はじめに
このドキュメントでは、受信および送信Eメール配信のためにMicrosoft 365をCisco Secure Email(CSE)と統合する設定手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントは、オンプレミスゲートウェイまたはCiscoクラウドゲートウェイに使用できます。
Cisco Secure Emailの管理者のウェルカムレターには、クラウドゲートウェイのIPアドレスやその他の関連情報が記載されます。ここに表示されている文字に加えて、暗号化された電子メールが送信されます。この電子メールには、割り当てに対してプロビジョニングされたクラウドゲートウェイ(ESAとも呼ばれる)およびクラウド電子メールおよびWebマネージャ(SMAとも呼ばれる)の数の詳細が記載されています。手紙を受け取っていない場合、または手紙のコピーがない場合は、 ces-activations@cisco.com
連絡先情報とドメイン名を入力します。
各クライアントには専用のIPがあります。割り当てられた IP またはホスト名を Microsoft 365 の設定で使用できます。
注:Microsoft 365 Exchangeコンソールで設定を複製するには時間がかかるため、計画済みの実稼働メールカットオーバーの前にテストすることを強くお勧めします。少なくとも、すべての変更が有効になるまで1時間かかります。
注:画面キャプチャのIPアドレスは、割り当てにプロビジョニングされたクラウドゲートウェイの数に比例します。たとえば、 xxx.yy.140.105
はゲートウェイ1のデータ1インターフェイスIPアドレスです。 xxx.yy.150.1143
は、ゲートウェイ2のデータ1インターフェイスのIPアドレスです。ゲートウェイ1のデータ2インターフェイスIPアドレスは、 xxx.yy.143.186
ゲートウェイ2のデータ2インターフェイスIPアドレスは xxx.yy.32.98
を参照。データ2(発信インターフェイスIP)に関する情報が案内状に含まれていない場合は、Cisco TACに連絡して、データ2インターフェイスを割り当てに追加してください。
セキュアな電子メールを使用したMicrosoft 365の設定
Cisco Secure Email から Microsoft 365 に着信する電子メールの設定
スパムフィルタリングルールのバイパス
- Microsoft 365 Admin Center(https://portal.microsoft.com)にログインします。
- 左側のメニューで、を展開します
Admin Centers.
- クリック
Exchange.
- 左側のメニューから、
Mail flow > Rules.
- クリック
[+]
新しいルールを作成します。
- 選択
Bypass spam filtering...
を選択します。
- 新しいルールの名前を入力してください:
Bypass spam filtering - inbound email from Cisco CES.
- [*このルールを適用する条件…]で、
The sender - IP address is in any of these ranges or exactly matches.
- [IPアドレス範囲の指定]ポップアップで、Cisco Secure Emailのウェルカムレターに記載されているIPアドレスを追加します。
- クリック
OK.
- 「*Do the following...」では、新しいルールが事前に選択されています。
Set the spam confidence level (SCL) to... - Bypass spam filtering.
- クリック
Save.
ルールの例を次に示します。
受信コネクタ
- Exchange管理センターに残ります。
- 左側のメニューから、
Mail flow > Connectors.
- クリック
[+]
新しいコネクタを作成します。
- Select your mail flow scenarioポップアップウィンドウで、次のいずれかを選択します。
- From:
Partner organization
- これを、次のように変更します。
Office365
- クリック
Next.
- 新しいコネクタの名前を入力してください:
Inbound from Cisco CES.
- 必要に応じて説明を入力します。
- クリック
Next.
- クリック
Use the sender's IP address.
- クリック
Next.
- クリック
[+]
Cisco Secure Emailの案内状に記載されているIPアドレスを入力します。
- クリック
Next.
- 選択
Reject email messages if they aren't sent over Transport Layer Security (TLS).
- クリック
Next.
- クリック
Save.
コネクタの設定の例を次に示します。
Cisco Secure Email から Microsoft 365 への電子メールの設定
送信先コントロール
宛先制御の配信ドメインにセルフスロットルを適用します。もちろん、スロットルは後で削除できますが、これらはMicrosoft 365への新しいIPであり、レピュテーションが不明であるためMicrosoftによるスロットルは不要です。
- ゲートウェイにログインします。
- 移動先
Mail Policies > Destination Controls.
- クリック
Add Destination.
- 利用:
- 宛先:ドメイン名を入力します。
- [同時接続数(Concurrent Connections)]:
10
- [接続あたりの最大メッセージ数(Maximum Messages Per Connection)]:
20
- [TLS のサポート(TLS Support)]:
Preferred
- クリック
Submit.
- クリック
Commit Changes
ユーザインターフェイス(UI)の右上で、設定変更を保存します。
宛先制御テーブルの外観の例を次に示します。
受信者アクセステーブル
次に、使用しているドメインへのメールを受け入れるように受信者アクセステーブル(RAT)を設定します。
- 移動先
Mail Policies > Recipient Access Table (RAT).
