Microsoft 365でのセキュアな電子メールの設定

はじめに

このドキュメントでは、受信および送信Eメール配信用にMicrosoft 365をCisco Secure Emailと統合する設定手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Secure Email Gateway または Cloud Gateway
• Cisco Secure Email Cloud Gateway環境へのコマンドラインインターフェイス(CLI)アクセス：
  Cisco Secure Email Cloud Gateway >コマンドラインインターフェイス(CLI)アクセス
• Microsoft 365
• Simple Mail Transfer Protocol（SMTP）
• ドメインネームサーバ(DNS)またはドメインネームシステム(DNS)

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントは、オンプレミスゲートウェイまたはCisco Cloud Gatewayのいずれかに使用できます。

Cisco Secure Emailの管理者のウェルカムレターには、クラウドゲートウェイのIPアドレスとその他の関連情報が記載されます。ここに表示されている文字に加えて、暗号化された電子メールが送信されます。この電子メールには、割り当てに対してプロビジョニングされたクラウドゲートウェイ(ESA)およびクラウド電子メールおよびWebマネージャ(SMA)の数の詳細が記載されています。この手紙を受け取っていない場合、またはこの手紙のコピーを所有していない場合は、連絡先情報とサービス対象のドメイン名を添えて、ces-activations@cisco.comまでお問い合わせください。

各クライアントには専用のIPがあります。割り当てられた IP またはホスト名を Microsoft 365 の設定で使用できます。

注:Microsoft 365 Exchangeコンソールでの設定の複製には時間がかかるため、実稼働メールのカットオーバーを計画する前にテストすることを強くお勧めします。少なくとも、すべての変更が有効になるまで1時間かかります。

注：画面キャプチャのIPアドレスは、割り当てにプロビジョニングされたクラウドゲートウェイの数に比例します。たとえば、xxx.yy.140.105はゲートウェイ1のデータ1インターフェイスのIPアドレスで、xxx.yy.150.1143はゲートウェイ2のデータ1インターフェイスのIPアドレスです。ゲートウェイ1のデータ2インターフェイスのIPアドレスはxxx.yy.143.186、ゲートウェイ2のデータ2インターフェイスのIPアドレスはxxx.yy.32.98です。ウェルカムレターにデータ2（発信インターフェイスIP）の情報が含まれていない場合は、Cisco TACに連絡して、データ2インターフェイスを割り当てに追加してください。

Microsoft 365でのセキュアな電子メールの設定

Cisco Secure Email から Microsoft 365 に着信する電子メールの設定

スパムフィルタリングルールのバイパス

1. Microsoft Exchange Admin Centerにログインします。
2. 左側のメニューから、メールフロー>ルールに移動します。
3. Add a ruleをクリックして、新しいルールを作成します。
4. 新しいルールの名前を入力します(Bypass spam filtering - Inbound email from Cisco CES)。
5. *Apply this rule if...では、The sender - IP address is in any of these range or exactly matchesを選択します。
   1. [IPアドレス範囲の指定]ポップアップで、Cisco Secure Emailのウェルカムレターに記載されているIPアドレスを追加します。
   2. [OK] をクリックします。
6. *Do the following...に対しては、Modify the message propertiesを選択し、set the spam confidence level (SCL) using Bypass spam filteringを選択します。
7. [Next] をクリックします。
8. Enforceを選択し、Nextをクリックします。
9. およびFinish

ルールの外観の例：

バイパスルール

受信コネクタ

1. Exchange管理センターに残ります。
2. 左側のメニューから、メールフロー>コネクタに移動します。
3. [+コネクタを追加]をクリックして、新しいコネクタを作成します。
4. Select your mail flow scenarioポップアップウィンドウで、次のように選択します。
   1. 差出人：パートナー組織
   2. 宛先： Office365
5. [Next] をクリックします。
6. 新しいコネクタの名前を入力します(Inbound from Cisco CES)。
7. 必要に応じて説明を入力します。
8. [Next] をクリックします。
9. 送信元のIPアドレスを確認する…を選択します。
10. [+]をクリックし、ウェルカムレターで提供され、Bypass Spamフィルタリングルールで使用されるIPアドレスを追加します。 
11. [Next] をクリックします。
12. Transport Layer Security(TLS)で送信されない電子メールメッセージについては、Rejectを選択します。
13. [Next] をクリックします。
14. [Save] をクリックします。
    
