Email Gateway 6.7.2 (Ironmail) SMTP I/O の Email Gateway 7.x への変換
最終更新: 2013-08-01 13:40:20 Etc/GMT
環境
概要
McAfee Email Gateway (MEG) 7.x では、 SMTP の受信と送信の方向とポリシーで関連付けられている電子メールの流れの向きが、電子メールの様々な詳細設定を可能にするために、以前のバージョンから変更されました。
MEG 6.7.2 では、管理者は受信と送信の SMTP トラフィックのソースを指定することができました。 MEG 7.x では、受信と送信のソースリストに依存するのではなく、アプライアンス自身との関連においてメールを処理します。そのため、プロトコルプリセットを受信と送信でそれぞれ別個に設定して異なるアクションを取るように構成することができます。
注意: プロトコルプリセットは MEG 7.x のダッシュボードでは [電子メール] タブの配下にあります。
MEG 6.7.x がどのようにリレーを許可し、内部へのメール転送を行うか
メッセージは、それが承認された送信元から発せられており、かつアプライアンスが電子メールを受け付けるドメインとしては指定されていない宛先に向けられている場合に、外向き (outbound) として扱われます:
- 管理者は、 Intrusion Defender, Mail Firewall, Allow Relay で、内部ソースから外部への送信を Allow Relay として構成します。
- 管理者は、外向きの電子メールの発信元となる内部サーバの IP アドレスを Intrusion Defender, Mail Routing, Internal から構成します。
- Intrusion Defender, Mail Routing, Domain Based に記載されていないドメインは、外部ドメインとして扱われます。
MEG 6.7.x から MEG 7.x の変更点
MEG 7.x を使用する際に留意すべき主要な変更点は以下の通りです:
- MEG 7.x は、ルールではなくポリシーに準拠して動作します。
- MEG 7.x は、不正中継対策と許可リレー (Allow Relay) を統一的に扱います。
- MEG 7.x は、以前の MEG 6.7.x では Virtual Hosts を使用しなければ構成できなかった内容を、仮想ホストを使わずにプロトコルプリセットを使用するだけで構成できます。
ルール準拠とポリシー準拠
MEG 6.7.2 はルール準拠です。全体を管轄する Manager は、アンチスパムやアンチウイルスやコンプライアンスといった電子メール処理に特定のグループに適用されるカスタマイズされたルールを作成する管理者の領域を含みます。一方 MEG 7.x はポリシー準拠の方法を取っており、スパム・ウイルス・コンプライアンスの3領域を1つのポリシーで設定することができます。 MEG 7.x のポリシーとプロトコルプリセットは、マッチするルールが評価され、トリガされます。プロトコルプリセットのない項目については、全ての電子メールがデフォルトのポリシーによって処理されます。
MEG 6.7.x では、非常に多数のルールが、個々のグループもしくはグローバルのManager のページで適用されていなければなりませんでした。 MEG 7.x はこれを大きく簡略化し、まずアクションを取る対象を指定し、次に選択された対象が取るべきアクションを指定するようになりました。
MEG 7.x は以下2つのマッチのルールの領域を持ちます:
- プロトコルプリセット
- 電子メールポリシー
不正中継対策/許可リレー
MEG 7.x では、単一の不正中継対策の設定画面から、ローカルドメイン・許可ドメイン・拒否ドメインを指定することが出来ます。ネットワークアドレスとドメイン名を使用することが出来るので、これは MEG 6.7.x における Allow Relay と Mail Routing および Domain-Based と Internal を統一的に扱うことが出来ます。
以前では、管理者は外部向け電子メールのアドレスを追加する際に Allow Relay と Mail Routing および Domain-Based と Internal のどこに追加するかを決める必要がありました。今は、これを不正中継対策の画面から統一的に扱うことが出来ます。
注意: MEG 7.x でメッセージを処理するように構成する場合、外部向けと内部向けの区別をあらかじめ意識する必要はありません。プロトコルプリセットと電子メールポリシーは、その向きを後から追加で指定することができます。
プロトコルプリセット
