セキュアな電子メールを使用したMicrosoft 365の設定

概要

このドキュメントでは、Microsoft 365をCisco Secure Email(CSE)と統合して受信および送信Eメールを配信するための設定手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Secure Email Gateway または Cloud Gateway
• Cisco Secure Email Cloud Gateway環境へのコマンドラインインターフェイス(CLI)アクセス：
  Cisco Secure Email Cloud Gateway >コマンドラインインターフェイス(CLI)アクセス
• Microsoft 365
• Simple Mail Transfer Protocol（SMTP）
• ドメインネームサーバ(DNS)またはドメインネームシステム(DNS)

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントは、オンプレミスゲートウェイまたはCiscoクラウドゲートウェイのいずれかに使用できます。

Cisco Secure Emailの管理者のウェルカムレターには、クラウドゲートウェイのIPアドレスやその他の関連情報が記載されます。ここに表示されている手紙に加えて、暗号化された電子メールが送信されます。この電子メールには、割り当てに対してプロビジョニングされたクラウドゲートウェイ（ESAとも呼ばれる）およびクラウド電子メールおよびWebマネージャ（SMAとも呼ばれる）の数に関する詳細が記載されています。手紙を受け取っていない場合、またはコピーを持っていない場合は、お気軽にお問い合わせください  ces-activations@cisco.com 連絡先情報とサービス中のドメイン名を使用します。

     

     

各クライアントには専用のIPがあります。割り当てられた IP またはホスト名を Microsoft 365 の設定で使用できます。

注:Microsoft 365 Exchangeコンソールで設定を複製するには時間がかかるため、計画済みの実稼働メールのカットオーバー前にテストすることを強くお勧めします。少なくとも、すべての変更が有効になるまで1時間かかります。

注：画面キャプチャのIPアドレスは、割り当てにプロビジョニングされたクラウドゲートウェイの数に比例します。たとえば、  xxx.yy.140.105 はゲートウェイ1のデータ1インターフェイスIPアドレスです。  xxx.yy.150.1143 は、ゲートウェイ2のデータ1インターフェイスのIPアドレスです。ゲートウェイ1のデータ2インターフェイスIPアドレスは、  xxx.yy.143.186ゲートウェイ2のデータ2インターフェイスIPアドレスは、 xxx.yy.32.98を参照。データ2（発信インターフェイスIP）の情報が案内状に含まれていない場合は、Cisco TACに連絡して、割り当てに追加されたデータ2インターフェイスを入手してください。

セキュアな電子メールを使用したMicrosoft 365の設定

Cisco Secure Email から Microsoft 365 に着信する電子メールの設定

スパムフィルタリングルールのバイパス

1. Microsoft 365 Admin Center(https://portal.microsoft.com)にログインします。
2. 左側のメニューで、を展開します Admin Centers.
3. クリック Exchange.
4. 左側のメニューから、 Mail flow > Rules.
5. クリック [+] 新しいルールを作成します。
6. 選択 Bypass spam filtering... を選択します。
7. 新しいルールの名前を入力してください： Bypass spam filtering - inbound email from Cisco CES.
8. 「*このルールを適用する条件…」で、 The sender - IP address is in any of these ranges or exactly matches.
   1. 「IPアドレス範囲の指定」ポップアップに、Cisco Secure Emailのウェルカムレターに記載されているIPアドレスを追加します。
   2. クリック OK.
9. '*次の操作を行う…'では、新しいルールが事前に選択されています： Set the spam confidence level (SCL) to... - Bypass spam filtering.
10. クリック Save.

ルールの例を次に示します。

受信コネクタ

1. Exchange管理センターに残ります。
2. 左側のメニューから、 Mail flow > Connectors.
3. クリック [+] 新しいコネクタを作成します。
4. 「メールフローのシナリオを選択してください」ポップアップウィンドウで、次の項目を選択します。
   1. From: Partner organization
   2. これを、次のように変更します。 Office365
5. クリック Next.
6. 新しいコネクタの名前を入力してください： Inbound from Cisco CES.
7. 必要に応じて説明を入力します。
8. クリック Next.
9. クリック Use the sender's IP address.
10. クリック Next.
11. クリック [+] Cisco Secure Emailのウェルカムレターに記載されているIPアドレスを入力します。
12. クリック Next.
13. 選択 Reject email messages if they aren't sent over Transport Layer Security (TLS).
14. クリック Next.
15. クリック Save.
    
