全般設定
全般設定では、Sophos Firewall をメール転送エージェント (MTA) または透過メールプロキシにすることができます。
制限事項
MTA モードは XGS 87(w) ファイアウォールでは使用できません。
SMTP 導入モード
MTA モードとレガシーモードを切り替えるには、ボタンをクリックしてください。
MTA モードでは、複数のメールサーバー上の保護対象ドメインのメールをルーティングし、保護します。受信メールリレーと送信メールリレーを指定し、暗号化と隔離の設定を行うことができます。また、メール配信の遅延の原因や、メールログを確認することもできます。
注
MTA モードをオンにすると、SMTP/SMTPS トラフィックを許可するファイアウォールルールが自動的に作成されます。このルールは、ファイアウォールルールテーブルの一番上に配置することをお勧めします。このルールは、ネットワーク要件に基づいて編集できます。MTA モードからレガシーモードに切り替えてから MTA モードに戻すと、ルールが再作成されます。
レガシーモード (透過メールプロキシ) では、スパム、マルウェア、データ流出を防止するポリシーを指定できます。また、暗号化設定を指定することもできます。
送信バナーの設定
メールのバナーのモード: 送信メールにバナーを追加する方法。
注
バナーを追加するには、ファイアウォールルールで SMTP および SMTPS スキャンを選択する必要があります。
メールのバナー: 送信メールに追加されたテキスト。
テキストバナーのみを追加できます。
例
This email contains confidential information. You aren't authorized to copy the contents without the sender's consent. Print this email only if it's necessary. Spread environmental awareness.
アウトバウンドメールにバナーを追加すると、メール本文が変更されます。変更により DKIM ハッシュが中断され、受信側 MTA で DKIM 検証が失敗します。
SMTP 設定
SMTP ホスト名: HELO と SMTP のバナー文字列に使用する SMTP ホスト名。デフォルトのホスト名: Sophos
注
システムによって生成される通知メールのみに適用されます。
次の容量を超えるメールはスキャンしない: スキャンする最大ファイルサイズ (KB)。このサイズを超える SMTP/S 経由で受信したファイルはスキャンされません。0 はファイルサイズ制限を 51,200KB に設定します。
サイズ超過のメールに対するアクション: 指定されたサイズを超えるメールに対するアクション。
| 名前 | 説明 |
|---|---|
| 許可 | スキャンせずに受信者に転送します。 |
| 拒否 | メールを拒否し、送信者に通知します。 |
| 破棄 | メールを破棄し、送信者に通知しません。 |
IP レピュテーションに基づいてブロックする: IP レピュテーションの低い送信元からのメールを拒否します。
注
IP レピュテーションのチェックは、SMTP ポリシーで指定されているスパムチェックよりも先に実行されます。
SMTP/S で認証された接続のスパム検索を回避する: メールサーバーにより認証された SMTP/S 接続からの受信メールについて、スパムスキャンを省略します。
送信者の IP レピュテーションを検証する: 送信者の IP アドレスのレピュテーションを確認し、レピュテーションが低いメールを拒否します。
注
IP レピュテーションのチェックは、SMTP ポリシーで指定されているスパムチェックよりも先に実行されます。
SMTP DoS 設定: SMTP サービス拒否攻撃からネットワークを保護します。
| 設定 | 説明 | 許容可能な範囲 |
|---|---|---|
| 最大接続数 | メールサーバとの接続。RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。 | |
| 最大接続数/ホスト | ホストからメールサーバーへの接続。RAM とプロセッサの容量に基づいて、最大値が自動的に設定されます。 | |
| 最大メール数/接続 | 接続を介して送信できるメール。 | 1~1000 |
| 最大受信者数/メール | 1件のメールの受信者。 | 1~512 |
| メールレート | ホストから 1分間に送信されるメールの件数。 | 1~1000 |
| 接続レート | ホストからメールサーバーへの接続が 1秒以内に確立されます。 | 1~100 |
注
SFOS 17.5 以降にアップグレードした場合、メールレートと接続レートの指定値が許容範囲内であれば、そのまま移行されます。値が最大制限を超えると、自動的にデフォルト値に設定されます。
| 設定 | 説明 | 許容可能な範囲 |
|---|---|---|
| 最大接続数 | メールサーバーとの接続を確立できます。 | 1~20000 |
| 最大接続数/ホスト | ホストからメールサーバーへの接続が許可されます。 | 1~10000 |