    

コネクタの設定の例を次に示します。

コネクタ受信

Cisco Secure Email から Microsoft 365 への電子メールの設定

送信先コントロール

宛先制御で配信ドメインにセルフスロットルを適用します。もちろん、スロットルは後で削除できますが、これらはMicrosoft 365への新しいIPであり、レピュテーションが不明であるためMicrosoftによるスロットルは必要ありません。

1. ゲートウェイにログインします。
2. Mail Policies > Destination Controlsの順に移動します。
3. [Add Destination] をクリックします。
4. 利用:
   1. 宛先：ドメイン名を入力してください
   2. 同時接続数：10
   3. 接続あたりの最大メッセージ数：20
   4. TLSサポート：推奨
5. [Submit] をクリックします。
6. ユーザインターフェイス(UI)の右上にあるCommit Changesをクリックして、設定の変更を保存します。

宛先制御テーブルの表示例を次に示します。

受信者アクセステーブル

次に、使用しているドメインへのメールを受け入れるように受信者アクセステーブル（RAT）を設定します。

1. Mail Policies > Recipient Access Table (RAT)の順に移動します。

   注：プライマリメールフローのリスナーの実際の名前に基づいて、リスナーがIncoming Listener、IncomingMail、またはMailFlow用であることを確認してください。

2. Add Recipientをクリックします。
3. 「Recipient Address」フィールドにドメインを追加します。
4. Acceptのデフォルトアクションを選択します。
5. [Submit] をクリックします。
6. UIの右上にあるCommit Changesをクリックして、設定の変更を保存します。

RATエントリの例を次に示します。

SMTP ルート

Cisco Secure EmailからMicrosoft 365ドメインにメールを配信するためのSMTPルートを設定します。

1. Network > SMTP Routesの順に移動します。
2. [ルートを追加...（Add Route...）] をクリックします。
3. 受信ドメイン：ドメイン名を入力します。
4. 宛先ホスト：元のMicrosoft 365 MXレコードを追加します。
5. [Submit] をクリックします。
6. UIの右上にあるCommit Changesをクリックして、設定の変更を保存します。

SMTPルート設定の例を次に示します。

DNS（MX レコード）設定

メール交換(MX)レコードの変更によってドメインをカットオーバーする準備が整いました。DNS管理者と協力して、MXレコードをCisco Secure Email CloudインスタンスのIPアドレスに解決します（Cisco Secure Emailのウェルカムレターに記載されています）。

Microsoft 365コンソールからMXレコードへの変更も確認します。

1. Microsoft O365管理コンソールにログインします。
2. Home > Settings > Domainsの順に選択します。
3. デフォルトのドメイン名を選択します。
4. [正常性の確認]をクリックします。

これにより、ドメインに関連付けられているDNSレコードとMXレコードがMicrosoft 365でどのように検索されるかの現在のMXレコードが提供されます。

注：この例では、DNSはアマゾンウェブサービス(AWS)によってホストおよび管理されています。 管理者は、DNSがMicrosoft 365アカウント以外の場所でホストされている場合に警告が表示されることを期待します。「your_domain_here.comに新しいレコードが追加されたことが検出されませんでした。ホストで作成したレコードが、ここに表示されているレコードと一致していることを確認してください。」  手順に従って操作すると、MXレコードがリセットされ、Microsoft 365アカウントにリダイレクトするように最初に設定された値に戻ります。これにより、Cisco Secure Email Gatewayが着信トラフィックフローから削除されます。

受信電子メールのテスト

Microsoft 365の電子メールアドレスへの受信メールをテストします。次に、Microsoft 365の電子メールの受信トレイに着信したことを確認します。

インスタンスで提供されるCisco Secure Email and Web Manager（SMAとも呼ばれる）のメッセージトラッキングでメールログを検証します。

SMA でメールログを確認するには、次の手順に従います。

1. SMAにログインします。
2. Trackingをクリックします。
3. 必要な検索条件を入力してSearchをクリックします。これにより、次のような結果が表示されます。

Microsoft 365 でメールログを確認するには、次の手順に従います。

1. Microsoft Exchange管理センターにログインします。
2. Mail flow > Message traceの順に移動します。
3. Microsoftでは、デフォルトの検索条件を提供しています。たとえば、検索クエリを開始する場合は、Messages received by my primary domain in last dayを選択します。
4. 受信者に必要な検索条件を入力し、Searchをクリックすると、次のような結果が表示されます。