    

コネクタの設定の例を次に示します。

Cisco Secure Email から Microsoft 365 への電子メールの設定

送信先コントロール

宛先制御の配信ドメインにセルフスロットルを適用します。もちろん、スロットルは後で削除できますが、これらはMicrosoft 365に対する「新しい」IPであり、レピュテーションが不明であるためMicrosoftによるスロットリングは不要です。

1. ゲートウェイにログインします。
2. 移動先 Mail Policies > Destination Controls.
3. クリック Add Destination.
4. 利用:
   1. 宛先：ドメイン名を入力します。
   2. [同時接続数（Concurrent Connections）]： 10
   3. [接続あたりの最大メッセージ数（Maximum Messages Per Connection）]： 20
   4. [TLS のサポート（TLS Support）]： Preferred
5. クリック Submit.
6. クリック Commit Changes ユーザインターフェイス(UI)の右上で、設定変更を保存します。

宛先制御テーブルの例を次に示します。

受信者アクセステーブル

次に、使用しているドメインへのメールを受け入れるように受信者アクセステーブル（RAT）を設定します。

1. 移動先 Mail Policies > Recipient Access Table (RAT).

   注：プライマリメールフローのリスナーの実際の名前に基づいて、リスナーが「Incoming Listener」、「IncomingMail」、または「MailFlow」であることを確認してください。

2. クリック Add Recipient.
3. Recipient Addressフィールドにドメインを追加します。
4. デフォルトのアクションを選択する Accept.
5. クリック Submit.
6. クリック Commit Changes UIの右上に表示され、設定の変更を保存します。

RATエントリの例を次に示します。

     

SMTP ルート

Cisco Secure EmailからMicrosoft 365ドメインにメールを配信するためのSMTPルートを設定します。

1. 移動先 Network > SMTP Routes.
2. クリック Add Route...
3. 受信ドメイン：ドメイン名を入力します。
4. 宛先ホスト：元のMicrosoft 365 MXレコードを追加します。
5. クリック Submit.
6. クリック Commit Changes UIの右上に表示され、設定の変更を保存します。

SMTPルート設定の例を次に示します。

DNS（MX レコード）設定

メール交換(MX)レコードの変更によってドメインをカットオーバーする準備が整いました。DNS管理者と協力して、MXレコードをCisco Secure Email CloudインスタンスのIPアドレスに解決します（Cisco Secure Emailの案内状に記載されています）。

Microsoft 365コンソールからMXレコードへの変更も確認します。

1. Microsoft 365管理コンソール(https://admin.microsoft.com)にログインします。
2. 移動先 Home > Settings > Domains.
3. デフォルトのドメイン名を選択します。
4. クリック Check Health.

これは、Microsoft 365がドメインに関連付けられたDNSおよびMXレコードを検索する方法の現在の「MXレコード」を示します。

注：この例では、DNSはアマゾンウェブサービス(AWS)によってホストおよび管理されています。管理者は、DNSがMicrosoft 365アカウント以外の場所でホストされている場合は、警告が表示されることを期待します。「your_domain_here.comに新しいレコードが追加されたことを検出できませんでした。ホストで作成したレコードが、ここに表示されているレコードと一致していることを確認してください...」  「ステップバイステップの手順」により、MXレコードがMicrosoft 365アカウントにリダイレクトするように最初に設定した値にリセットされます。これにより、Cisco Secure Email Gatewayが着信トラフィックフローから削除されます。

受信電子メールのテスト

Microsoft 365の電子メールアドレスへの着信メールをテストします。次に、Microsoft 365の電子メールの受信トレイに着信したことを確認します。

インスタンスに付属しているCisco Secure Email and Web Manager（SMAとも呼ばれる）のメッセージトラッキングでメールログを検証します。

