Cisco Secure Emailを使用したMicrosoft 365の設定

概要

このドキュメントでは、着信および発信メール配信のためにCisco Secure EmailとMicrosoft 365を統合するために必要な手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Secure Eメールゲートウェイまたはクラウドゲートウェイ
• Cisco Secure Eメールクラウドゲートウェイ環境へのCLIアクセス：
  • CESカスタマーCLIアクセス
• Microsoft 365
• SMTP
• DNS

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

Cisco Secure Emailのウェルカムレターには、クラウドゲートウェイのIPアドレスおよびその他の関連情報が記載されています。次に示す文字に加えて、割り当て用にプロビジョニングされたクラウドゲートウェイ(ESA)およびクラウドEメールおよびWebマネージャ(SMA)の数に関する詳細を記載した暗号化メールも受信します。手紙を受け取っていない場合、または手紙のコピーがない場合は、ces-activations@cisco.comに連絡し、連絡先情報、顧客名、およびサービス中のドメイン名を連絡してください。

     

IPは各クライアント専用であり、通知なしには変更されない可能性があります。Microsoft 365の設定では、割り当てられたIPまたはホスト名を使用できます。

     

注：これらの設定は、Microsoft 365 Exchangeコンソールでの複製に時間がかかる可能性があるため、計画されている本番メールのカットオーバーの前にテストすることを強くお勧めします。少なくとも、すべての変更が有効になるまでに1時間かかります。

     

注：上のスクリーンショットに表示されるIPアドレスは、割り当てにプロビジョニングされるESAの数に比例します。たとえば、xxx.yy.157.139はESA1のデータ1インターフェイスIPアドレス、xxx.yy.158.153はESA2のデータ1インターフェイスIPアドレスです。ウェルカムレターにデータ2（発信インターフェイスIPs）の情報が含まれていない場合は、Cisco TACに割り当てに追加されたデータ2インターフェイスを取得します

     

Cisco Secure Emailを使用したMicrosoft 365の設定

Cisco Secure EmailからMicrosoft 365で受信メールを設定する

スパムフィルタリングルールのバイパス

1. Microsoft 365 Admin Center(https://portal.microsoft.com)へのログイン
2. 左側のメニューで、[管理センター]を展開します
3. [Exchange]をクリックします
4. 左側のメニューから、[メールフロー] > [ルール]に移動します
5. [+] をクリックして新しいルールを作成します
6. ドロップダウンリストで[スパムフィルタをバイパスする…]を選択します
7. 新しいルールの名前を入力します。スパムフィルタリングのバイパス：Cisco CESからのインバウンド電子メール
8. 「*次の場合にこのルールを適用…「」を選択します。送信者 – IPアドレスは、次のいずれかの範囲内か、または完全に一致します
   • [Specify IP address ranges]ポップアップで、Cisco Secure Emailのウェルカムレターに示されているIPアドレスを追加します
   • [OK] をクリックします。
9. 「*Do the following.."新しいルールが事前に選択されています：Spam Confidence Level(SCL)を…に設定する – スパムフィルタリングをバイパスする
10. [Save] をクリックします。

バイパススパムフィルタリングルールは次のようになります。

受信コネクタ

1. Exchange管理センターに残る
2. 左側のメニューから、[メールフロー] > [コネクタ]に移動します
3. [+]をクリックして、新しいコネクタを作成します
4. [メールフローシナリオの選択(Select your mail flow scenario)]ポップアップウィンドウで、次の項目を選択します。
   • From:パートナー組織
   • これを、次のように変更します。Office365
5. [Next] をクリックします。
6. 新しいコネクタの名前を入力してください：Cisco CESからのインバウンド
7. 必要に応じて、説明を入力します
8. [Next] をクリックします。
9. [送信者のIPアドレスを使用する]をクリックします
10. [Next] をクリックします。
11. [+]をクリックし、Cisco Secure Emailのウェルカムレターに示されているIPアドレスを入力します
12. [Next] をクリックします。
13. TLSで送信しない場合は、[Reject email messages]を選択します
14. [Next] をクリックします。
15. [Save] をクリックします。