注:プライマリメールフローのリスナーの実際の名前に基づいて、リスナーが受信リスナー、受信メール、またはメールフロー用であることを確認してください。
- クリック
Add Recipient.
- Recipient Addressフィールドにドメインを追加します。
- デフォルトのアクションを選択する
Accept.
- クリック
Submit.
- クリック
Commit Changes
UIの右上に表示され、設定の変更を保存します。
RATエントリの例を次に示します。
SMTP ルート
Cisco Secure EmailからMicrosoft 365ドメインにメールを配信するためのSMTPルートを設定します。
- 移動先
Network > SMTP Routes.
- クリック
Add Route...
- 受信ドメイン:ドメイン名を入力します。
- 宛先ホスト:元のMicrosoft 365 MXレコードを追加します。
- クリック
Submit.
- クリック
Commit Changes
UIの右上に表示され、設定の変更を保存します。
SMTPルート設定の例:
DNS(MX レコード)設定
メール交換(MX)レコードの変更によってドメインをカットオーバーする準備が整いました。DNS管理者と協力して、MXレコードをCisco Secure Email CloudインスタンスのIPアドレスに解決します(Cisco Secure Emailの案内状に記載されています)。
Microsoft 365コンソールからMXレコードへの変更も確認します。
- Microsoft 365管理コンソール(https://admin.microsoft.com)にログインします。
- 移動先
Home > Settings > Domains.
- デフォルトのドメイン名を選択します。
- クリック
Check Health
.
これにより、Microsoft 365がドメインに関連付けられたDNSおよびMXレコードを検索する方法の現在のMXレコードが提供されます。
注:この例では、DNSはアマゾンウェブサービス(AWS)によってホストおよび管理されています。管理者は、DNSがMicrosoft 365アカウント以外の場所でホストされている場合に警告が表示されることを期待します。次のような警告は無視できます。「your_domain_here.comに新しいレコードが追加されたことが検出されませんでした。ホストで作成したレコードが、ここに表示されているレコードと一致していることを確認してください...」 手順に従って操作すると、MXレコードがMicrosoft 365アカウントにリダイレクトするように最初に設定した値にリセットされます。これにより、Cisco Secure Email Gatewayが着信トラフィックフローから削除されます。
受信電子メールのテスト
Microsoft 365の電子メールアドレスへの着信メールをテストします。次に、Microsoft 365の電子メールの受信トレイに着信することを確認します。
インスタンスで提供されているCisco Secure Email and Web Manager(SMAとも呼ばれる)のメッセージトラッキングでメールログを検証します。
SMA でメールログを確認するには、次の手順に従います。
- SMA(https://sma.iphmx.com/ng-login)にログインします。
- クリック
Tracking.
- 必要な検索条件を入力して、
Search
その結果は次のようになります。
Microsoft 365 でメールログを確認するには、次の手順に従います。
- Microsoft 365 Admin Center(https://admin.microsoft.com)にログインします。
- 拡張
Admin Centers.
- クリック
Exchange.
- 移動先
Mail flow > Message trace.
- Microsoftでは、デフォルトの検索条件を提供しています。たとえば、
Messages received by my primary domain in the last day
をクリックして検索クエリを開始します。
- 受信者に必要な検索条件を入力し、
Search
次のような結果が予想されます。
Microsoft 365 から Cisco Secure Email に送信される電子メールの設定
Cisco Secure Email Gateway での RELAYLIST の設定
Cisco Secure Emailの案内状を参照してください。さらに、ゲートウェイ経由の発信メッセージ用にセカンダリインターフェイスが指定されます。
- ゲートウェイにログインします。
- 移動先
Mail Policies > HAT Overview.
注:外部/発信メールフローのリスナーの実際の名前に基づいて、リスナーが発信リスナー、発信メール、またはMailFlow-Ext用であることを確認してください。
- クリック
Add Sender Group...
- 送信者グループを次のように設定します。
- 名前: RELAY_O365
- コメント: <<送信者グループに通知する場合はコメントを入力>>
- ポリシー:リレー
- クリック
Submit and Add Senders.
- 送信者:
.protection.outlook.com
注:.送信者のドメイン名の先頭(ドット)は必須です。
- クリック
Submit.
- クリック
Commit Changes
UIの右上に表示され、設定の変更を保存します。
送信者グループの設定の例を次に示します。
TLSの有効化
- クリック
<
.
- 次の名前のメールフローポリシーをクリックします:
RELAYED.
- 下にスクロールして、
Security Features
のセクション Encryption and Authentication.
- TLS の場合は、次を選択します:
Preferred.
- クリック
Submit.
- クリック
Commit Changes
UIの右上に表示され、設定の変更を保存します。
メールフローポリシー設定の例を次に示します。
Microsoft 365 から CES へのメールの設定
- Microsoft 365 Admin Center(https://admin.microsoft.com)にログインします。
- 拡張
Admin Centers.
- クリック
Exchange.
- 移動先
Mail flow > Connectors.
- クリック
[+]
新しいコネクタを作成します。 - Select your mail flow scenarioポップアップウィンドウで、次のいずれかを選択します。
- From:
Office365
- これを、次のように変更します。
Partner organization
- クリック
Next.
