メールセキュリティサービスの設定¶
MTAとSophosCentralを連携するメールゲートウェイサービス。
受信時はMXを変更してSophos側が一次受けを行い、検査してスプールサーバへ転送する。
送信時はMTAがSophos側へリレーし、検査してSophos側から宛先へ送信する。
従来からあるSophos Email Applianceのクラウド版に相当する。
前提条件¶
- この記事ではMTAをPostfixと想定する
- Sophos Central Emailのライセンスが必要
- AD等でメールを利用するユーザをインポートしておくことが必要
- ユーザと関連付けられていないメールは配送されないとのこと
- 未配送の保留メールなどをSophos Centralのユーザ画面で確認すると思われる
図解¶
■受信の場合- 通常の受信経路
送信元クライアント → 送信サーバ → 受信サーバ(MX) → 受信先クライアント - Sophos組み込み後の受信経路
送信元クライアント → 送信サーバ → Sophosサーバ(MX)→ 受信サーバ → 受信先クライアント
- 通常の送信経路
送信元クライアント → 送信サーバ → 受信サーバ(MX) → 受信先クライアント - Sophos組み込み後の送信経路
送信元クライアント → 送信サーバ(relayhost) → Sophosサーバ→ 受信サーバ(MX) → 受信先クライアント- 補足
ただし、送信時にチェックするかはオプション。
当然送信元がSophosサーバとなるのでSPFレコードなどをSophosにする必要がある。
ローカル→ローカルの場合はSophosサーバに転送されないので、送信専用サーバを用意するなど工夫が必要
- 補足
初期設定¶
- Sophos Centralにアクセスし、『メールゲートウェイ』を選択
- 初期状態ではダッシュボードに『メールセキュリティのセットアップ』ボタンがあるので実行
- セットアップが開始されるので、ADに関する注意書きを確認して続行する
- メールセキュリティのセットアップが開くので以下を入力する
- メールドメイン
- ドメインの方向
受信のみの場合は送信先MTAを設定
送信も行う場合は、送信元MTAを設定(複数設定可能) - 受信先
- IP/FQDNまたはMX
- ポート
- 入力し終わったら「ドメイン所有者の検証」画面になる
- 外部向けDNSのTXTレコードに表示された内容を設定する
TXT ophos-domain-verification=表示されている文字列
- TTLが経過してdig等で取得できるようになったら確認を実行する
- DNSの確認が成功したら、外部依存関係の設定が表示される。
この情報を元に描くサービスを適切に設定する- 受信設定
- MXレコード(外部向けDNSサーバ)
DNSのMXレコードに設定するドメインMXレコード 10 SophosのFQDN1 10 SophosのFQDN1
- SPF/TXTレコード(外部向けDNSサーバ)
Sophosを経由しない送信ルートが無いのであれば、既存のMTA自身のIPは削除してもよいドメインのTXTレコード v=spf1 ip4:既存のMTAのIPアドレス include:_spf.prod.hydra.sophos.com ~all
- ソフォスの配信IP(メール受信サーバ)
MTAのmynetworks等に登録して受信を許可するmynetworks = 既存のサーバのIPなど,SophosサーバのIP1,SophosサーバのIP2
- MXレコード(外部向けDNSサーバ)
- 送信設定
- 送信リレーホスト(メール送信サーバ)
MTAのrelayhostに登録するrelayhost = [SophosのrelayサーバのFQDN]:25
- 送信リレーホスト(メール送信サーバ)
- 受信設定
- MTAをリロードして設定を反映する
- Centralの画面にドメインが登録されたことを確認する