システム管理

この章は、次の項で構成されています。


(注)  
このセクションに記載されている機能またはコマンドには、ルーティングの優先順位に影響を与えるものや、影響を受けるものが含まれています。詳細については、付録 B「IP アドレスのインターフェイスおよびルーティング」を参照してください。

電子メールゲートウェイの管理

以下のタスクでは、電子メールゲートウェイ内の一般的な機能を簡単に管理できます。

電子メールゲートウェイのシャットダウンおよび再起動

電子メールゲートウェイは、シャットダウンまたは再起動した後で、配信キュー内のメッセージを失わずに後で再起動できます。

CLI で shutdown または reboot コマンドを使用するか、Web インターフェイスを使用できます。

手順

ステップ 1

[システム管理(System Administration)] > [シャットダウン/サスペンド(Shutdown/Suspend)] を選択します。

ステップ 2

[システム オペレーション(System Operations)] セクションで、[操作(Operation)] ドロップダウン リストから [シャットダウン(Shutdown)] または [再起動(Reboot)] を選択します。

ステップ 3

開いている接続が、強制的に閉じられることなく完了できるまでの許容時間を秒数の単位で入力します。

デフォルトの遅延値は 30 秒です。

ステップ 4

[確定する(Commit)] をクリックします。

電子メールの受信と配信の一時停止

AsyncOS では、電子メールの受信と配信を一時停止できます。次の動作を停止できます。

  • 特定のリスナーまたは複数リスナーでの電子メールの受信。
  • 特定のドメインまたは複数ドメインへの電子メールの配信。

CLI で suspend コマンドを使用するか、Web インターフェイスを使用します。

手順

ステップ 1

[システム管理(System Administration)] > [シャットダウン/サスペンド(Shutdown/Suspend)] を選択します。

ステップ 2

特定のリスナーまたは複数リスナーでの電子メールの受信を一時停止します。

[メールの操作(Mail Operations)] セクションで、一時停止する機能またはリスナーを選択します。電子メールゲートウェイに複数のリスナーが存在する場合は、リスナー単位で電子メールの受信を停止することもできます。

ステップ 3

特定のドメインまたは複数ドメインへの電子メールの配信を一時停止します。要件に応じて、次のいずれかを実行します。

  1. すべての電子メールの配信を停止するには、[ドメイン/サブドメインの指定(Specify Domain(s)/Subdomain(s))] フィールドに ALL と入力し、[Enter] を押します。

  2. 特定のドメインまたはサブドメインへの電子メールの配信を停止するには、[ドメイン/サブドメインの指定(Specify Domain(s)/Subdomain(s))] フィールドにドメインまたはサブドメインの名前または IP アドレスを入力し、[Enter] を押します。複数のエントリを追加する場合は、カンマ区切りのテキストを使用します。

ステップ 4

開いている接続が、強制的に閉じられることなく完了できるまでの許容時間を秒数の単位で入力します。

開いている接続が存在しない場合、システムはただちにオフラインになります。

デフォルト遅延値は 30 秒です。

ステップ 5

[確定する(Commit)] をクリックします。

次のタスク

一時停止したサービスを再開する準備が整っている場合は、一時停止している電子メールの受信と配信の再開を参照してください。

一時停止している電子メールの受信と配信の再開

一時停止している電子メールの受信と配信を再開するには、[シャットダウン/サスペンド(Shutdown/Suspend)] ページまたは resume コマンドを使用します。

手順

ステップ 1

[システム管理(System Administration)] > [シャットダウン/サスペンド(Shutdown/Suspend)] を選択します。

ステップ 2

[メールの操作(Mail Operations)] セクションで、再開する機能またはリスナーを選択します。

電子メールゲートウェイに複数のリスナーが存在する場合は、リスナー単位で電子メールの受信を再開できます。

ステップ 3

すべての電子メール、または特定の 1 つ以上のドメインへの電子メールの配信を再開します。

[ドメイン/サブドメインの指定(Specify Domain(s)/Subdomain(s))] フィールドで、該当するエントリを閉じるアイコンをクリックします。

ステップ 4

[確定する(Commit)] をクリックします。

出荷時の初期状態へのリセット


注意    

シリアル インターフェイスを使用して、またはデフォルトの Admin ユーザ アカウントで管理ポート上のデフォルト設定を使用して Web インターフェイスまたは CLI に再接続できない場合は、出荷時の初期状態にリセットしないでください。

電子メールゲートウェイを物理的に移動する際、出荷時の初期状態で始めなければならない場合があります。出荷時の設定にリセットすると元に戻せないため、ユニットを移動する場合や、設定の問題を解決する最後の手段としてのみ使用してください。出荷時の初期状態にリセットすると、Web インターフェイスまたは CLI から切断され、 電子メールゲートウェイへの接続に使用したサービス(FTP、SSH、HTTP、HTTPS)がディセーブルにされ、作成した追加のユーザアカウントが削除されます。次の方法で、出荷時の初期状態にリセットできます。

  • Web インターフェイスで、[システム管理(System Administration)] > [設定ファイル(Configuration File)] ページの [リセット(Reset)] ボタンをクリックするか、[システム管理(System Administration)] > [システム セットアップ ウィザード(System Setup Wizard)] の [設定情報のリセット(Reset Configuration)] ボタンをクリックします。
  • CLI で、resetconfig コマンドを使用します。

(注)  
resetconfig コマンドは、 電子メールゲートウェイがオフライン状態にあるときにのみ動作します。出荷時の設定にリセットした後、 電子メールゲートウェイはオンライン状態に戻ります。

AsyncOS のバージョン情報の表示

電子メールゲートウェイに現在インストールされている AsyncOS のバージョンを確認するには、Web インターフェイスの [モニタ(Monitor)] メニューから [システム概要(System Overview)] ページを使用するか(システム ステータスを参照)、CLI で version コマンドを使用します。

電子メールゲートウェイのライセンス

ライセンス キー

クラウド電子メールゲートウェイでは、ライセンスキーの設定を変更しないようにしてください。

ライセンス キーの追加および管理

物理 電子メールゲートウェイの場合、ライセンスキーは 電子メールゲートウェイのシリアル番号と有効化されている機能に固有です(他のシステム上の 1 つのシステムでキーを再利用することはできません)。

CLI のライセンス キーを使用するには、featurekey コマンドを使用します。

手順

ステップ 1

[システム管理(System Administration)] > [ライセンス キー(Feature Keys)] を選択します。

ステップ 2

アクションの実行:

目的

操作手順

実行中のライセンス キーのステータスを表示します

[シリアル番号 <serial number> のライセンス キー(Feature Keys for <serial number>)] セクションを確認します。

電子メールゲートウェイに対して発行されていて、まだアクティベーションされていないライセンスキーを表示します

[保留中のライセンス(Pending Activation)] セクションを確認します。

自動ダウンロードおよびアクティベーションを有効にしている場合は、ライセンス キーはこのリストには表示されません。

最近発行されたライセンスキーを確認する

[保留中のライセンス(Pending Activation)] セクションで、[新しいキーをチェック(Check for New Keys)] ボタンをクリックします。