- 新しいコネクタの名前を入力してください:
Outbound to Cisco CES.
- 必要に応じて説明を入力します。
- クリック
Next.
- [このコネクタを使用するタイミング]:
- 選択:
Only when I have a transport rule set up that redirects messages to this connector.
- クリック
Next.
- クリック
Route email through these smart hosts.
- クリック
[+]
を選択し、CESウェルカムレターに記載されている発信IPアドレスまたはホスト名を入力します。 - クリック
Save.
- クリック
Next.
- 「Office 365をパートナー組織の電子メールサーバに接続する方法を教えてください」
- 選択:
Always use TLS to secure the connection (recommended).
- 選択
Any digital certificate, including self-signed certificates
を参照。
- クリック
Next.
- 確認画面が表示されます。
- クリック
Next.
- 利用
[+]
有効な電子メールアドレスを入力し、 OK.
- クリック
Validate
検証を実行できるようにします - 完了したら、cなめる
Close.
- クリック
Save
.
送信コネクタの外観の例を次に示します。
メールフロールールの作成
- Exchange管理センター(https://outlook.office365.com)にログインします。
- クリック
mail flow
必ず次の点に注意してください。 [ルール]タブに移動します。 - クリック
[+]
をクリックして新しいルールを追加します。 - 選択
Create a new rule.
- 新しいルールの名前を入力してください:
Outbound to Cisco CES.
- [*このルールを適用する条件…]で、次のいずれかを選択します。
The sender is located...
- [送信者の場所の選択]ポップアップで、次のいずれかを選択します。
Inside the organization.
- クリック
OK.
- クリック
More options...
- クリック
add condition
ボタンをクリックし、2番目の条件を挿入します。
- 選択
The recipient...
- 選択:
Is external/internal.
- [送信者の場所の選択]ポップアップで、次のいずれかを選択します。
Outside the organization .
- クリック
OK.
- 「*Do the following...」で、次のいずれかを選択します。
Redirect the message to...
- 選択:次のコネクタを選択します。
- Outbound to Cisco CESコネクタを選択します。
- [OK] をクリックします。
- 「*次の手順…」に戻り、2番目のアクションを挿入します。
- 選択:
Modify the message properties...
- 選択:
set the message header
- 次のメッセージヘッダーを設定します:
X-OUTBOUND-AUTH.
- クリック
OK.
- 次の値を設定します:
mysecretkey.
- クリック
OK.
- クリック
Save.
注:Microsoftからの不正なメッセージを防ぐために、メッセージがMicrosoft 365ドメインから送信されるときにシークレットヘッダーxがスタンプされます。このヘッダーは、インターネットに配信される前に評価され、削除されます。
Microsoft 365ルーティング設定の例:
最後に、Cisco Secure Email Gateway の CLI にアクセスします。
注:Cisco Secure Email Cloud Gateway > Command Line Interface(CLI)アクセス。
メッセージフィルタを作成して、xヘッダーの存在と値を検査し、存在する場合はヘッダーを削除します。 ヘッダーが存在しない場合は、メッセージをドロップします。
- CLIを使用してゲートウェイにログインします。
- を実行します。
Filters
コマンドを使用して、アップグレードを実行します。 - ゲートウェイがクラスタ化されている場合は、returnキーを押してクラスタモードでフィルタを編集します。
-
New
メッセージフィルタを作成し、コピーして貼り付けるコマンド:
office365_outbound: if sendergroup == "RELAYLIST" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- Returnキーを1回押すと、新しい空白行が作成されます。
-
[.]
新しいメッセージフィルタを終了します。 - クリック
return
一度フィルタメニューを終了します。 - を実行します。
Commit
コマンドを発行して、設定の変更を保存します。
注:秘密キーの特殊文字は使用しないでください。メッセージフィルタに表示される^および$は正規表現文字であり、例に示すように使用されます。
注:RELAYLISTの設定方法の名前を確認してください。代替名を使用して設定することも、リレーポリシーまたはメールプロバイダーに基づいて特定の名前を使用することもできます。
送信電子メールのテスト
Microsoft 365電子メールアドレスから外部ドメイン受信者への送信メールをテストします。Cisco Secure Email and Web Managerからメッセージトラッキングを確認して、メッセージが適切に発信にルーティングされていることを確認できます。
注:ゲートウェイのTLS設定(System Administration > SSL設定)と、送信SMTPに使用される暗号を確認してください。シスコのベストプラクティスでは、次の点を推奨しています。
HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA
配信が成功した場合のトラッキングの例:
クリック More Details
完全なメッセージの詳細を表示するには、次の手順に従います。
x ヘッダーが一致しないメッセージトラッキングの例:
関連情報
Cisco Secure Email Gatewayに関するドキュメント
セキュアなEメールクラウドゲートウェイに関する文書
Cisco Secure Email and Web Managerに関するドキュメント
Cisco Secure製品ドキュメント