MEG 7.x は設定可能なプロトコルプリセットを持ち、管理者はひとつの外部向けプロトコルプリセットを作成すれば、ダッシュボードがプロトコルプリセット機能を提供する場所では何度でもその外部向けプリセットの値を繰り返し使うことが出来ます。例えば 受信者認証 や タイムアウト や 接続の制限 では、管理者は受信メールと送信メールでそれぞれ別個の値をカスタマイズできます。一つの送信用プロトコルプリセットで、これらの設定項目の振る舞いを簡単に素早く見分けることができます。送信用のプロトコルプリセットを一度作るだけで、あとはドロップダウンメニューからそれを選択すれば、簡単に見分けることが出来るようになります。
プロトコルプリセットが使用可能な項目:
- 電子メール, 電子メール構成, プロトコル構成, 接続設定(SMTP), タイムアウト
- 電子メール, 電子メール構成, プロトコル構成, プロトコル設定(SMTP)
- データコマンドオプション
- サービス拒否攻撃の保護
- メッセージ処理
- 透過オプション(ルータモードとブリッジモードのみ)
- アドレス解析オプション
- McAfee Secure Web Mail
- 電子メール, 電子メール構成, プロトコル構成, アドレスマスカレーディング(SMTP)
- 電子メール, 電子メール構成, プロトコル構成, 接続設定とプロトコル設定 (POP3)
- タイムアウト
- POP3 プロトコル設定
- 電子メール, 電子メール構成, 電子メールの受信, 不正中継対策設定, 不正中継対策のオプション
- 電子メール, 電子メール構成, 電子メールの受信, 受信者の認証
- グレイリスト
- 受信者チェック
- ディレクトリハーベストの防止
- 電子メール, 電子メール構成, 電子メールの送信
- 隔離ダイジェストメッセージ
- DKIM 署名
- 電子メール, 隔離構成, 隔離ダイジェストオプション
MEG 7.x における外部向け電子メールポリシーのレポートの使い方:
MEG 7.x アプライアンスは電子メールを受信したか送信したかで解釈するため、McAfee は、送信元 IP アドレスが内部の電子メールサーバの IP アドレスである電子メールポリシーを作成し、これを外部向けのコミュニケーション用途に定義する事を推奨します。ポリシー名の真下の 電子メールを送信中 もしくは 電子メールを受信中 のトグルスイッチは、レポートに電子メールの向きを記録するためのみに用いられます。
外部向け電子メールポリシーを作成するには
外部向けのトラフィックを別個に処理するには、新しい電子メールポリシーを送信元IPアドレスでマッチするルールを作成します。
- ダッシュボードを開き、 電子メール, 電子メールポリシー を選択してください。
- ポリシーを追加します をクリックしてください。
- ポリシーの名前と説明を入力してください。
- 電子メールの方向を選択してください。
注意: 受信と送信は、レポートにおいてフラグとしてのみ使われます。
- 設定の継承 では、デフォルトポリシーを選択してください。継承を変更できるのは、ユーザが作成したポリシーが既にある場合のみです。
- ルール追加 をクリックして、マッチするルールを作成してください。この設定箇所で、アプライアンスが外部向けメッセージを判別する条件を指定します。
- 外部へ向けてメールを送信する、内部メールサーバを指定するには、 送信元 IP アドレス, ある, <使用している内部メールサーバの IP アドレス> を指定してください。
注意: IP アドレスのレンジを指定するには、一致を ある ではなく 含まれている に指定します。
- 外部へメッセージを発信するサーバの IP アドレスが複数ある場合:
- ポリシー作成画面の右上にある ネットワークグループの追加 リンクをクリックしてください。
- ネットワークグループを作成して命名してください。
- ネットワークグループを作成したら、 送信元ネットワークグループ, ある, <グループ名> のルールを作成してください。
- 外部へ向けてメールを送信する、内部メールサーバを指定するには、 送信元 IP アドレス, ある, <使用している内部メールサーバの IP アドレス> を指定してください。
- OK をクリックして、画面右上の緑色のチェックマークをクリックして変更を適用してください。
電子メールポリシーで使用できるマッチルールのパラメータ:
注意: これらの項目はプロトコルプリセットとは異なります。
- 送信元 IP アドレス
- 宛先 IP アドレス
- 送信者の電子メールアドレス
- マスカレードされた送信者電子メールアドレス
- 受信者の電子メールアドレス
- 受信者の電子メールアドレスのリスト
- 受信者の電子メールアドレスのエイリアシング
- エイリアスされた受信者の電子メールアドレスのリスト