これはライセンス キーの自動ダウンロードおよびアクティベーションを有効にしていない場合、または次の自動チェックの前にライセンス キーをダウンロードする必要がある場合に役立ちます。

発行されたライセンス キーをアクティブ化します

[保留中のライセンス(Pending Activation)] リストで、[選択したキーを有効化(Activate Selected Keys)] をクリックします。

新しいライセンス キーを追加します

[機能の有効化(Feature Activation)] セクションを使用します。

次のタスク

関連項目

ライセンス キーのダウンロードとアクティベーションの自動化

電子メールゲートウェイに対して発行されたライセンスキーを自動的にチェック、ダウンロードおよびアクティブ化するように、この 電子メールゲートウェイを設定できます。

手順

ステップ 1

[システム管理(System Administration)] > [ライセンス キーの設定(Feature Key Settings)] を選択します。

ステップ 2

[ライセンス キー設定の編集(Edit Feature Key Settings)] をクリックします。

ステップ 3

新しいライセンス キーのチェック頻度を確認するには、(?)ヘルプ ボタンをクリックしてください。

ステップ 4

設定事項を指定します。

ステップ 5

変更を送信し、保存します。

次のタスク

関連項目

期限切れ機能キー

ライセンスキーの有効期限が切れる場合、キー失効の 90 日前、60 日前、30 日前、15 日前、5 日前、1 日前、およびキー失効時に 電子メールゲートウェイからアラートが送信されます。これらのアラートを受信するには、システム アラートに登録されていることを確認してください。詳細については、アラートを参照してください。

(Web インターフェイスを使用して)アクセスしようとしている機能の機能キーの有効期限が切れている場合は、シスコの担当者またはサポート組織までご連絡ください。

スマート ソフトウェア ライセンシング

概要

スマート ソフトウェア ライセンシングを使用すると、電子メールゲートウェイのライセンスをシームレスに管理およびモニタできます。スマート ソフトウェア ライセンスをアクティブ化するには、Cisco Smart Software Manager(CSSM)で電子メールゲートウェイを登録する必要があります。CSSM は、購入して使用するすべてのシスコ製品についてライセンスの詳細を管理する一元化されたデータベースです。スマート ライセンスを使用すると、製品認証キー(PAK)を使用して Web サイトで個別に登録するのではなく、単一のトークンで登録することができます。

電子メールゲートウェイを登録すると、電子メールゲートウェイのライセンスを追跡し、CSSM ポータル経由でライセンスの使用状況を監視できます。電子メールゲートウェイにインストールされているスマートエージェントは、アプライアンスと CSSM を接続し、ライセンスの使用状況に関する情報を CSSM を渡して、CSSM が使用状況を追跡できるようにします。


(注)  
スマート ライセンス アカウントのスマートアカウント名にサポートされていない Unicode 文字が含まれている場合、電子メールゲートウェイは Cisco Talos サーバーから Cisco Talos 証明書を取得できません。スマートアカウント名には、サポートされている次の文字を使用できます:- a-z A-Z 0-9 _ , . @ : & '" / ; # ? ö ü Ã ¸ ()。

Cisco Smart Software Manager については https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_Deployment_Guide.html を参照してください。

始める前に

  • ご利用の電子メールゲートウェイからインターネットに接続できることを確認します。

  • シスコ セールス チームに問い合わせて Cisco Smart Software Manager ポータル(https://software.cisco.com/#module/SmartLicensing)でスマート アカウントを作成するか、Cisco Smart Software Manager サテライトをネットワークにインストールしてください。

    Cisco Smart Software Manager の対象ユーザーアカウントの作成または Cisco Smart Software Manager サテライトのインストールの詳細については、https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_ Deployment_Guide.html を参照してください。

    (注)  
    対象ユーザーとは、インターネットに接続している従業員、再委託先、および電子メールゲートウェイの展開(オンプレミスまたはクラウドのいずれか該当する方)の対象となるその他の承認された個人の総数です。

    ライセンスの使用状況に関する情報を直接インターネットに送信したくない対象ユーザーの場合、CSSM 機能のサブセットを提供する Smart Software Manager サテライトをオンプレミスにインストールすることもできます。サテライト アプリケーションをダウンロードして導入した後は、インターネットを使用して CSSM にデータを送信せずに、ライセンスをローカルで安全に管理できます。CSSM サテライトは、情報をクラウドに定期的に送信します。


    (注)  

    Smart Software Manager サテライトを使用する場合、Smart Software Manager サテライト Enhanced Edition 6.1.0 を使用してください。

  • (従来の)クラシックライセンスの既存ユーザーは、クラシックライセンスをスマートライセンスに移行する必要があります。

    https://video.cisco.com/detail/video/5841741892001/convert-classic-licenses-to-smart-licenses?autoStart=true&q=classicを参照してください。

  • 電子メールゲートウェイのシステムクロックを CSSM のシステムクロックと同期させる必要があります。電子メールゲートウェイのシステムクロックと CSSM のシステムクロックのずれは、スマートライセンス操作の失敗の原因となります。


(注)  

インターネットに接続してプロキシ経由で CSSM に接続する場合、[セキュリティサービス(Security Services)] -> [サービスのアップデート(Service updates)] を使用して、電子メールゲートウェイに設定されているプロキシと同じプロキシを使用する必要があります。


(注)  

[セキュリティサービス(Security Services)] > [サービスのアップデート(Service updates)] ページでプロキシを設定する場合は、入力するユーザー名にドメインまたはレルムが含まれていないことを確認し ください 。たとえば、[ユーザー名(Username)] フィールドには、ドメイン\ユーザー名ではなくユーザー名のみを入力します。


(注)  
すでに Cisco XDR アカウントをお持ちの場合は、まず電子メールゲートウェイを Cisco XDR に登録してから、電子メールゲートウェイでスマートライセンスモードを有効にしてください。

操作内容

詳細情報

ステップ 1

スマート ソフトウェア ライセンシングの有効化

スマート ソフトウェア ライセンシングのイネーブル化

ステップ 2

Cisco Smart Software Manager での電子メールゲートウェイの登録

Cisco Smart Software Manager での電子メールゲートウェイの登録

ステップ 3

ライセンスの要求

ライセンスの要求
スマート ソフトウェア ライセンシング:新規ユーザー

スマート ソフトウェア ライセンシングを初めて使用する場合は、次の手順を実行してスマート ソフトウェア ライセンシングをアクティブ化する必要があります。

操作内容

詳細情報

ステップ 1

スマート ソフトウェア ライセンシングの有効化

スマート ソフトウェア ライセンシングのイネーブル化

ステップ 2

Cisco Smart Software Manager への Cisco Secure Email Gateway の登録

Cisco Smart Software Manager での電子メールゲートウェイの登録

ステップ 3

ライセンス(機能キー)の要求

ライセンスの要求
クラシックライセンスからスマート ソフトウェア ライセンシングへの移行:既存ユーザー

クラシック ライセンスからスマート ソフトウェア ライセンシングに移行する場合は、次の手順を実行してスマート ソフトウェア ライセンシングをアクティブ化する必要があります。