受信コネクタの設定は次のようになります。

Cisco Secure EmailからMicrosoft 365へのメールの設定

  

送信先コントロール

[Destination Controls]に配信ドメインを追加して、セルフスロットルを適用します。これは後で削除できますが、これらはMicrosoft 365への「新しい」IPであり、Microsoftの評判が不明なため、Microsoftによるスロットリングは不要です。

1. ゲートウェイへのログイン
2. [メールポリシー] > [宛先制御]に移動します
3. [宛先の追加]をクリック
4. 次の設定を使用します。
   1. 送信先:ドメイン名を入力してください
   2. 同時接続：10
   3. 接続ごとの最大メッセージ数：20
   4. TLSサポート：Preferred
5. [Submit] をクリックします。
6. UIの右上にある[Commit Changes]をクリックして、設定変更を保存します 

     

最終的な宛先制御テーブルは次のようになります。

     

受信者アクセステーブル

次に、ドメインのメールを受け入れるように受信者アクセステーブル(RAT)を設定します。

1. [メールポリシー] > [受信者アクセステーブル(RAT)]に移動します
   • 注：リスナーが、プライマリメールフローのリスナーの実際の名前に応じて、「受信リスナー」、「受信メール」、または「メールフロー」であることを確認します。
2. [受信者の追加]をクリック
3. [Recipient Address]フィールドにドメインを追加します
4. デフォルトのアクションとして[承認]を選択します
5. [Submit] をクリックします。
6. UIの右上にある[Commit Changes]をクリックして、設定変更を保存します  

          

最後のRATエントリは次のようになります。

  

     

SMTPルート

Cisco Secure EmailからMicrosoft 365ドメインにメールを配信するには、SMTPルートを設定する必要があります。

1. [Network] > [SMTP Routes]に移動します
2. [ルートの追加…]をクリックします。
3. 受信ドメイン：ドメイン名を入力してください
4. 宛先ホスト：元のMicrosoft 365 MXレコードの追加
5. [Submit] をクリックします。
6. UIの右上にある[Commit Changes]をクリックして、設定変更を保存します   

     

最終的なSMTPルート設定は次のようになります。

     

DNS（MXレコード）の設定

これで、メール交換(MX)レコードの変更によってドメインをカットオーバーする準備が整いました。DNS管理者と協力して、Cisco Secure Emailのウェルカムレターに記載されているように、MXレコードをCisco Secure Email CloudインスタンスのIPアドレスに解決します。

Microsoft 365コンソールからMXレコードへの変更を確認することもできます。

1. Microsoft 365 Adminコンソール(https://admin.microsoft.com)へのログイン
2. [ホーム] > [設定] > [ドメイン]に移動します
3. デフォルトのドメイン名を選択します
4. [状態の確認]をクリックします

     

Microsoft 365がドメインに関連付けられたDNSレコードとMXレコードを検索する方法に従って、現在の「MXレコード」が表示されます。

     

     

注：上記の例では、DNSはAmazon Web Services(AWS)からホストおよび管理されます。  管理者は、DNSがMicrosoft 365アカウント以外の場所でホストされている場合は、警告が表示されることを期待します。  上記の例のような警告は無視できます。「your_domain_here.comに新しいレコードが追加されたことが検出されませんでした。ホストで作成したレコードが、ここに示すレコードと完全に一致していることを確認してください…」手順に従うと、MXレコードがMicrosoft 365アカウントにリダイレクトするために最初に設定されたレコードにリセットされます。これにより、着信トラフィックフローからCisco Secure Email Gatewayが削除されます。

     

受信電子メールのテスト

Microsoft 365の電子メールアドレスにメッセージを送信して、受信メールをテストします。Microsoft 365の電子メール受信トレイに届くことを確認します。