Microsoft 365 から Cisco Secure Email に送信される電子メールの設定

Cisco Secure Email Gateway での RELAYLIST の設定

Cisco Secure Emailの案内状を参照してください。さらに、ゲートウェイ経由の発信メッセージ用にセカンダリインターフェイスが指定されます。

1. ゲートウェイにログインします。
2. 移動先：  Mail Policies > HAT Overviewの順に選択します。



   注：外部/発信メールフローのリスナーの実際の名前に基づいて、リスナーが発信リスナー、発信メール、またはMailFlow-Ext用であることを確認してください。

3. [送信者グループを追加...（Add Sender Group...）] をクリックします。
4. 送信者グループを次のように設定します。
   1. 名前： RELAY_O365
   2. コメント： <<送信者グループに通知する場合はコメントを入力>>
   3. ポリシー：リレー
   4. Submit and Add Sendersをクリックします。
   5. 送信者：.protection.outlook.com
      

      注:送信者のドメイン名の先頭に（ドット）が必要です。

   6. [Submit] をクリックします。
   7. UIの右上にあるCommit Changesをクリックして、設定の変更を保存します。

送信者グループの設定の例を次に示します。

TLSの有効化

1. <<HATの概要に戻るをクリックします。
2. RELAYEDという名前のメールフローポリシーをクリックします。
3. スクロールダウンして、Encryption and AuthenticationのSecurity Featuresセクションを探します。
4. TLSには、Preferredを選択します。
5. [Submit] をクリックします。
6. UIの右上にあるCommit Changesをクリックして、設定の変更を保存します。

メールフローポリシー設定の例を次に示します。

Microsoft 365 から CES へのメールの設定

1. Microsoft Exchange管理センターにログインします。
2. Mail flow > Connectorsの順に移動します。
3. [+コネクタを追加]をクリックして、新しいコネクタを作成します。
4. Select your mail flow scenarioポップアップウィンドウで、次のように選択します。
   1. 差出人： Office365
   2. [宛先（To）]：Partner organization
5. [Next] をクリックします。
6. 新しいコネクタの名前を入力します(Outbound to Cisco CES)。
7. 必要に応じて説明を入力します。
8. [Next] をクリックします。
9. [このコネクタを使用するタイミング]:
   1. Only when I have a transport rule set up that redirects messages to this connectorを選択します。
   2. [Next] をクリックします。 
10. Route email through these smart hostsをクリックします。
11. [+]をクリックし、CESウェルカムレターに記載されている発信IPアドレスまたはホスト名を入力します。
12. [Save] をクリックします。
13. [Next] をクリックします。
14. Office 365をパートナー組織のメールサーバーに接続する方法
    1. Always use TLS to secure the connection（推奨）を選択します。
    2. 自己署名証明書を含む、任意のデジタル証明書を選択します。
    3. [Next] をクリックします。
15. 確認画面が表示されます。
16. [Next] をクリックします。
17. [+]を使用して有効な電子メールアドレスを入力し、OKをクリックします。
18. Validateをクリックして、検証の実行を許可します。
19. 完了したら、[Close] をクリックします。
20. Saveをクリックします。

送信コネクタの外観の例を次に示します。

メールフロールールの作成

1. Exchange管理センターにログインします。
2. mail flowをクリックします。rulesタブにあることを確認してください。
3. [+]をクリックして新しいルールを追加します。
4. Create a new ruleを選択します。
5. 新しいルールの名前を入力します(Outbound to Cisco CES)。
6. *Apply this rule if...では、「The sender is located...」を選択します。
   1. 送信者の場所を選択するポップアップで、組織の内部を選択します。
   2. [OK] をクリックします。
7. [その他のオプション...（More options...）] をクリックします。
8. add conditionボタンをクリックして、2番目の条件を挿入します。
   1. 受信者の選択...
   2. Is external/internalを選択します。
   3. select sender locationポップアップで、Outside the organizationを選択します。
   4. [OK] をクリックします。
9. *Do the following...の場合は、Redirect the message to...を選択します。
   1. 選択：次のコネクタを選択します。
   2. Outbound to Cisco CESコネクタを選択します。
   3. [OK] をクリックします。
10. 「*次の操作を実行…」に戻り、2番目のアクションを挿入します。
    1. 選択：メッセージのプロパティを変更…
    2. 選択：メッセージヘッダーを設定します。
    3. メッセージヘッダーを設定します(X-OUTBOUND-AUTH)。
    4. [OK] をクリックします。
    5. 値を設定します：mysecretkey
       1. mysecretkeyは単なるプレースホルダです。 お客様の環境に合わせてカスタマイズしてください。
    6. [OK] をクリックします。
11. [Save] をクリックします。