操作内容

詳細情報

ステップ 1

スマート ソフトウェア ライセンシングの有効化

スマート ソフトウェア ライセンシングのイネーブル化

ステップ 2

Cisco Smart Software Manager への Cisco Secure Email Gateway の登録

Cisco Smart Software Manager での電子メールゲートウェイの登録

ステップ 3

ライセンス(機能キー)の要求

ライセンスの要求

:Cisco Secure Email Gateway をスマート ソフトウェア ライセンシングに登録すると、既存の有効なクラシックライセンスはすべて、Device Led Conversion(DLC)プロセスを使用して自動的にスマートライセンスに変換されます。詳細については、概要「Device Led Conversion」を参照してください。

エアギャップモードでのスマート ソフトウェア ライセンシング:新規ユーザー

エアギャップモードで動作する Cisco Secure Email Gateway を使用していて、スマート ソフトウェア ライセンシングを初めてアクティブ化する場合は、次の手順を実行する必要があります。

操作内容

詳細情報

ステップ 1

スマート ソフトウェア ライセンシングの有効化

スマート ソフトウェア ライセンシングのイネーブル化

ステップ 2

 初めてエアギャップモードで Cisco Secure Email Gateway を登録するための VLN、証明書、およびキーの詳細の取得と使用

エアギャップモードで Cisco Secure Email Gateway を登録するための VLN、証明書、およびキーの詳細の取得と使用

ステップ 3

ライセンス(機能キー)の要求

ライセンスの要求
エアギャップモードでのスマート ソフトウェア ライセンシング:既存ユーザー

エアギャップモードで動作する Cisco Secure Email Gateway を使用している場合、次の手順を実行してスマート ソフトウェア ライセンシングをアクティブ化する必要があります。

操作内容

詳細情報

ステップ 1

スマート ソフトウェア ライセンシングの有効化

スマート ソフトウェア ライセンシングのイネーブル化

ステップ 2

エアギャップモードで動作している Cisco Secure Email Gateway のライセンス予約への登録

エアギャップモードで Cisco Secure Email Gateway を登録するための VLN、証明書、およびキーの詳細の取得と使用

ステップ 3

ライセンス(機能キー)の要求

ライセンスの要求

スマート ソフトウェア ライセンシングのイネーブル化

手順

ステップ 1

[システム管理(System Administration)] > [スマートソフトウェアライセンシング(Smart Software Licensing)] を選択します。

ステップ 2

[スマート ソフトウェア ライセンシングの有効化(Enable Smart Software Licensing)] をクリックします。

スマート ソフトウェア ライセンシングの詳細については、スマート ソフトウェア ライセンシングの詳細のリンクをクリックします。

ステップ 3

スマート ソフトウェア ライセンシングについての情報を読んだ後、[OK] をクリックします。

ステップ 4

変更を保存します。
次のタスク

スマート ソフトウェア ライセンシングを有効すると、クラシック ライセンス モードのすべての機能がスマート ライセンス モードでも自動的に使用可能になります。クラシックライセンスモードの既存対象ユーザーの場合、CSSM で電子メールゲートウェイを登録せずに、スマート ソフトウェア ライセンシング機能を使用できる 90 日間の評価期間があります。

有効期限および評価期間の期限の前に、一定の間隔(90 日前、60 日前、30 日前、15 日前、5 日前、および最終日)で通知が表示されます。評価期間の間または終了後に、CSSM で電子メールゲートウェイを登録できます。


(注)  

クラシックライセンスモードにおけるアクティブなライセンスを持たない仮想電子メールゲートウェイの対象ユーザーの場合、スマート ソフトウェア ライセンシング機能を有効にしても、評価期間は提供されません。クラシックライセンスモードにおけるアクティブなライセンスを持つ仮想電子メールゲートウェイの対象ユーザーのみに、評価期間が提供されます。新規仮想電子メールゲートウェイ対象ユーザーがスマートライセンス機能の評価を希望する場合には、シスコセールスチームに連絡し、スマートアカウントに評価ライセンスを追加してください。評価ライセンスは、登録後に評価目的で使用されます。


(注)  

電子メールゲートウェイでスマートライセンシング機能を有効にすると、スマートライセンシングからクラシック ラインセンシング モードにロールバックすることができなくなります。

Cisco Smart Software Manager での電子メールゲートウェイの登録

電子メールゲートウェイを Cisco Smart Software Manager に登録するには、[システム管理(System Administration)] メニューでスマート ソフトウェア ライセンシング機能を有効にする必要があります。

手順

ステップ 1

E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 2

[スマートライセンスの登録(Smart License Registration)] オプションを選択します。

ステップ 3

[トランスポート設定(Transport Settings)] を変更する場合には、[編集(Edit)] をクリックします。次のオプションを使用できます。

  • [直接(Direct)]:電子メールゲートウェイを HTTPS 経由で Cisco Smart Software Manager に直接接続します。このオプションは、デフォルトで選択されます。

  • [トランスポートゲートウェイ(Transport Gateway)]:電子メールゲートウェイをトランスポートゲートウェイまたは Smart Software Manager サテライト経由で Cisco Smart Software Manager に接続します。このオプションを選択した場合、トランスポート ゲートウェイまたは Smart Software Manager サテライトの URL を入力してから [OK] をクリックする必要があります。このオプションは HTTP および HTTPS をサポートします。FIPS モードの場合、トランスポート ゲートウェイは HTTPS のみをサポートします。トランスポート ゲートウェイについては、Https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_Deployment_Guide.html を参照してください。

    ログイン クレデンシャルを使用して、Cisco Smart Software Manager ポータル

    https://software.cisco.com/#module/SmartLicensing)にアクセスします。新しいトークンを作成するには、このポータルの [仮想アカウント(Virtual Account)] ページに移動して [全般(General)] タブにアクセスします。電子メールゲートウェイ用の製品インスタンス登録トークンをコピーします。

    製品インスタンス登録トークンの作成については、https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_Deployment_Guide.html を参照してください。

ステップ 4

電子メールゲートウェイに戻り、製品インスタンス登録トークンを貼り付けます。

ステップ 5

[登録(Register)] をクリックします。

ステップ 6

[スマートソフトウェアライセンシング(Smart Software Licensing)] ページで、[すでに登録されている場合は、この製品インスタンスを再登録します(Reregister this product instance if it is already registered)] チェックボックスをオンにして、電子メールゲートウェイを再登録することもできます。Cisco Smart Software Manager での電子メールゲートウェイの再登録を参照してください。

次のタスク

製品登録プロセスには数分かかります。[スマートソフトウェアライセンシング(Smart Software Licensing)] ページで登録ステータスを表示できます。


(注)  
スマート ソフトウェア ライセンシングを有効にし、電子メールゲートウェイを Cisco Smart Software Manager に登録すると、Cisco Cloud Services ポータルが自動的に有効になり、電子メールゲートウェイに登録されます。

エアギャップモードで Cisco Secure Email Gateway を登録するための VLN、証明書、およびキーの詳細の取得と使用

VLN、証明書、およびキーの詳細を取得し、これらの詳細を使用して、エアギャップモードで動作している仮想の Cisco Secure Email Gateway を登録するには、次の手順を実行します。
手順

