「WAN」を選択し、受信メールのリレーを許可します。
-
「適用」をクリックします。
送信メールを許可します
DMZ ゾーンの SMTP リレーをオンにし、メールサーバーのリレー設定を指定します。そうすると、メールサーバーからの送信メールが Sophos Firewall によってインターネットにリレーされるようになります。
- 「管理 > デバイスのアクセス」の順に選択します。
-
「SMTP リレー」の「DMZ」を選択します。
-
「メール」に移動し、メニューボタンにカーソルを合わせて、「リレーの設定」をクリックします。
-
「ホストベースリレー」に移動します。
-
「ホスト/ネットワークからのリレーを許可」で、メールサーバーを選択します。
次に例を示します。
-
「適用」をクリックします。
その他のリソース