Project

General

Profile

メールセキュリティサービスの設定

MTAとSophosCentralを連携するメールゲートウェイサービス。
受信時はMXを変更してSophos側が一次受けを行い、検査してスプールサーバへ転送する。
送信時はMTAがSophos側へリレーし、検査してSophos側から宛先へ送信する。

従来からあるSophos Email Applianceのクラウド版に相当する。

前提条件

  • この記事ではMTAをPostfixと想定する
  • Sophos Central Emailのライセンスが必要
  • AD等でメールを利用するユーザをインポートしておくことが必要
    • ユーザと関連付けられていないメールは配送されないとのこと
    • 未配送の保留メールなどをSophos Centralのユーザ画面で確認すると思われる

図解

■受信の場合
  • 通常の受信経路
    送信元クライアント → 送信サーバ → 受信サーバ(MX) → 受信先クライアント
  • Sophos組み込み後の受信経路
    送信元クライアント → 送信サーバ → Sophosサーバ(MX)→ 受信サーバ → 受信先クライアント
■送信の場合
  • 通常の送信経路
    送信元クライアント → 送信サーバ → 受信サーバ(MX) → 受信先クライアント
  • Sophos組み込み後の送信経路
    送信元クライアント → 送信サーバ(relayhost) → Sophosサーバ→ 受信サーバ(MX) → 受信先クライアント
    • 補足
      ただし、送信時にチェックするかはオプション。
      当然送信元がSophosサーバとなるのでSPFレコードなどをSophosにする必要がある。
      ローカル→ローカルの場合はSophosサーバに転送されないので、送信専用サーバを用意するなど工夫が必要

初期設定

  1. Sophos Centralにアクセスし、『メールゲートウェイ』を選択
  2. 初期状態ではダッシュボードに『メールセキュリティのセットアップ』ボタンがあるので実行
  3. セットアップが開始されるので、ADに関する注意書きを確認して続行する
  4. メールセキュリティのセットアップが開くので以下を入力する
    • メールドメイン
    • ドメインの方向
      受信のみの場合は送信先MTAを設定
      送信も行う場合は、送信元MTAを設定(複数設定可能)
    • 受信先
    • IP/FQDNまたはMX
    • ポート
  5. 入力し終わったら「ドメイン所有者の検証」画面になる
  6. 外部向けDNSのTXTレコードに表示された内容を設定する
    TXT ophos-domain-verification=表示されている文字列
    
    • TTLが経過してdig等で取得できるようになったら確認を実行する
  7. DNSの確認が成功したら、外部依存関係の設定が表示される。
    この情報を元に描くサービスを適切に設定する
    • 受信設定
      • MXレコード(外部向けDNSサーバ)
        DNSのMXレコードに設定する
        ドメインMXレコード
        
        10 SophosのFQDN1
        10 SophosのFQDN1
        
      • SPF/TXTレコード(外部向けDNSサーバ)
        Sophosを経由しない送信ルートが無いのであれば、既存のMTA自身のIPは削除してもよい
        ドメインのTXTレコード
        v=spf1 ip4:既存のMTAのIPアドレス include:_spf.prod.hydra.sophos.com ~all
        
      • ソフォスの配信IP(メール受信サーバ)
        MTAのmynetworks等に登録して受信を許可する
        mynetworks = 既存のサーバのIPなど,SophosサーバのIP1,SophosサーバのIP2
        
    • 送信設定
      • 送信リレーホスト(メール送信サーバ)
        MTAのrelayhostに登録する
        relayhost = [SophosのrelayサーバのFQDN]:25
        
  8. MTAをリロードして設定を反映する
  9. Centralの画面にドメインが登録されたことを確認する