ステップ 1

エアギャップモード以外で動作している仮想の Cisco Secure Email Gateway を登録します。仮想の Cisco Secure Email Gateway の登録方法については、Cisco Smart Software Manager での電子メールゲートウェイの登録 を参照してください。

ステップ 2

CLI で vlninfo コマンドを入力します。このコマンドによって、VLN、証明書、キーの詳細が表示されます。これらの詳細をコピーし、後で使用するために保持します。

(注)  

 

vlninfo コマンドは、スマート ライセンシング モードで使用できます。vlninfo コマンドの詳細については、『CLI Reference Guide for AsyncOS for Cisco Secure Email Gateway』を参照してください。

ステップ 3

エアギャップモードで動作している仮想の Cisco Secure Email Gateway をライセンス予約に登録します。ライセンス予約に仮想の Cisco Secure Email Gateway を登録する方法の詳細については、機能ライセンスの予約 を参照してください。

ステップ 4

CLI で updateconfig -> VLNID サブコマンドを入力します。

ステップ 5

VLN の入力を求められたら、(手順 2 で)コピーした VLN を貼り付けます。

(注)  

 

updateconfig -> VLNID サブコマンドは、ライセンス予約モードでのみ使用できます。updateconfig -> VLNID サブコマンドの使用方法の詳細については、『CLI Reference Guide for AsyncOS for Cisco Secure Email Gateway』を参照してください。

(注)  

 

VLNID サブコマンドを使用して、VLNID を追加または更新できます。誤った VLN を入力した場合は、更新オプションを使用して VLN を修正できます。

ステップ 6

CLI で CLIENTCERTIFICATE コマンドを入力します。

ステップ 7

詳細を入力するように求められたら、(手順 2 で)コピーした証明書とキーの詳細を貼り付けます。

ライセンスの要求

登録プロセスが正常に完了した後、電子メールゲートウェイの機能のライセンスを要求しなければならない場合があります。


(注)  

ライセンス予約モード(エアギャップモード)では、ライセンストークンを電子メールゲートウェイに適用する前にライセンスを要求する必要があります。
手順

ステップ 1

[システム管理(System Administration)] > [ライセンス(Licenses)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

要求するライセンスに対応する [ライセンスの要求/リリース(License Request/Release)] 列のチェック ボックスをオンにします。

ステップ 4

[送信(Submit)] をクリックします。

(注)  

 

デフォルトでは、メール処理と Cisco Secure Email Gateway のバウンス検証のライセンスを利用できます。これらのライセンスは、有効化、無効化、またはリリースすることができません。

メール処理と Cisco Secure Email Gateway のバウンス検証のライセンスに評価期間やコンプライアンス違反はありません。これは、仮想電子メールゲートウェイには適用されません。

次のタスク

ライセンスは、期限超過また期限切れになるとコンプライアンス違反(OOC)モードになり、各ライセンスに 30 日間の猶予期間が提供されます。有効期限および OOC 猶予期間の期限の前に、一定の間隔(30 日前、15 日前、5 日前、および最終日)で通知が表示されます。

OOC 猶予期間の有効期限が過ぎると、ライセンスは使用できず、機能を利用できなくなります。機能にもう一度アクセスするには、CSSM ポータルでライセンスをアップデートして、認証を更新する必要があります。

Cisco Smart Software Manager からの電子メールゲートウェイの登録解除

手順

ステップ 1

[システム管理(System Administration)] > [スマートソフトウェアライセンシング(Smart Software Licensing)] を選択します。

ステップ 2

[アクション(Action)] ドロップダウン リストから、[登録解除(Deregister)] を選択し、[実行(Go)] をクリックします。

ステップ 3

[送信(Submit)] をクリックします。

Cisco Smart Software Manager での電子メールゲートウェイの再登録

手順

ステップ 1

[システム管理(System Administration)] > [スマートソフトウェアライセンシング(Smart Software Licensing)] を選択します。

ステップ 2

[アクション(Action)] ドロップダウン リストから、[登録(Register)] を選択し、[実行(Go)] をクリックします。

次のタスク

登録プロセスについては、Cisco Smart Software Manager での電子メールゲートウェイの登録 を参照してください。

回避できないシナリオにおいては、電子メールゲートウェイの設定をリセットした後に電子メールゲートウェイを登録することができます。

転送設定の変更

CSSM で電子メールゲートウェイを登録する前にのみ、トランスポート設定を変更できます。


(注)  

スマートライセンス機能が有効になっている場合にのみ、トランスポート設定を変更できます。電子メールゲートウェイがすでに登録されている場合、トランスポート設定を変更するには、電子メールゲートウェイの登録を解除する必要があります。トランスポート設定を変更した後に、電子メールゲートウェイを再登録する必要があります。

トランスポート設定を変更する方法は、3 ページの「Cisco Smart Software Manager でのアプライアンスの登録」を参照してください。

認証と証明書の更新

Cisco Smart Software Manager で電子メールゲートウェイを登録した後に、証明書を更新できます。


(注)  

電子メールゲートウェイが正常に登録された後にのみ、認証を更新できます。

手順

ステップ 1

[システム管理(System Administration)] > [スマートソフトウェアライセンシング(Smart Software Licensing)] を選択します。

ステップ 2

[アクション(Action)] ドロップダウン リストから、適切なオプションを選択します。

  • 認証を今すぐ更新

  • 証明書を今すぐ更新

ステップ 3

[移動(Go)] をクリックします。

機能ライセンスの予約

ライセンス予約の有効化
始める前に

E メールゲートウェイでスマートライセシングモードがすでに有効になっていることを確認します。


(注)  

CLI で license_smart > enable_reservation サブコマンドを使用して、機能ライセンスを有効にすることもできます。詳細については、CLI リファレンスガイドの「The Commands: Reference Examples」の章の「Smart Software Licensing」セクションを参照してください。

手順

ステップ 1

E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 2

[特定/永久ライセンス予約(Specific/Permanent License Reservation)] オプションを選択します。

ステップ 3

[確認(Confirm)] をクリックします。

ライセンス予約(SLR または PLR)が E メールゲートウェイで有効になります。
次のタスク

  • ライセンス予約の登録が必要です。詳細については、「ライセンス予約の登録」を参照してください。

  • 必要に応じて、E メールゲートウェイでライセンス予約を無効にすることができます。詳細については、ライセンス予約の無効化を参照してください。

ライセンス予約の登録
始める前に

必要なライセンス予約(SLR または PLR)が E メールゲートウェイで有効になっていることを確認します。


(注)  

CLI で license_smart > request_code および license_smart > install_authorization_code サブコマンドを使用して、機能ライセンスを登録することもできます。詳細については、CLI リファレンスガイドの「The Commands: Reference Examples」の章の「Smart Software Licensing」セクションを参照してください。

手順

ステップ 1

E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 2

[登録(Register)] をクリックします。

ステップ 3

[コードをコピー(Copy Code)] をクリックして、リクエストコードをコピーします。

(注)  

 
承認コードを生成するには、リクエストコードを CSSM ポータルで使用する必要があります。

(注)  

 
認証コードをインストールする必要があることを示すシステムアラートが 24 時間ごとに送信されます。

ステップ 4

[Next] をクリックします。

(注)  