- VLAN 識別子
- 受信ネットワーク接続
- 送信ネットワーク接続
- 送信元のホスト名
- 宛先のホスト名
- 送信元ネットワークグループ
- 宛先ネットワークグループ
- ユーザグループ
- LDAP クエリ
- ポリシールール
追加のサブグループを、受信ポリシーと送信ポリシー(例えば、単一のドメイン宛て、ネットワークグループのリスト、電子メールアドレスなど)で適切なマッチルール使用して作成することが出来ます。アプライアンスは、マッチするルールが現れるまでポリシーのリストを上から下へ順次スキャンし、マッチするルールが最初に現れたポリシーのアクションを実施します。
MEG 7.x でプロトコルプリセットを使用して外部向けの処理を区別する方法
プロトコルプリセットを使用して方向を指定できます。上記にリストされた、プロトコルプリセットを使用できるダッシュボードの項目では、送信用のプリセットを作成する事で受信と送信にそれぞれ異なる設定を指定でき、デフォルトを受信用としてみなすことができます。このような設定は、受信者認証のような、受信メッセージについてのみ LDAP の確認が必要となるような場合に特に重要です。その他に重要なプリセットは、受信メッセージに対してのみトリガーすべき隔離ダイジェストを作ることです。
送信用プリセットを作成する方法:
- アプライアンスのダッシュボードにログオンします。
- 電子メール, 電子メール構成, プロトコル構成, プロトコル設定(SMTP) を選択してください。
- 新しいプリセットを作成するには、 プリセットを新規作成します を選択するか、もしくは プリセットを管理します のアイコンをクリックしてください。
注意: 既存のプリセットを変更するには、ドロップダウンリストから該当のプリセットを選択してください。
- ポリシー名を入力してください。
- 継承元を選択してください。
- ロジックを一致させる 方式を選択してください。
- 使用中の環境に合わせて、以下の構成のうち一つを選択してください
- 単一の電子メール送信元の場合:
- ルールを 送信元 IP アドレス, ある, <内部メールサーバのIPアドレス> で作成してください。
- OK をクリックしてください。
- 変更を適用してください。
- 複数のソース IP アドレスが外部へ向けてメッセージを送信するような環境の場合:
- ルールを 送信元 IP アドレス, ある, <内部メールサーバのIPアドレス> で作成してください。
- OK をクリックしてください。
- ルール追加 をクリックして、ルールを 送信元 IP アドレス, ある, <内部メールサーバのIPアドレス> で作成してください。
- OK をクリックし、全ての送信元アドレスが列挙されるまでルールの追加を繰り返してください。
- 変更を適用してください。
- ネットワークグループを作成して複数の送信元を指定する場合:
- プロトコルプリセットの画面で、 ネットワークグループの追加 をクリックしてください。グループ管理の画面にリダイレクトされます (電子メール, グループ管理)。
- 使用中のメールサーバを指定して、新しいネットワークグループを作成してください。各メールサーバについて、下記の情報を入力してください:
- ルールタイプ: IP アドレス
- 一致: ある
- 値: <内部メールサーバの IP アドレス>
- ポリシーを追加します をクリックしてください。
- ポリシー名を入力してください。
- 継承元を指定してください。
- ルール追加 をクリックし、下記の条件を指定ください:
- ルールタイプ: 送信元ネットワークグループ
- 一致: ある
- 値: <作成したネットワークグループ名>
- OK をクリックしてください。
- 変更を適用してください。
- 単一の電子メール送信元の場合:
注意: プロトコルプリセットの判別は、電子メールポリシーが適用される前に行われます。そのため、電子メールポリシーで選択可能なマッチルールの中には、プロトコルプリセットには存在しないものがあります。プロトコルプリセットで使用可能なルールは以下の通りです:
- 送信元 IP アドレス
- 宛先 IP アドレス
- VLAN 識別子
- 受信ネットワーク接続
- 送信ネットワーク接続
- 送信元のホスト名
- 宛先のホスト名
- 送信元ネットワークグループ
- 宛先ネットワークグループ
- ポリシールール
動画チュートリアル
このトピックのウェビナーの録画を視聴できます:
http://kcws.mcafee.com/content/MEG7/Webinars/KB76322.pdf
注意: Adobe Flash Player が必要です。詳細は http://www.adobe.com/products/flashplayer/ を確認ください。