| 最大メール数/接続 | 接続を介して送信できるメール。 | 1~1000 |
| 最大受信者数/メール | 1件のメールの受信者。 | 1~256 |
| メールレート | ホストから 1分間に送信されるメールの件数。 | 1~20000 |
| 接続レート | ホストからメールサーバーへの接続が 1秒以内に確立されます。 | 1~20000 |
POP/S と IMAP/S の設定
次の容量を超えるメールはスキャンしない: スキャンするメールの最大サイズ (KB)。このサイズを超える POP/IMAP で受信したメールはスキャンされません。0 は、サイズ制限を 10,240KB に設定します。
受信者のへッダー: POP/IMAP ポリシーで指定された受信者を検出するためにスキャンされるヘッダー値。デフォルト: Delivered-To、Received、X-RCPT-TO
ポート
Sophos Firewall では、メールに以下の標準ポートを使用します。
- SMTP: ポート25
- SMTPS: ポート465
- POP3: ポート 110 (STARTTLS 拡張機能を使用して SSL/TLS 接続にアップグレード)
- POP3S: ポート 995 (SSL/TLS over POP3)
- IMAP: ポート 143 (STARTTLS 拡張機能を使用して SSL/TLS 接続にアップグレード)
- IMAPS: ポート 993 (SSL/TLS over POP3)
STARTTLS は、安全でない POP3/IMAP 接続を、同じポート上で SSL/TLS セッションにアップグレードします。
注
標準ポート 25、587、465 以外のポートにメールスキャンを設定することもできます。
SMTP TLS 設定
SMTP トラフィックを保護する設定を指定します。
TLS 証明書: SSL を介した SMTP トラフィックをスキャンする CA 証明書またはサーバー証明書。
無効な証明書を許可: 選択すると、メールサーバーからの無効な証明書を使用した SSL 接続経由の SMTP トラフィックが許可されます。このような接続を拒否するには、チェックボックスをオフにします。
レガシーの TLS プロトコルを無効にする: TLS 1.1 より前のプロトコルをオフにする場合に選択します。
注
TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルをオフにすることが推奨されます。
TLS ネゴシエーションを義務付ける: 接続に TLS 暗号化を適用するリモートホスト (メールサーバー) またはネットワークを選択します。指定したホストまたはネットワーク宛てに送信されたメールに対して、TLS で保護された接続を開始します。最大 512 のホストエントリを指定できます。
注
TLS が強制されているにもかかわらず接続を確立できない場合、Sophos Firewall は指定されたリモートホストまたはネットワークへのメールを破棄します。
送信元のメールドメインを要求する: 送信者ドメインを指定し、このドメインからのメール接続に対して TLS 暗号化を適用します。最大 512 のホストエントリを指定できます。
注
TLS が強制されているにもかかわらず接続を確立できない場合、Sophos Firewall はこれらの送信者ドメインからのメールを破棄します。
TLS ネゴシエーションをスキップ: リモートホスト (メールサーバー) またはネットワークを選択して、接続の TLS 暗号化をスキップします。Sophos Firewall は、暗号化されていない SMTP 接続をこれらのホストに確立します。最大 512 のホストエントリを指定できます。
POP および IMAP TLS 設定
POP/IMAP トラフィックを保護する設定を指定します。
TLS 証明書: SSL 経由の POP および IMAP トラフィックをスキャンする CA 証明書。
無効な証明書を許可: 選択すると、メールサーバーからの無効な証明書を使用した SSL 接続で POP および IMAP トラフィックが許可されます。このような接続を拒否するには、チェックボックスをオフにします。
レガシーの TLS プロトコルを無効にする: TLS 1.1 より前のプロトコルをオフにする場合に選択します。
注
TLS の脆弱性の問題に対処するため、レガシーの TLS プロトコルをオフにすることが推奨されます。
ブロック対象の送信元
ブロック対象のメールアドレスを入力します。
メールジャーナル
1人または複数の受信者の受信メールを保存し、これらのメールを管理者に転送できます。
- メールジャーナルを追加するには、「追加」をクリックします。
スパムチェックの例外
ドメイン名: スパムチェックをスキップするドメインを入力します。
マルウェア対策
Sophos Firewall は、2つのマルウェア対策エンジンによるスキャンを提供します。
プライマリマルウェア対策エンジン
プライマリマルウェア対策エンジンを選択して、次のオプションからトラフィックをスキャンします。
- Sophos
- Avira。これを選択すると、SMTP ポリシーでシングルマルウェア対策スキャンを選択した場合、ゼロデイ対策がオフになります。
注