注:Microsoftからの不正なメッセージを防ぐために、メッセージがMicrosoft 365ドメインから送信される際にシークレットヘッダーにxのスタンプを押すことができます。このヘッダーは、インターネットに配信される前に評価され、削除されます。

Microsoft 365ルーティング設定の例：

オープンリレーの防止

警告：これは重要なステップです。不正なユーザがデバイスを介して電子メールをリレーしないようにするには、発信リスナーを保護することが不可欠です

次の2つのオプションがあります。メッセージフィルタ(CLI)をお勧めしますが、コンテンツフィルタ(GUI)も、CLIに慣れていないユーザにとっては優れたオプションです。 

（オプション1）GUI経由のオープンリレーの防止

GUIで2つのコンテンツフィルタを作成します（以下のスクリーンショットを参照）。

• 最初のフィルタは、X-OUTBOUND-AUTHヘッダーがない電子メール、またはO365で以前に設定した値を含まない電子メールに対してアクションを実行します。
• 2つ目のフィルタは、O365テナントから送信される正当な電子メールに適用されます。このフィルタはX-OUTBOUND-AUTHヘッダーを削除するため、将来悪用されることはありません。

1. GUIから、Mail Policies >> Outgoing Content Filters >> select Stop_O365_OpenRelay(利用できない場合はAdd Filter...を選択)に移動します。
2. 最初のコンテンツフィルタが次のように設定されていることを確認します。
   • 名前：<これは何でもかまいません>
   • 説明：<これは何でもかまいません>
   • ルールの適用：すべての条件が一致する場合のみ
   • 条件
     • その他のヘッダー：
       • Header Name（ヘッダー名）:<O365でのメールフロールールの作成時に上から入力するヘッダー名)(例：X-OUTBOUND-AUTH
         • お客様によっては、X-IronPort-Tenantのヘッダー値を使用して、この設定を事前に定義している場合があります。これはまた使用できますが、重要な部分は単にコンテンツフィルタ条件で入力されたヘッダー値が、O365のメールフロールールで設定されたヘッダー値と一致していることを確認することです。 
       • ヘッダー値（等しくない）:<O365のメールフロールールの作成時に上から取得したヘッダーの値を入力します。例：mysecretkey
     • 受信リスナー(Is):送信
   • [アクション（Actions）]
     • ログエントリの追加：$Header["X-OUTBOUND-AUTH"]
       • お客様によっては、X-IronPort-Tenantのヘッダー値を使用して、この設定を事前に定義している場合があります。これはまた使用できますが、重要な部分は単にコンテンツフィルタ条件で入力されたヘッダー値が、O365のメールフロールールで設定されたヘッダー値と一致していることを確認することです。 
     • 検疫： 
   • 上記の文字以外の特殊文字(*、（、|など）は、誤検出の一致を引き起こし、正当な電子メールが検疫される可能性があるため、使用しないでください。
   • [Submit] をクリックします。
3. 次に、Strip_Secret_Headerコンテンツフィルタを選択し、次のように設定します(使用できない場合は、フィルタの追加を選択します)。
   • 名前：<これは何でもかまいません>
   • 説明：<これは何でもかまいません>
   • 条件
     • その他のヘッダー：
       • Header Name（ヘッダー名）:<O365でのメールフロールールの作成時に上から入力するヘッダー名)(例：X-OUTBOUND-AUTH
         • お客様によっては、X-IronPort-Tenantのヘッダー値を使用して、この設定を事前に定義している場合があります。これはまた使用できますが、重要な部分は単にコンテンツフィルタ条件で入力されたヘッダー値が、O365のメールフロールールで設定されたヘッダー値と一致していることを確認することです。 
       • ヘッダー値（等しい）:<O365のメールフロールールの作成時に上から取得したヘッダーの値を入力します。例：mysecretkey
   • [アクション（Actions）]
     • ストリップヘッダー 
       • Header Name（ヘッダー名）:<O365でのメールフロールールの作成時に上から入力するヘッダー名)(例：X-OUTBOUND-AUTH
         • お客様によっては、X-IronPort-Tenantのヘッダー値を使用して、この設定を事前に定義している場合があります。これはまた使用できますが、重要な部分は単にコンテンツフィルタ条件で入力されたヘッダー値が、O365のメールフロールールで設定されたヘッダー値と一致していることを確認することです。 
4. Submitをクリックし、Mail Policies >> Outgoing Mail Policiesに移動します
5. 新しく作成したコンテンツフィルタがデフォルトポリシーおよびその他の必要なポリシーで有効になっていることを確認します
   • Strip_Secret_Headerコンテンツフィルタがメールポリシーで正しい順序になっていることを確認します。 このフィルタはStop_O365_OpenRelayコンテンツフィルタの後に配置する必要があります。そうしないと、メールフローに影響を与えたり、コンテンツフィルタが意図したとおりに動作しない可能性があります。 
6. Submit >> Commit」を選択します
7. 送信Eメールトラフィックのテストに進みます

