コンテンツにスキップ

メールプロテクションの設定 (MTA モード)

MTA モードで、メールのルーティングや保護の設定を行えます。

MTA モードでメールサーバーを保護する: ネットワーク図

MTA モードでは、社内のメールサーバーとインターネット間で、メールをルーティングできます。MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。

メールサーバーの MX レコードを Sophos Firewall の WAN インターフェースにルーティングするように設定する必要があります。

ここでは、以下の手順に従います。

  • 送受信メールに TLS およびその他のセキュリティ設定を適用します。
  • アドレスグループを追加します。
  • 受信メールを許可して保護します。
  • 送信メールを許可します。

社内メールサーバーのネットワーク図。

SMTP のセキュリティ設定を行う

SMTP と TLS の設定を行います。

  1. メール > 全般設定」に移動し、「MTA モードに切り替える」をクリックします。

    MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。このルールは、ネットワーク要件に基づいて編集できます。レガシーモードに切り替えてから MTA モードに戻すと、ファイアウォールルールが再作成されます。

  2. SMTP 設定」の「SMTP ホスト名」に、ドメイン名 (例: organization.com) を入力します。メールサーバーのホスト名を入力しないでください。

    ファイアウォールは、HELO および SMTP バナー文字列で SMTP ホスト名を使用します。

    SMTP ホスト名は、システムが生成する通知メールにのみ適用されます。

  3. IP レピュテーションに基づいてブロックする」を選択します。

  4. 証明書 > 証明書 > 証明書のアップロード」に移動し、メールサーバーの証明書をアップロードします。

    ヒント

    リモートメールサーバーが証明書を確実に受け付けるようにするために、パブリック CA によって署名された証明書を使用することをお勧めします。

  5. SMTP TLS 設定」に移動し、「TLS 証明書」で、メールサーバーの証明書を選択します。

  6. SMTP 詳細設定」で、「送信メールをスキャン」を選択します。

    送信メールをスキャンします。

  7. 適用」をクリックします。

アドレスグループの追加

組織のメールドメインのアドレスグループを作成します。

  1. メール > アドレスグループ」に移動し、「追加」をクリックします。
  2. グループの種類」が「メールアドレス/ドメイン」に設定されていることを確認します。
  3. 種類」が「手動」に設定されていることを確認します。
  4. メールアドレス/ドメイン」にメールドメインを入力し、追加ボタンをクリックします。ここでは、example.com を使用します。

    次に例を示します。

    アドレスグループにメールドメインを追加する。

  5. 保存」をクリックします。

受信メールを許可して保護します

メールドメイン @example.com へのインバウンドメールを許可するように Sophos Firewall を設定します。

Sophos Firewall で、SMTP トラフィックのリレーを許可します。また、SMTP ルートとスキャンポリシーを作成して、メールを社内メールサーバーに転送します。この例では、DMZ 内でスタティック IP アドレスを持つメールサーバーを使用します。また、基本的なセキュリティ設定も指定します。

  1. メール > ポリシーと例外」に移動し、「ポリシーの追加」をクリックします。「SMTP ルーティング & スキャン」をクリックします。
  2. 保護対象ドメイン」で、先ほど設定したアドレスグループを選択します。
  3. ルート」を「スタティックホスト」に設定します。
  4. ホストの一覧」で、先ほど設定したメールサーバーを選択します。

    メールサーバーの IP ホストは、「ホストとサービス > IP ホスト」で設定できます。

    保護対象ドメインとメールサーバーを選択する例を以下に示します。

    メールドメインとルーティングサーバー。

  5. スパム対策」をオンにします。

    スパム対策。

  6. マルウェア対策」をオンにします

    マルウェア対策。

  7. 保存」をクリックします。

  8. 管理 > デバイスのアクセス」の順に選択します。
  9. SMTP リレー」で「WAN」を選択し、受信メールのリレーを許可します。

    受信メールの SMTP リレーを許可します。

  10. 適用」をクリックします。

送信メールを許可します

DMZ ゾーンの SMTP リレーをオンにし、メールサーバーのリレー設定を指定します。そうすると、メールサーバーからの送信メールが Sophos Firewall によってインターネットにリレーされるようになります。

  1. 管理 > デバイスのアクセス」の順に選択します。
  2. SMTP リレー」の「DMZ」を選択します。

    SMTP リレーを許可します。

  3. メール」に移動し、メニューボタンにカーソルを合わせて、「リレーの設定」をクリックします。

    リレーの設定メニュー。

  4. ホストベースリレー」に移動します。

  5. ホスト/ネットワークからのリレーを許可」で、メールサーバーを選択します。

    次に例を示します。

    メールサーバーを追加してリレーを許可します。

  6. 適用」をクリックします。

その他のリソース