 
[キャンセル(Cancel )] ボタンをクリックすると、リクエストコードがキャンセルされます。電子メールゲートウェイに認証コード(CSSM ポータルで生成)をインストールすることはできません。電子メールゲートウェイでリクエストコードがキャンセルされた後、予約済みライセンスを削除するには、Cisco TAC にお問い合わせください。

ステップ 5

CSSM ポータルに移動して、特定の機能またはすべての機能のライセンスを予約するための承認コードを生成します。

(注)  

 
承認コードの生成方法の詳細については、スマート ソフトウェア ライセンシング オンライン ヘルプ (cisco.com) にあるヘルプドキュメントの Inventory: License Tab > Reserve Licenses セクションを参照してください。

ステップ 6

次のいずれかの方法で、CSSM ポータルから取得した承認コードを E メールゲートウェイに貼り付けます。

  • [承認コードをコピーして貼り付ける(Copy and Paste authorizationc code)] オプションを選択し、[承認コードをコピーして貼り付ける(Copy and Paste authorization code)] オプションの下のテキストボックスに承認コードを貼り付けます。

  • [システムから承認コードをアップロード(Upload authorization code from the system)] オプションを選択し、[ファイルの選択(Choose File)] をクリックして承認コードをアップロードします。

ステップ 7

[承認コードをインストール(Install Authorization Code)] をクリックします。

(注)  

 
認証コードをインストールすると、スマートエージェントがライセンス予約を正常にインストールしたことを示すシステムアラートを受け取ります。
必要なライセンス予約(SLR または PLR)が E メールゲートウェイに登録されています。SLR では、予約済みのライセンスのみが [コンプライアンスで予約済み(Reserved in Compliance)] 状態に移行します。PLR の場合、電子メールゲートウェイのすべてのライセンスが [コンプライアンスで予約済み(Reserved in Compliance)] 状態に移行します。

(注)  
[コンプライアンスで予約済み(Reserved In Compliance)] 状態は、電子メールゲートウェイがライセンスの使用を許可されていることを示します。
次のタスク

  • (SLR のみに適用):必要に応じて、ライセンス予約を更新できます。詳細については、ライセンス予約の更新を参照してください。

  • (SLR および PLR に適用):必要に応じて、ライセンス予約を削除できます。詳細については、ライセンス予約の削除を参照してください。

  • E メールゲートウェイでライセンス予約を無効にすることができます。詳細については、ライセンス予約の無効化を参照してください。

ライセンス予約の更新

新しい機能のライセンスを予約したり、機能の既存のライセンス予約を変更したりできます。


(注)  
特定ライセンス予約のみを更新でき、永久ライセンス予約は更新できません。

(注)  
CLI で license_smart > reauthorize サブコマンドを使用して、ライセンス予約を更新することもできます。詳細については、CLI リファレンスガイドの「The Commands: Reference Examples」の章の「Smart Software Licensing」セクションを参照してください。
手順

ステップ 1

CSSM ポータルに移動して、すでに予約済みのライセンスを更新するための承認コードを生成します。

(注)  

 
承認コードの生成方法の詳細については、スマート ソフトウェア ライセンシング オンライン ヘルプ (cisco.com) にあるヘルプドキュメントの Inventory: Product Instances Tab > Update Reserved Licenses セクションを参照してください。

ステップ 2

CSSM ポータルから取得した承認コードをコピーします。

ステップ 3

E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 4

[アクション(Action)] ドロップダウンリストから [再承認(Reauthorize)] を選択し、[実行(GO)] をクリックします。

ステップ 5

次のいずれかの方法で、CSSM ポータルから取得した承認コードを E メールゲートウェイに貼り付けます。

  • [承認コードをコピーして貼り付ける(Copy and Paste authorizationc code)] オプションを選択し、[承認コードをコピーして貼り付ける(Copy and Paste authorization code)] オプションの下のテキストボックスに承認コードを貼り付けます。

  • [システムから承認コードをアップロード(Upload authorization code from the system)] オプションを選択し、[ファイルの選択(Choose File)] をクリックして承認コードをアップロードします。

ステップ 6

[再承認(Re-authorize)] をクリックします。

ステップ 7

[コードをコピー(Copy Code)] をクリックして、確認コードをコピーします。

(注)  

 
ライセンス予約を更新するには、CSSM ポータルに確認コードを使用する必要があります。

ステップ 8

[OK] をクリックします。

ステップ 9

E メールゲートウェイから取得した確認コードを CSSM ポータルに追加します。

(注)  

 
確認コードの追加方法の詳細については、スマート ソフトウェア ライセンシング オンライン ヘルプ (cisco.com) にあるヘルプドキュメントの Inventory: Product Instances Tab > Update Reserved Licenses セクションを参照してください。
ライセンス予約が更新されます。予約済みライセンスは、[コンプライアンスで予約済み(Reserved in Compliance)] 状態に移行します。予約されていないライセンスは [未承認(Not Authorized)] 状態に移行します。

(注)  
[未承認(Not Authorized)] 状態は、電子メールゲートウェイが機能ライセンスを予約していないことを示します。
次のタスク

  • (SLR および PLR に適用):必要に応じて、ライセンス予約を削除できます。詳細については、ライセンス予約の削除を参照してください。

  • E メールゲートウェイでライセンス予約を無効にすることができます。詳細については、ライセンス予約の無効化を参照してください。

ライセンス予約の削除

E メールゲートウェイで有効になっている特定のライセンス予約または永久ライセンスの予約を削除できます。


(注)  
CLI で license_smart > return_reservation サブコマンドを使用して、ライセンスの予約を削除することもできます。詳細については、CLI リファレンスガイドの「The Commands: Reference Examples」の章の「Smart Software Licensing」セクションを参照してください。
手順

ステップ 1

E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 2

[アクション(Action)] ドロップダウンリストから [リターンコード(Return code)] を選択し、[実行(GO)] をクリックします。

ステップ 3

[コードをコピー(Copy Code)] をクリックして、リターンコードをコピーします。

(注)  

 
ライセンス予約を削除するには、CSSM ポータルにリターンコードを使用する必要があります。

(注)  

 
スマートエージェントが製品のリターンコードを正常に生成したことを示すアラートがユーザーに送信されます。

ステップ 4

[OK] をクリックします。

ステップ 5

E メールゲートウェイから取得したリターンコードを CSSM ポータルに追加します。

(注)  

 
リターンコードの追加方法の詳細については、スマート ソフトウェア ライセンス オンライン ヘルプ (cisco.com) にあるヘルプ ドキュメントの Inventory: Product Instances Tab > Removing a Product Instance セクションを参照してください。
電子メールゲートウェイで予約されているライセンスは削除され、評価期間に移行します。

(注)  
認証コードをすでにインストールし、ライセンス予約を有効にしている場合、デバイスは有効なライセンスを持つ「登録済み」状態に自動的に移行します。
ライセンス予約の無効化

E メールゲートウェイでライセンス予約を無効にすることができます。


(注)  
CLI で license_smart > disable_reservation サブコマンドを使用して、ライセンス予約を無効にすることもできます。詳細については、CLI リファレンスガイドの「The Commands: Reference Examples」の章の「Smart Software Licensing」セクションを参照してください。
手順