インスタンスに付属のCisco Secure Email & Web Manager(SMA)のメッセージトラッキングを使用して、メールログを検証します。

SMAのメールログを表示するには、次の手順を実行します。

1. SMA(https://sma.iphmx.com/ng-login)にログインします
2. [トラッキング]をクリック
3. 必要な検索条件を入力し、[Search（検索）]をクリックします。次のような結果が表示されます。

     

Microsoft 365でメールログを表示するには、次の手順を実行します。

1. Microsoft 365 Admin Center(https://admin.microsoft.com)へのログイン
2. 管理センターの展開
3. [Exchange]をクリックします
4. [メールフロー] > [メッセージトレース]に移動します
5. Microsoftでは、検索の既定の条件を提供しています。  [Messages received by my primary domain in the last day]を選択して、検索クエリを開始します。
6. 受信者に必要な検索条件を入力し、[検索]をクリックします。  次のような結果が表示されます。

  

     

Microsoft 365からCisco Secure Emailへの送信電子メールの設定

  

Cisco Secure EメールゲートウェイでのRELAYLISTの設定

Cisco Secure Emailのウェルカムレターを参照してください。セカンダリインターフェイスは、ESA経由の発信メッセージに指定されます。

  

1. ゲートウェイへのログイン
2. [メールポリシー] > [HATの概要]に移動します
   • 注：外部/送信メールフローのListenerの実際の名前に応じて、Listenerが「Outgoing Listener」、「OutgoingMail」、または「MailFlow-Ext」であることを確認します。
3. [Add Sender Group...]をクリックします。
4. 送信者グループを次のように設定します。
   1. [Name]：RELAY_O365
   2. [Comment]：  <<送信者グループに通知する場合はコメントを入力>>
   3. [Policy]：RELAYED
   4. [送信して送信者を追加]をクリックします
   5. 送信者： .protection.outlook.com
      • 注：「。」 送信者ドメイン名の先頭に（ドット）が必要です
   6. [Submit] をクリックします。
   7. UIの右上にある[Commit Changes]をクリックして、設定変更を保存します      

  

最終的なSMTPルート設定は次のようになります。

  

TLSの有効化

1. <<<HAT概要に戻る
2. 次の名前の[Mail Flow Policy]をクリックします。RELAYED
3. 下にスクロールし、[暗号化と認証]の[セキュリティ機能]セクションを確認します
4. [TLS]で、次を選択します。Preferred
5. [Submit] をクリックします。
6. UIの右上にある[Commit Changes]をクリックして、設定変更を保存します

最終的なメールフローポリシー設定は次のようになります。    

  

          

Microsoft 365からCESへのメールの設定

1. Microsoft 365 Admin Center(https://admin.microsoft.com)へのログイン
2. 管理センターの展開
3. [Exchange]をクリックします
4. [メールフロー] > [コネクタ]に移動します
5. 新しいコネクタを作成するには[+]をクリックします
6. [メールフローシナリオの選択]ポップアップウィンドウで、次の項目を選択します。
   • From:Office365
   • 宛先：パートナー組織
7. [Next] をクリックします。
8. 新しいコネクタの名前を入力してください：Cisco CESへのアウトバウンド
9. 必要に応じて、説明を入力します
10. [Next] をクリックします。
11. 「このコネクタを使用するタイミングを選択してください。」を参照してください。
    • 選択：メッセージをこのコネクタにリダイレクトするトランスポートルールが設定されている場合のみ
    • [Next] をクリックします。
12. [Route email through these smart hosts]をクリックします
13. [+]をクリックし、CESウェルカムレターに示されている発信IPアドレスまたはホスト名を入力します
14. [Save] をクリックします。
15. [Next] をクリックします。
16. 「Office 365をパートナー組織の電子メールサーバに接続する方法を教えてください。」
    • 選択：接続を保護するために常にトランスポート層セキュリティ(TLS)を使用する（推奨）
    • [自己署名証明書を含む任意のデジタル証明書]を選択します
    • [Next] をクリックします。
17. 確認画面が表示されます
18. [Next] をクリックします。
19. [+]を使用してコネクタを検証するための有効な電子メールアドレスを入力し、[OK]をクリックします
20. [検証]をクリックし、検証を実行できるようにします
21. 完了したら、[閉じる]をクリックします
22. [Save] をクリックします。