SMTP ポリシーでデュアルマルウェア対策を選択した場合、プライマリエンジンは最初にトラフィックをスキャンし、次にセカンダリエンジンはトラフィックをスキャンします。シングルマルウェア対策を選択した場合は、プライマリエンジンのみがトラフィックをスキャンします。
スマートホストの設定
スマートホストとは、送信者と受信者のメールサーバーの間にある中間サーバーとして動作する MTA です。指定したサーバーを経由して送信メールをルーティングするには、最もスマートな設定を選択します。
ホスト名: 最もスマートなホストを選択します。
注
スマートホストに、Sophos Firewall のインターフェース IP アドレスを指定しないでください。そうすると、ルーティングループが発生します。
ポート: ポート番号を入力します。デフォルト: 25
デバイスをスマートホストで認証する: メールをルーティングする前に、Sophos Firewall でスマートホストを認証する場合に選択します。サインインの認証情報を入力します。
注
Sophos Firewall は、プレーンおよびログイン認証プロトコルに対応しています。
DKIM 検証
DKIM を使用すると、暗号化認証によって送信元ドメイン名とメッセージの整合性を検証し、メールのスプーフィングを防止できます。DKIM 検証はインバウンドメールに適用できます。
DKIM 検証をオンにすると、Sophos Firewall は送信側ドメインの TXT レコード内の公開キーを検索して DKIM 署名を確認します。
| 設定 | 説明 |
|---|---|
| DKIM 検証ができませんでした | 署名に本文ハッシュの不一致があり、送信中のメール本文の変更を示しています。または Sophos Firewall は、偽造された署名またはヘッダーの変更を示す署名を検証できませんでした。 |
| DKIM 署名が無効です | Sophos Firewall で、送信側ドメインの公開鍵が TXT レコードに見つからなかったか、無効な公開鍵構文が見つかりました。 |
| DKIM 署名が見つかりません | メールには、このドメインの DKIM 署名がありません。 |
注
Sophos Firewall は、RSA SHA-1 を使用するか、キー長が 1024 ビット未満または 2048 ビットを超える DKIM 署名付きメールを隔離します。
検証結果のアクションを選択します。
- 許可: 受信者に転送します
- 隔離: メールを隔離します
- 拒否: メールを破棄します
DKIM 署名
Sophos Firewall は、指定したドメイン名、セレクタ、および秘密 RSA キーを使用して、アウトバウンドメールのヘッダーにデジタル署名を追加します。移行先サーバーは、ドメインの TXT レコードの公開キーを使用して署名を確認し、ドメインを検証して、移行中にメールが変更されていないことを確認します。
DKIM 署名の追加方法については、DKIM 署名の追加を参照してください。
SMTP 詳細設定
無効なHELOまたは不明なRDNSを拒否: 無効な HELO/EHLO 引数を送信するホストや、RDNS レコードがないホストを拒否します。
厳密なRDNSチェック: RDNS レコードが不正なホストからのメールを拒否します。
注
RDNS レコードは、ホスト名が送信元の IP アドレスに解決されない場合に、不正とみなされます。
送信メールをスキャン: 送信メールをスキャンする場合に選択します。スパムおよびマルウェアに感染したメールを隔離します。
受信メールをゲートウェイにルーティングする: 選択すると、元のファイアウォールルールを使用して、受信メール (外部および内部の送信者から) をメールサーバーにルーティングします。デフォルトでは、Sophos Firewall はアウトバウンドメールのみをルーティングします。
この設定は、次の場合に使用します。
- 着信メールを WAN ゾーン内のメールサーバー (オンプレミスまたはホスト) にルーティングする。
- LAN または DMZ 内のメールサーバに着信メールを転送するときに、元のファイアウォールルール設定を適用します。
- ISP リンク間でトラフィックのロードバランシングを行うときに IP レピュテーションを維持します。Sophos Firewall は、元のファイアウォールルールで指定されたゲートウェイ設定を適用します。
BATVシークレット: Bounce Address Tag Validation (BATV) のシークレットを入力します。ドメインに複数の MX レコードがある場合は、すべてのシステムに同じ BATV シークレットを指定できます。
Sophos Firewall は、このシークレット、タイムスタンプ、および送信者のメールアドレスを使用して、BATV 署名を生成します。エンベロープ送信者アドレスをアウトバウンドメールの署名に置き換えます。これにより、返送先アドレスが偽装されたバウンスメールを識別できます。
署名形式: prvs=<tagvalue>=<sender's email address>
シークレットを入力すると、 SMTP ルートおよびスキャンポリシーで BATV チェックを適用できます。
そのほかの設定はありません。
その他のリソース