SMA でメールログを確認するには、次の手順に従います。

1. SMA(https://sma.iphmx.com/ng-login)にログインします。
2. クリック Tracking.
3. 必要な検索条件を入力して、 Searchを使用すると、次のような結果が得られます。

Microsoft 365 でメールログを確認するには、次の手順に従います。

1. Microsoft 365 Admin Center(https://admin.microsoft.com)にログインします。
2. 拡張 Admin Centers.
3. クリック Exchange.
4. 移動先 Mail flow > Message trace.
5. Microsoftでは、デフォルトの検索条件を提供しています。たとえば、 Messages received by my primary domain in the last day をクリックして検索クエリを開始します。
6. 受信者に必要な検索条件を入力し、 Search 次のような結果が予想されます。

Microsoft 365 から Cisco Secure Email に送信される電子メールの設定

Cisco Secure Email Gateway での RELAYLIST の設定

Cisco Secure Emailの案内状を参照してください。さらに、ゲートウェイ経由の発信メッセージ用にセカンダリインターフェイスが指定されます。

1. ゲートウェイにログインします。
2. 移動先 Mail Policies > HAT Overview.



   注：外部/送信メールフローのリスナーの実際の名前に基づいて、リスナーが「Outgoing Listener」、「OutgoingMail」、または「MailFlow-Ext」であることを確認してください。

3. クリック Add Sender Group...
4. 送信者グループを次のように設定します。
   1. 名前： RELAY_O365
   2. コメント： <<送信者グループに通知する場合はコメントを入力>>
   3. ポリシー：リレー
   4. クリック Submit and Add Senders
   5. 送信者: .protection.outlook.com
      

      注：送信者のドメイン名の先頭には「。」（ドット）を付ける必要があります。

   6. クリック Submit
   7. クリック Commit Changes UIの右上で設定変更を保存します。

送信者グループの設定の例を次に示します。

TLSの有効化

1. クリック <
2. 次の名前のメールフローポリシーをクリックします： RELAYED.
3. 下にスクロールして、 Security Features のセクション Encryption and Authentication.
4. TLS の場合は、次を選択します： Preferred.
5. クリック Submit.
6. クリック Commit Changes UIの右上に表示され、設定の変更を保存します。

メールフローポリシー設定の例を次に示します。

Microsoft 365 から CES へのメールの設定

1. Microsoft 365 Admin Center(https://admin.microsoft.com)にログインします。
2. 拡張 Admin Centers.
3. クリック Exchange.
4. 移動先 Mail flow > Connectors.
5. クリック [+] 新しいコネクタを作成します。
6. 「メールフローのシナリオを選択してください」ポップアップウィンドウで、次の項目を選択します。
   1. From: Office365
   2. これを、次のように変更します。Partner organization
7. クリック Next.
8. 新しいコネクタの名前を入力してください： Outbound to Cisco CES.
9. 必要に応じて説明を入力します。
10. クリック Next.
11. 「このコネクタをいつ使用しますか？」の場合：
    1. 選択: Only when I have a transport rule set up that redirects messages to this connector
    2. クリック Next
12. クリック Route email through these smart hosts.
13. クリック [+] CESウェルカムレターに記載されている発信IPアドレスまたはホスト名を入力します。
14. クリック Save.
15. クリック Next.
16. 「Office 365をパートナー組織の電子メールサーバーに接続する方法を指定してください。」の質問
    1. 選択: Always use TLS to secure the connection (recommended)
    2. 選択Any digital certificate, including self-signed certificates
    3. クリック Next
17. 確認画面が表示されます。
18. クリック Next.
19. 利用 [+] 有効な電子メールアドレスを入力し、 OK.
20. クリック Validate 検証を実行できるようにします。
21. 完了後、cなめる Close.
22. クリックSave.