ヒント：テストが正常に完了し、メール配信が期待どおりに動作したら、コンテンツフィルタのアクションを「隔離」から「ドロップ」に変更することをお勧めします。

Stop_O365_OpenRelayコンテンツフィルタ

Strip_Secret_Headerコンテンツフィルタ

（オプション2） CLIによるオープンリレーの防止

Cisco Secure Email GatewayのCLIにアクセスします。

注:Cisco Secure Email Cloud Gateway > Command Line Interface(CLI)アクセス。

メッセージフィルタを作成して、xヘッダーの存在と値を検査し、存在する場合はヘッダーを削除します。 ヘッダーが存在しない場合は、メッセージをドロップします。

1. CLIを使用してゲートウェイにログインします。
2. filtersコマンドを実行します。
3. ゲートウェイがクラスタ化されている場合は、returnキーを押してクラスタモードでフィルタを編集します。
4. Newコマンドを使用して、メッセージフィルタの作成、コピー、および貼り付けを行います。
   
   

   office365_outbound: if sendergroup == "RELAYLIST" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. returnキーを1回押すと、新しい空白行が作成されます。
6. 新しい行に[.]と入力し、新しいメッセージフィルタを終了します。
7. returnを1回クリックして、Filtersメニューを終了します。
8. commitコマンドを実行して、設定の変更を保存します。

注：秘密キーには特殊文字を使用しないでください。メッセージフィルタに表示される^および$は正規表現文字であり、例に示されているように使用されます。

注:RELAYLISTの設定方法の名前を確認してください。代替名を使用して設定することも、リレーポリシーまたはメールプロバイダーに基づいて特定の名前を使用することもできます。

送信電子メールのテスト

Microsoft 365の電子メールアドレスから外部ドメインの受信者への送信メールをテストします。Cisco Secure Email and Web Managerからメッセージトラッキングを確認して、メッセージが適切に発信にルーティングされていることを確認できます。

注：ゲートウェイ上のTLS設定(System Administration > SSL設定)と、発信SMTPに使用される暗号を確認してください。シスコのベストプラクティスでは次を推奨しています。

HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

配信が成功した場合のトラッキングの例：

More Detailsをクリックして、メッセージの詳細を確認します。

x ヘッダーが一致しないメッセージトラッキングの例：

関連情報 

Cisco Secure Email Gatewayに関するドキュメント

• リリース ノート
• ユーザガイド
• CLIリファレンスガイド
• Cisco Secure Email GatewayのAPIプログラミングガイド
• Cisco Secure Email Gatewayで使用されるオープンソース
• Ciscoコンテンツセキュリティ仮想アプライアンスインストールガイド（vESAを含む）

セキュアなEメールクラウドゲートウェイに関する文書

• リリース ノート
• ユーザガイド

Cisco Secure Email and Web Managerに関するドキュメント

• リリースノートと互換性マトリックス
• ユーザガイド
• Cisco Secure Email and Web ManagerのAPIプログラミングガイド
• Ciscoコンテンツセキュリティ仮想アプライアンスインストールガイド（vSMAを含む）

Cisco Secure製品ドキュメント

• Cisco Secure Portfolioの命名アーキテクチャ