     

発信コネクタの設定は次のようになります。

     

メールフロールールの作成

1. Exchange管理センター(https://outlook.office365.com)にログインします
2. メールフローをクリックします。 [Rules]タブが表示されます
3. [+]をクリックして、新しい規則を追加します
4. [新しいルールの作成]を選択します
5. 新しいルールの名前を入力します。Cisco CESへのアウトバウンド
6. 「*次の場合にこのルールを適用…「」を選択します。送信者が見つかりました…
   • [Select sender location（送信者の場所を選択）]ポップアップで、次を選択します。組織内
   • [OK] をクリックします。
7. [その他のオプション…]をクリックします。
8. [条件の追加]ボタンをクリックし、2番目の条件を挿入します
   • 選択：受信者…
   • 選択：外部/内部
   • [Select sender location（送信者の場所を選択）]ポップアップで、次を選択します。組織外
   • [OK] をクリックします。
9. 「*Do the following..「」を選択します。メッセージのリダイレクト
   • 選択：次のコネクタ
   • 「Outbound to Cisco CES」コネクタを選択します
   • [OK] をクリックします。
10. 「*Do the following..」に戻ります。2つ目のアクションを挿入します。
    • 選択：メッセージのプロパティの変更…
    • 選択：メッセージヘッダーを設定する
    • メッセージヘッダーを設定します。X-OUTBOUND-AUTH
    • [OK] をクリックします。
    • 値を設定します。mysecretkey
    • [OK] をクリックします。
11. [Save] をクリックします。

  

注：Microsoftからの不正なメッセージを防ぐために、メッセージがMicrosoft 365ドメインを離れる際にシークレットxヘッダーにスタンプを設定できます。このヘッダーは、インターネットに配信する前に評価および削除されます。

     

Microsoft 365ルーティング設定は次のようになります。

          

最後に、Cisco Secure Email GatewayのCLIにアクセスします。  

     

注:CESカスタマーCLIアクセス

     

xヘッダーの存在と値を検査し、存在する場合はヘッダーを削除するには、メッセージフィルタを作成する必要があります。ヘッダーが存在しない場合は、メッセージをドロップします。

1. CLIを使用してゲートウェイにログインします。
2. [フィルタ]コマンドを実行
3. ゲートウェイがクラスタ化されている場合は、returnキーを押して「クラスタ」モードでフィルタを編集します
4. [新規作成]操作を使用して、次のメッセージフィルタを作成し、コピーし、貼り付けます。

   office365_outbound: if sendergroup == "RELAY_O365" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. Returnキーを1回押して、新しい空白行を作成します
6. 「。」と入力します。 新しいメッセージフィルタの作成を終了するには、新しい行を使用します
7. Returnキーを1回押して、Filtersメニューを終了します
8. Commitコマンドを実行して、設定の変更を保存します

     

アウトバウンド電子メールのテスト  

     

Microsoft 365電子メールアドレスから外部ドメインの受信者にメッセージを送信して、送信メールをテストします。 Cisco Secure Email & Web Managerからのメッセージトラッキングを確認して、発信が正しくルーティングされたことを確認できます。

注：ゲートウェイのTLS設定([System Administration] > [SSL Configuration])と、アウトバウンドSMTPに使用する暗号を確認する必要がある場合があります。  シスコのベストプラクティスには、次の暗号に関する推奨事項があります。 

HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

       

配信が成功したトラッキングの例：

[詳細]をクリックして、トラッキングの詳細を確認します。

  

xヘッダーが一致しないメッセージトラッキングの例を次に示します。

         

関連情報

シスコのサポートとドキュメント

セキュリティ – Cisco Secure Email Gateway – シスコ

Cisco Secure Email、旧称Email Security - Cisco