ステップ 1

E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 2

[登録モード(Registration Mode)] フィールドで [タイプの変更(Change Type)] をクリックします。

ステップ 3

[登録モードの変更(Change registration mode)] ダイアログボックスで [送信(Submit)] をクリックします。

(注)  

 

  • リクエストコードを生成し、ライセンス予約を無効にすると、生成されたリクエストコードは自動的にキャンセルされます。

  • 認証コードをインストールしてライセンス予約を無効にすると、予約されたライセンスは電子メールゲートウェイに保持されます。

  • 認証コードがインストールされていて、スマートエージェントが [承認済み(Authorized)] 状態である場合、「不明」(有効)状態に戻ります。
E メールゲートウェイでライセンス予約が無効になります。
クラスタモードでのライセンス予約の有効化

クラスタ内の全マシンのライセンス予約を有効にすることができます。


(注)  
CLI で license_smart > enable_reservation サブコマンドを使用して、クラスタ内の全マシンのライセンス予約を有効にすることもできます。詳細については、CLI リファレンスガイドの「The Commands: Reference Examples」の章の「Smart Software Licensing」セクションを参照してください。
手順

ステップ 1

ログインしている電子メールゲートウェイでクラスタモードからマシンモードに切り替えます。

ステップ 2

ログインしている E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 3

[特定/永久ライセンス予約(Specific/Permanent License Reservation)] オプションを選択します。

ステップ 4

[クラスタ内の全マシンのライセンス予約を有効化(Enable license reservation for all machines in the cluster)] チェックボックスをオンにします。

ステップ 5

[確認(Confirm)] をクリックします。

クラスタ内の全マシンのライセンス予約が有効になります。

ステップ 6

ライセンス予約の登録の手順を参照して、ログインした E メールゲートウェイの機能ライセンスを予約します。

ステップ 7

(オプション) クラスタ内の他の全マシンについて、ステップ 6 を繰り返します。

次のタスク

  • (SLR のみに適用):必要に応じて、クラスタ内の全マシンのライセンス予約を更新できます。詳細については、ライセンス予約の更新を参照してください。

クラスタモードでのライセンス予約の無効化

クラスタ内の全マシンのライセンス予約を無効にすることができます。


(注)  
CLI で license_smart > disable_reservation サブコマンドを使用して、クラスタ内の全マシンのライセンス予約を無効にすることもできます。詳細については、CLI リファレンスガイドの「The Commands: Reference Examples」の章の「Smart Software Licensing」セクションを参照してください。
手順

ステップ 1

ログインしている E メールゲートウェイで [システム管理(System Administration)] > [スマート ソフトウェア ライセンシング(Smart Software Licensing)] ページに移動します。

ステップ 2

[クラスタ内の全マシンのライセンス予約を無効化(Disable license reservation for all machines in the cluster)] チェックボックスをオンにします。

ステップ 3

[登録モード(Registration Mode)] フィールドで [タイプの変更(Change Type)] をクリックします。

ステップ 4

[登録モードの変更(Change registration mode)] ダイアログボックスで [送信(Submit)] をクリックします。

クラスタ内の全マシンのライセンス予約が無効になります。

アラート

次のシナリオで通知が送信されます。

  • スマート ソフトウェア ライセンシングが正常に有効化された

  • スマート ソフトウェア ライセンシングの有効化に失敗した

  • 評価期間が開始された

  • 評価期間が終了した(評価期間中および期間終了時に一定の間隔で送信)

  • 正常に登録された

  • 登録に失敗した

  • 正常に認証された

  • 認証に失敗した

  • 正常に登録解除された

  • 登録解除に失敗した

  • ID 証明書が正常に更新された

  • ID 証明書の更新に失敗した

  • 認証の有効期限が切れた

  • ID 証明書の有効期限が切れた

  • コンプライアンス違反猶予期間の期限が切れた(コンプライアンス違反猶予期間中および期間終了時に一定の間隔で送信)

  • 機能の有効期限に関する最初のインスタンスが発生した

スマート エージェントの更新

電子メールゲートウェイにインストールされているスマートエージェントのバージョンを更新するには、次の手順を実行します。

手順

ステップ 1

[システム管理(System Administration)] > [スマートソフトウェアライセンシング(Smart Software Licensing)] を選択します。

ステップ 2

[スマートエージェントの更新ステータス(Smart Agent Update Status)] セクションで、[今すぐ更新(Update Now)] をクリックし、プロセスに従います。

(注)  

 

CLI コマンド saveconfig を使用して、または [システム管理(System Administration)] > [設定サマリー(Configuration Summary)] を使用して Web インターフェイス経由で設定変更を保存しようとすると、スマート ライセンス関連の設定は保存されません。

クラスタ モードでのスマート ライセンス

クラスタ構成では、スマート ソフトウェア ライセンシングを有効にして、すべてのマシンを同時に Cisco Smart Software Manager に登録できます。

手順

  1. ログインしている電子メールゲートウェイでクラスタモードからマシンモードに切り替えます。

  2. [システム管理(System Administration)] > [スマートソフトウェアライセンシング(Smart Software Licensing)] ページに移動します。

  3. [有効(Enable)] をクリックします。

  4. [クラスタ内のすべてのマシンでスマートソフトウェアライセンシングを有効にする(Enable Smart Software Licensing on all machines in the cluster)] チェックボックスをオンにします。

  5. [OK] をクリックします。

  6. [クラスタ内のマシン全体でスマートソフトウェアライセンシングを登録する(Register Smart Software Licensing across machines in cluster)] チェックボックスをオンにします。

  7. [登録(Register)] をクリックします。


(注)  
CLI で license_smart コマンドを使用して、スマート ソフトウェア ライセンシングを有効にしてすべてのマシンを同時に Cisco Smart Software Manager に登録できます。

(注)  
クラスタ構成では、スマート ソフトウェア ライセンシングを有効にして、すべてのマシンを個別に Cisco Smart Software Manager に登録することもできます。クラスタモードでのスマートライセンスでは、任意の電子メールゲートウェイにログインしてスマートライセンスを設定できます。電子メールゲートウェイにログインし、クラスタの他の電子メールゲートウェイに 1 つずつアクセスして、最初の電子メールゲートウェイからログオフすることなくスマートライセンス機能を設定できます。

詳細については、クラスタを使用した中央集中型管理を参照してください。

仮想電子メールゲートウェイのライセンス

仮想電子メールゲートウェイのセットアップとライセンス付与については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このマニュアルは、に記載されている場所から入手できます。


(注)  
仮想電子メールゲートウェイのライセンスをインストールする前に、テクニカルサポートのトンネルを開くこと、またはシステム セットアップ ウィザードを実行することはできません。

仮想電子メールゲートウェイのライセンスの有効期限

仮想電子メールゲートウェイのライセンスの有効期限が切れてから 180 日間、この電子メールゲートウェイはセキュリティサービスなしでメールの配信を続行します。この期間中、セキュリティ サービスは更新されません。

