はじめに
このドキュメントでは、Cisco Cloud Email Security(CES)とMicrosoft Office 365(O365)を統合して受信メールと送信メールを配信するために必要な手順について説明します。
前提条件
要件
次の項目に関する知識が推奨されます。
- CES
- CES環境へのCLIアクセス:
- Microsoft Office 365
- SMTP
- DNS
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco Cloud Email Securityのウェルカムレターには、CESのIPアドレスおよびその他の関連情報が記載されています。次に示す文字に加えて、CES割り当てのためにプロビジョニングされたEメールセキュリティアプライアンス(ESA)およびセキュリティ管理アプライアンス(SMA)の数の詳細を記載した暗号化されたEメールも受信されます。手紙を受け取っていない場合、または手紙のコピーがない場合は、ces-activations@cisco.comに連絡し、連絡先情報、顧客名、およびサービス中のドメイン名を連絡してください。

IPは各クライアント専用であり、通知なしには変更されない可能性があります。Office 365の構成では、割り当てられたIPまたはホスト名を使用できます。
注:これらの設定は、Office 365 Exchange Onlineコンソールで複製に時間がかかる可能性があるため、予定されている実稼働メールのカットオーバーの前にテストすることを強くお勧めします。少なくとも、すべての変更が有効になるまでに1時間かかります。
注:上のスクリーンショットに表示されるIPアドレスは、CES割り当てにプロビジョニングされるESAの数に比例します。たとえば、xxx.yy.157.139はESA1のデータ1インターフェイスIPアドレス、xxx.yy.158.153はESA2のデータ1インターフェイスIPアドレスです。ウェルカムレターにデータ2(発信インターフェイスIPs)の情報が含まれていない場合は、Cisco TACにCES割り当てにデータ2インターフェイスを追加します
Cisco Cloud Email Security(CES)を使用したOffice 365(Microsoft)の設定
CESからのOffice365の着信電子メールの設定
スパムフィルタリングルールのバイパス
- Office 365 Admin Center(https://portal.microsoft.com)へのログイン
- 左側のメニューで、[管理センター]を展開します
- [Exchange]をクリックします
- 左側のメニューから、[メールフロー] > [ルール]に移動します
- [+] をクリックして新しいルールを作成します
- ドロップダウンリストで[スパムフィルタをバイパスする…]を選択します
- 新しいルールの名前を入力します。スパムフィルタリングのバイパス:Cisco CESからのインバウンド電子メール
- 「*次の場合にこのルールを適用…「」を選択します。送信者 – IPアドレスは、次のいずれかの範囲内か、または完全に一致します
- [specify IP address ranges]ポップアップで、CESウェルカムレターに示されているIPアドレスを追加します
- [OK] をクリックします。
- 「*Do the following.."新しいルールが事前に選択されています:Spam Confidence Level(SCL)を…に設定する – スパムフィルタリングをバイパスする
- [保存]をクリック
バイパススパムフィルタリングルールは次のようになります。

受信コネクタ
- Exchange管理センターに残る
- 左側のメニューから、[メールフロー] > [コネクタ]に移動します
- [+]をクリックして、新しいコネクタを作成します
- [メールフローシナリオの選択(Select your mail flow scenario)]ポップアップウィンドウで、次の項目を選択します。
- From:パートナー組織
- これを、次のように変更します。Office365
- [Next] をクリックします。
- 新しいコネクタの名前を入力してください:Cisco CESからのインバウンド
- 必要に応じて、説明を入力します
- [Next] をクリックします。
- [送信者のIPアドレスを使用する]をクリックします
- [Next] をクリックします。
- [+]をクリックし、CESウェルカムレターに示されているIPアドレスを入力します
- [Next] をクリックします。
- TLSで送信されていない場合は、[Reject email messages]を選択します
- [Next] をクリックします。
- [保存]をクリック
受信コネクタの設定は次のようになります。

CESからOffice 365へのメールの設定
送信先コントロール
[Destination Controls]に配信ドメインを追加して、セルフスロットルを適用します。これは後で削除できますが、これらはOffice 365に対する「新しい」IPであり、Microsoftのレピュテーションが不明なため、Microsoftによるスロットリングは必要ありません。
- CESでESAにログインします
- [メールポリシー] > [宛先制御]に移動します
- [宛先の追加]をクリック
- 次の設定を使用します。
- 送信先:ドメイン名を入力してください
- 同時接続:10
- 接続ごとの最大メッセージ数:20
- TLSサポート:Preferred
- [Submit] をクリックします。
- UIの右上にある[Commit Changes]をクリックして、設定変更を保存します
最終的な宛先制御テーブルは次のようになります。