送信コネクタの外観の例を次に示します。

メールフロールールの作成

1. Exchange管理センター(https://outlook.office365.com)にログインします。
2. クリックして mail flow必ず 「ルール」タブに移動します。
3. クリック [+] をクリックして新しいルールを追加します。
4. 選択 Create a new rule.
5. 新しいルールの名前を入力してください： Outbound to Cisco CES.
6. 「*このルールを適用する条件…」で、次のいずれかを選択します。 The sender is located...
   1. [送信者の場所の選択]ポップアップで、次のいずれかを選択します。 Inside the organization
   2. クリック OK
7. クリック More options...
8. クリック add condition ボタンをクリックし、2番目の条件を挿入します。
   1. 選択 The recipient...
   2. 選択: Is external/internal
   3. [送信者の場所の選択]ポップアップで、次のいずれかを選択します。 Outside the organization
   4. クリック OK
9. 「*次の操作を行う…」の場合は、次のオプションを選択します。 Redirect the message to...
   1. 選択：次のコネクタ
   2. 「Outbound to Cisco CES」コネクタを選択します。
   3. [OK] をクリックします。
10. 「*次の操作を行う…」に戻り、2番目のアクションを挿入します。
    1. 選択: Modify the message properties...
    2. 選択: set the message header
    3. 次のメッセージヘッダーを設定します： X-OUTBOUND-AUTH
    4. クリック OK
    5. 次の値を設定します： mysecretkey
    6. クリック OK
11. クリック Save.

注:Microsoftからの不正なメッセージを防ぐために、メッセージがMicrosoft 365ドメインから送信されるときにシークレットヘッダーxがスタンプされます。このヘッダーは、インターネットに配信される前に評価され、削除されます。

Microsoft 365ルーティング設定の例：

最後に、Cisco Secure Email Gateway の CLI にアクセスします。  

注:Cisco Secure Email Cloud Gateway > Command Line Interface(CLI)アクセス。

メッセージフィルタを作成して、xヘッダーの存在と値を検査し、存在する場合はヘッダーを削除します。 ヘッダーが存在しない場合は、メッセージをドロップします。

1. CLIを使用してゲートウェイにログインします。
2. を実行します。 Filters コマンドを使用して、アップグレードを実行します。
3. ゲートウェイがクラスタ化されている場合は、returnキーを押して「クラスタ」モードでフィルタを編集します。
4.  New メッセージフィルタの作成、コピー、および貼り付けのコマンド：
   
   

   office365_outbound: if sendergroup == "RELAYLIST" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. Returnキーを1回押すと、新しい空白行が作成されます。
6. [.] 新しいメッセージフィルタを終了するには、新しい行をクリックします。
7. クリック return 一度フィルタメニューを終了します。
8. を実行します。 Commit コマンドを発行して、設定の変更を保存します。

注：秘密キーには特殊文字を使用しないでください。メッセージフィルタに表示される「^」および「$」は正規表現文字であり、例に示すように使用します。

注:RELAYLISTの設定方法の名前を確認してください。これは代替名で設定することも、リレーポリシーまたはメールプロバイダーに基づいて特定の名前を使用することもできます。

     

送信電子メールのテスト

Microsoft 365電子メールアドレスから外部ドメイン受信者への送信メールをテストします。Cisco Secure Email and Web Managerからメッセージトラッキングを確認して、メッセージが適切に発信にルーティングされていることを確認できます。

注:TLS設定を確認します(System Administration > SSL Configuration)をゲートウェイに設定し、送信SMTPに使用する暗号を設定します。Cisco Best Practicesでは次のことを推奨しています。

HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

       

配信が成功した場合のトラッキングの例：

クリックして More Details 完全なメッセージの詳細を表示するには、次の手順に従います。

x ヘッダーが一致しないメッセージトラッキングの例：

追加情報

Cisco Secure Email Gatewayに関するドキュメント

• リリース ノート
• ユーザガイド
• CLIリファレンスガイド
• Cisco Secure Email GatewayのAPIプログラミングガイド
• Cisco Secure Email Gatewayで使用されるオープンソース
• Ciscoコンテンツセキュリティ仮想アプライアンスインストールガイド（vESAを含む）

セキュアなEメールクラウドゲートウェイに関する文書

• リリース ノート
• ユーザガイド

Cisco Secure Email and Web Managerに関するドキュメント

• リリースノートと互換性マトリックス
• ユーザガイド
• Cisco Secure Email and Web ManagerのAPIプログラミングガイド
• Ciscoコンテンツセキュリティ仮想アプライアンスインストールガイド（vSMAを含む）

Cisco Secure製品ドキュメント

Cisco Secureポートフォリオの命名アーキテクチャ