ライセンスの有効期限が切れる時点から 180 日前、150 日前、120 日前、90 日前、60 日前、30 日前、15 日前、5 日前、1 日前、および 0 秒前にアラートが送信されます。また、猶予期間の終了についても、同じ間隔でアラートが送信されます。これらは、[システム(System)] タイプ、[重大(Critical)] 重大度レベルのアラートです。確実にアラートが届くようにするには、アラート受信者の追加を参照してください。

これらのアラートはシステム ログにも記録されます。

個々のライセンスキーが、仮想電子メールゲートウェイのライセンスよりも先に期限切れになることがあります。これらの有効期限が近づいてきた場合にも、アラートが送信されます。

関連項目

設定ファイルの管理

電子メールゲートウェイ内のすべての設定は、1 つの設定ファイルで管理できます。このファイルは Extensible Markup Language(XML)形式で保持されます。

このファイルは次の複数の方法で使用できます。

  • 設定ファイルを別のシステムに保存し、重要な設定データをバックアップおよび保持できます。 電子メールゲートウェイの設定を間違えた場合、保存した最新のコンフィギュレーション ファイルに「ロールバック」できます。
  • 既存のコンフィギュレーション ファイルをダウンロードし、 電子メールゲートウェイの設定全体を素早く確認できます。(新しいブラウザの多くに、XML ファイルを直接レンダリングする機能が含まれています)。現在の設定にマイナー エラー(誤入力など)があった場合、この機能がトラブルシューティングに役立つことがあります。
  • 既存のコンフィギュレーション ファイルをダウンロードし、変更を加えて同じ 電子メールゲートウェイにアップロードできます。この場合は、実質的に設定の変更を行うために CLI と Web インターフェイスの両方が「バイパス」されます。
  • FTP アクセスを使用して設定ファイル全体をアップロードしたり、設定ファイルの一部または全体を CLI に直接貼り付けたりできます。
  • ファイルは XML 形式であるため、設定ファイルのすべての XML エンティティを定義する、関連付けられた Document Type Definition(DTD)も提供されます。XML 設定ファイルをアップロードする前にこの DTD をダウンロードして XML 設定ファイルを検証できます(XML 検証ツールはインターネットで簡単に入手できます)。

XML 設定ファイルを使用した複数の電子メールゲートウェイの管理

  • ある電子メールゲートウェイから既存の設定ファイルをダウンロードし、変更を行い、別の電子メールゲートウェイにアップロードできます。これにより、複数の電子メールゲートウェイのインストールを簡単に管理できるようになります。現時点では、設定ファイルを C/X シリーズ 電子メールゲートウェイから M シリーズ Cisco Secure Manager Email and Web Gateway にロードできません。
  • ある電子メールゲートウェイからダウンロードされた既存の設定ファイルを、複数のサブセクションに分割できます。(複数の電子メールゲートウェイ環境の)すべての電子メールゲートウェイで共通するこれらのセクションを変更し、サブセクションの更新時にこれらのセクションを他の電子メールゲートウェイにロードできます。

たとえば、Global Unsubscribe コマンドをテストするためにテスト環境で電子メールゲートウェイを使用できます。グローバル配信停止リストを適切に設定した場合は、テスト電子メールゲートウェイのグローバル配信停止設定セクションをすべての実稼働電子メールゲートウェイにロードできます。

コンフィギュレーション ファイルの管理

電子メールゲートウェイで設定ファイルを管理するには、[システム管理(System Administration)] > [設定ファイル(Configuration File)] をクリックします。

[設定ファイル(Configuration File)] ページには、次のセクションが含まれています。


(注)  
秘密キーと証明書は設定ファイルと暗号化パスフレーズと共に、暗号化されない PEM 形式で含められます。

関連項目

現在の設定ファイルの保存およびエクスポート

[システム管理(System Administration)] > [設定ファイル(Configuration File)] ページの [現在の設定(Current Configuration)] のセクションを使用すると、現在の設定ファイルを、ローカルマシンに保存したり、電子メールゲートウェイで保存したり(FTP/SCP ルートの configuration ディレクトリに保存されます)、指定されたアドレスに電子メールで送信したりできます。

次の情報は、設定ファイルには保存されません。

  • URL フィルタリング機能で使用されるサービスとのセキュアな通信に使用される証明書。
  • [テクニカルサポートに問い合わせる(Contact Technical Support)] ページに保存されている CCO ユーザー ID と契約 ID。

[設定ファイル内のパスフレーズを隠す(Mask passphrases in the Configuration Files)] チェックボックスをクリックして、ユーザのパスフレーズをマスクできます。パスフレーズをマスクすると、元の暗号化されたパスフレーズが、エクスポートまたは保存されたファイルで「*****」に置き換えられます。ただし、パスフレーズがマスクされた設定ファイルを AsyncOS に再びロードすることはできないことに注意してください。

[設定ファイル内のパスフレーズを隠す(Encrypt passphrases in the Configuration Files)] チェックボックスをクリックして、ユーザのパスフレーズをマスクできます。次に、暗号化される、設定ファイル内の重要なセキュリティ パラメータを示します。

  • 証明書の秘密キー
  • RADIUS パスワード
  • LDAP バインドのパスワード
  • ローカルユーザーのパスワードのハッシュ
  • SNMP パスワード
  • DK/DKIM 署名キー
  • 発信 SMTP 認証パスワード
  • PostX 暗号化キー
  • PostX 暗号化プロキシ パスワード
  • FTP プッシュ ログ サブスクリプションのパスワード
  • IPMI LAN パスワード
  • アップデータ サーバの URL

これは、saveconfig コマンドを使用してコマンドライン インターフェイスでも構成できます。

設定ファイルのメール送信

[システム管理(System Administration)] > [設定ファイル(Configuration File)] の [ファイルをメールで送信(Email file to)] フィールドを使用するか、mailconfig コマンドを使用して、現在の設定を添付ファイルとしてユーザにメール送信できます。

コンフィギュレーション ファイルのロード

[システム管理(System Administration)] > [設定ファイル(Configuration File)] ページの [設定をロード(Load Configuration)] セクションを使用して、新しい設定情報を電子メールゲートウェイにロードします。これは、loadconfig コマンドを使用してコマンドライン インターフェイスでも構成できます。

情報は次の 3 つのいずれかの方法でロードできます。

  • configuration ディレクトリに情報を格納し、アップロードする。
  • 設定ファイルをローカル マシンから直接アップロードする。
  • 設定情報を直接貼り付ける。

(注)  

パスフレーズがマスクされた設定ファイルはロードできません。

クラスタモードでは、クラスタまたは電子メールゲートウェイのいずれの設定をロードするかを選択できます。クラスタ設定をロードする手順については、クラスタ化された電子メールゲートウェイの設定のロードを参照してください。

どの方法の場合でも、設定の上部に次のタグを含める必要があります。 

<?xml version="1.0" encoding="ISO-8859-1"?>


<!DOCTYPE config SYSTEM "config.dtd">


<config>


... your configuration information in valid XML


</config>

</config> 閉じタグは設定情報の後に指定する必要があります。XML 構文の値は、電子メールゲートウェイconfiguration ディレクトリにある DTD(Document Type Definition)を使用して解析および検証されます。DTD ファイルの名前は config.dtd です。loadconfig コマンドを使用したときにコマンド ラインで検証エラーが報告された場合、変更はロードされません。設定ファイルをアップロードする前に、電子メールゲートウェイの外部で DTD をダウンロードし、設定ファイルを検証できます。