受信者アクセステーブル
次に、ドメインのメールを受け入れるように受信者アクセステーブル(RAT)を設定します。
- [メールポリシー] > [受信者アクセステーブル(RAT)]に移動します
- 注:リスナーが「受信リスナー」または「受信メール」であることを確認します
- [受信者の追加]をクリック
- [Recipient Address]フィールドにドメインを追加します
- デフォルトのアクションとして[承認]を選択します
- [Submit] をクリックします。
- UIの右上にある[Commit Changes]をクリックして、設定変更を保存します
次に、ドメイン「domain.com」の例を示します。

SMTPルート
CESからOffice 365ドメインにメールを配信するには、SMTPルートを設定する必要があります。
- [Network] > [SMTP Routes]に移動します
- [ルートの追加…]をクリックします。
- 受信ドメイン:ドメイン名を入力してください
- 宛先ホスト:元のOffice 365 MXレコードの追加
- [Submit] をクリックします。
- UIの右上にある[Commit Changes]をクリックして、設定変更を保存します
最終的なSMTPルート設定は次のようになります。

DNS(MXレコード)の設定
これで、メール交換(MX)レコードの変更によってドメインをカットオーバーする準備が整いました。DNS管理者と協力して、Cisco CESのウェルカムレターに記載されているように、MXレコードをCESのIPアドレスに解決します。
Office 365コンソールからMXレコードへの変更を確認することもできます。
- Office 365管理コンソール(https://admin.microsoft.com)にログインします
- [Home] > [Setup] > [Domains]に移動します。
- デフォルトのドメイン名を選択します
- [DNSの確認]をクリックします
Office 365がドメインに関連付けられたDNSレコードとMXレコードを検索する方法に従って、現在の「MXレコード」が表示されます。

注:上記の警告を無視します。「これらのレコードの1つ以上がまだ正しく追加されていません。ステップバイステップの説明」に従うと、MXレコードがOffice 365アカウントにリダイレクトするように最初に設定されたレコードにリセットされます。これにより、着信トラフィックフローからCESクラスタが削除されます。
受信電子メールのテスト
Office 365の電子メールアドレスにメッセージを送信して、受信メールをテストします。Office 365の電子メール受信トレイに届くことを確認します。
CESサービスに付属のCiscoコンテンツセキュリティ管理アプライアンス(SMA)のメッセージトラッキングを使用して、メールログを検証します。
SMAのメールログを表示するには、次の手順を実行します。
- SMA(https://sma.iphmx.com/ng-login)にログインします
- [トラッキング]をクリック
- 必要な検索条件を入力し、[Search(検索)]をクリックします。次のような結果が表示されます。

Office 365のメールログを表示するには、次の手順に従います。
- Office 365 Admin Center(https://admin.microsoft.com)へのログイン
- 管理センターの展開
- [Exchange]をクリックします
- [mail flow] > [message trace]に移動します
- 必要な検索条件を入力し、[検索]をクリックします。結果は次のようになります。

Office 365からCESへの発信電子メールの設定
CESでのRELAYLISTの設定
CESウェルカムレターを参照してください。セカンダリインターフェイスは、ESA経由の発信メッセージに指定されます。
- CESでESAにログインします
- [メールポリシー] > [HATの概要]に移動します
- 注:リスナーが「Outgoing Listener」または「OutgoingMail」であることを確認します
- [Add Sender Group...]をクリックします。
- 送信者グループを次のように設定します。
- [Name]:RELAY_O365
- [Comment]: 送信者グループに通知する場合は入力します
- [Policy]:RELAYED
- [送信して送信者を追加]をクリックします
- 送信者: .protection.outlook.com
- 注:「。」 送信者ドメイン名の先頭に(ドット)が必要です
- [Submit] をクリックします。
- UIの右上にある[Commit Changes]をクリックして、設定変更を保存します
最終的なSMTPルート設定は次のようになります。

TLSの有効化
- <<<HAT概要に戻る
- 次の名前の[Mail Flow Policy]をクリックします。RELAYED
- [Security Features] > [Encryption and Authentication]を探します
- [TLS]セクションで、Preferred
- [Submit] をクリックします。
- UIの右上にある[Commit Changes]をクリックして、設定変更を保存します

Office 365からCESへのメールの設定
- Office 365 Admin Center(https://admin.microsoft.com)へのログイン
- 管理センターの展開
- [Exchange]をクリックします
- メールフロー>コネクタに移動します
- 新しいコネクタを作成するには[+]をクリックします
- [メールフローシナリオの選択]ポップアップウィンドウで、次の項目を選択します。
- From:Office365
- 宛先:パートナー組織
- [Next] をクリックします。
- 新しいコネクタの名前を入力してください:Cisco CESへのアウトバウンド
- 必要に応じて、説明を入力します
- [Next] をクリックします。
- 「このコネクタを使用するタイミングを選択してください。」を参照してください。
- 選択:メッセージをこのコネクタにリダイレクトするトランスポートルールが設定されている場合のみ
- [Next] をクリックします。
- [Route email through these smart hosts]をクリックします
- [+]をクリックし、CESウェルカムレターに示されている発信IPアドレスまたはホスト名を入力します
- [保存]をクリック
- [Next] をクリックします。
- 「Office 365をパートナー組織の電子メールサーバに接続する方法を教えてください。」
- 選択:接続を保護するために常にトランスポート層セキュリティ(TLS)を使用する(推奨)
- [自己署名証明書を含む任意のデジタル証明書]を選択します
- [Next] をクリックします。
- 確認画面が表示されます
- [Next] をクリックします。
- [+]を使用してコネクタを検証するための有効な電子メールアドレスを入力し、[OK]をクリックします
- [検証]をクリックし、検証を実行できるようにします
- 完了したら、[閉じる]をクリックします
- [保存]をクリック
発信コネクタの設定は次のようになります。

メールフロールールの作成
- Exchange管理センター(https://outlook.office365.com)にログインします
- メールフローをクリックします。 [Rules]タブが表示されます
- [+]をクリックして、新しい規則を追加します
- [新しいルールの作成]を選択します
- 新しいルールの名前を入力します。Cisco CESへのアウトバウンド
- 「*次の場合にこのルールを適用…「」を選択します。送信者が見つかりました…
- [Select sender location(送信者の場所を選択)]ポップアップで、次を選択します。組織内
- [OK] をクリックします。
- [その他のオプション…]をクリックします。
- [条件の追加]ボタンをクリックし、2番目の条件を挿入します
- 選択:受信者…
- 選択:外部/内部
- [Select sender location(送信者の場所を選択)]ポップアップで、次を選択します。組織外
- [OK] をクリックします。
- 「*Do the following..「」を選択します。メッセージのリダイレクト
- 選択:次のコネクタ
- 「Outbound to Cisco CES」コネクタを選択します
- [OK] をクリックします。
- 「*Do the following..」に戻ります。2つ目のアクションを挿入します。
- 選択:メッセージのプロパティの変更…
- 選択:メッセージヘッダーを設定する
- メッセージヘッダーを設定します。X-OUTBOUND-AUTH
- [OK] をクリックします。
- 値を設定します。mysecretkey
- [OK] をクリックします。
- [保存]をクリック
注:Microsoftからの不正なメッセージを防ぐために、メッセージがOffice 365ドメインを離れる際にシークレットxヘッダーにスタンプを設定できます。このヘッダーは、インターネットに配信する前に評価および削除されます。
Office 365ルーティングの設定は次のようになります。

最後に、ESAのCLIにアクセスします。
注:CESカスタマーCLIアクセス
xヘッダーの存在と値を検査し、存在する場合はヘッダーを削除するには、メッセージフィルタを作成する必要があります。ヘッダーが存在しない場合は、メッセージをドロップします。
- CLIを使用して、CESでESAにログインします
- [フィルタ]コマンドを実行
- ESAがCESでクラスタ化されているため、[return]を押して「Cluster」モードでフィルタを編集します
- [新規作成]操作を使用して、次のメッセージフィルタを作成し、コピーし、貼り付けます。
office365_outbound: if sendergroup == "RELAY_O365" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- Returnキーを1回押して、新しい空白行を作成します
- 「。」と入力します。 新しいメッセージフィルタの作成を終了するには、新しい行を使用します
- Returnキーを1回押して、Filtersメニューを終了します
- Commitコマンドを実行して、設定の変更を保存します
アウトバウンド電子メールのテスト
Office 365の電子メールアドレスから外部ドメインの受信者にメッセージを送信して、送信メールをテストします。 SMAからのメッセージトラッキングを確認して、発信が正しくルーティングされたことを確認できます。
xヘッダーが一致しないメッセージトラッキングの例:

配信に成功したメッセージ追跡の例:

関連情報
テクニカル サポートとドキュメント – Cisco Systems