いずれの方法の場合でも、設定ファイル全体(最上位のタグである <config></config> 間で定義された情報)または設定ファイルの complete および unique サブセクション(上記の宣言タグが含まれ、<config></config> タグ内に存在する場合)をインポートできます。

「complete(完全)」とは、DTD で定義されたサブセクションの開始タグおよび終了タグ全体が含まれることを意味します。たとえば、次の内容をアップロードまたは解析します。 

<?xml version="1.0" encoding="ISO-8859-1"?>


<!DOCTYPE config SYSTEM "config.dtd">

<config>

<autosupport_enabled>0</autosu


</config>

この場合は、アップロード中に検証エラーが発生します。ただし、 

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE config SYSTEM "config.dtd">

<config>

<autosupport_enabled>0</autosupport_enabled>

</config>

この場合は、検証エラーが発生しません。

「unique(一意)」とは、アップロードまたは貼り付けられる設定ファイルのサブセクションが、設定として多義的でないことを意味します。たとえば、システムは 1 つのホスト名しか持つことができないため、次の内容(宣言と <config></config> タグを含む)をアップロードすることは可能です。 


<hostname>mail4.example.com</hostname>

上記の内容は許容されます。ただし、システムでは複数のリスナーを定義できるため(リスナーごとに異なる受信者アクセス テーブルが定義されます)、 


<rat>

       <rat_entry>

              <rat_address>ALL</rat_address>

         <access>RELAY</access>

     </rat_entry>

</rat>

上記の内容だけをアップロードすることは多義的と見なされ、「完全」な構文であっても許可されません。


注意    

設定ファイルまたは設定ファイルのサブセクションをアップロードまたは解析する場合は、待機中の可能性がある、保存されていない変更が破棄されることがあります。

設定ファイルのディスク領域の割り当てが、現在電子メールゲートウェイに保存されているデータの量よりも小さい場合、設定ファイルで指定されたクォータを満たすために、最も古いデータが削除されます。

空白タグと省略されたタグ

設定ファイルのセクションをアップロードまたは解析する場合は注意が必要です。タグを含めないと、コンフィギュレーション ファイルのアップロード時に設定の値が変更されません。ただし、空白タグを含めると、設定の問題が解消されます。

たとえば、 


<listeners></listeners>

上記の内容をアップロードすると、システムからすべてのリスナーが削除されます。


注意    

設定ファイルのサブセクションをアップロードしたり、貼り付けたりした場合、Web インターフェイスまたは CLI から切断され、大量の設定データが破壊されることがあります。別のプロトコル、シリアルインターフェイス、または管理ポートのデフォルト設定を使用して電子メールゲートウェイに再接続できない場合は、このコマンドでサービスをディセーブルにしないでください。また、DTD で定義された設定構文がよくわからない場合は、このコマンドを使用しないでください。新しい設定ファイルをアップロードする前に、必ず設定データをバックアップしてください。

ログ サブスクリプションのパスフレーズのロードについての注意事項

パスフレーズが必要なログ サブスクリプションを含むコンフィギュレーション ファイルをロードしようとしても(たとえば、FTP プッシュを使用)、loadconfig コマンドは不明なパスフレーズについて警告しません。FTP プッシュが失敗し、logconfig コマンドを使用して正しいパスフレーズを設定するまで警告が生成されます。

文字セット エンコーディングについての注意事項

XML コンフィギュレーション ファイルの「encoding」属性は、ファイルをオフラインで操作するために使用している文字セットに関係なく、「ISO-8859-1」である必要があります。showconfig コマンド、saveconfig コマンド、または mailconfig コマンドを発行するたびにエンコーディング属性がファイルで指定されることに注意してください。 


<?xml version="1.0" encoding="ISO-8859-1"?>

現時点では、このエンコーディングを持つ設定ファイルだけをロードできます。

関連項目

現在の設定のリセット

現在の設定をリセットすると、電子メールゲートウェイが元の出荷時デフォルト値に戻ります。リセットする前に設定を保存する必要があります。GUI でこのボタンを使用して設定をリセットすることは、クラスタリング環境ではサポートされていません。

出荷時の初期状態へのリセット を参照してください。

設定ファイルの表示

設定ファイルの詳細は、showconfig コマンドを使用してのみ表示できます。showconfig コマンドは、現在の設定を画面に出力します。 

mail3.example.com> showconfig


Do you want to include passphrases? Please be aware that a configuration without
passphrases will fail when reloaded with loadconfig.
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE config SYSTEM "config.dtd">
<!--
Product: IronPort model number Messaging Gateway Appliance(tm)
Model Number: model number
Version: version of AsyncOS installed
Serial Number: serial number

Current Time: current time and date

[The remainder of the configuration file is printed to the screen.]

ディスク領域の管理

(仮想 E メール ゲートウェイのみ)使用可能なディスク領域の増加

ESXi 5.5 および VMFS 5 を実行する仮想 E メール ゲートウェイの場合、2 TB を超えるディスク領域を割り当てることができます。ESXi 5.1 を実行する E メール ゲートウェイの場合は 2 TB に制限されます。

仮想 E メール ゲートウェイ インスタンスにディスク領域を追加するには、次の手順を実行します。


(注)  
ディスク領域の削減はサポートされていません。詳細については、VMware のマニュアルを参照してください。

はじめる前に

必要な追加ディスク領域を慎重に検討します。

手順

ステップ 1

E メール ゲートウェイのインスタンスをダウンさせます。

ステップ 2

VMware が提供するユーティリティまたは管理ツールを使用してディスク領域を増やします。

VMware のマニュアルで仮想ディスク設定の変更に関する情報を参照してください。ESXi 5.5 に関するこの情報は、リリースの時点では、http://pubs.vmware.com/vsphere-55/index.jsp?topic= %2Fcom.vmware.vsphere.hostclient.doc%2FGUID-81629CAB-72FA-42F0-9F86-F8FD0DE39E57.html で参照可能でした。

ステップ 3

[システム管理(System Administration)] > [ディスク管理(Disk Management)] に移動して、変更内容が反映されたことを確認します。

ディスク領域の使用率の表示および割り当て

E メール ゲートウェイで、展開で使用される各機能にディスク領域を割り当てることで、ディスク使用率を最適化できます。

目的

操作手順

  • 各サービスのディスク領域クォータと現在の使用率を表示します
  • いつでも E メールゲートウェイでディスク領域を再割り当てできます

[システム管理(System Administration)] > [ディスク管理(Disk Management)] に移動します。

データ ボリュームの管理

その他のクォータのディスク領域の管理

その他のクォータにはシステム データとユーザ データが含まれます。システム データは削除できません。管理できるユーザ データには次のファイル タイプがあります。

管理対象

手順

ログ ファイル

[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] に移動して、

  • どのログ ディレクトリが最もディスク領域を消費しているかを確認します。
  • 生成されるすべてのログ サブスクリプションが必要であることを確認します。
  • 必要以上に詳細なログ レベルになっていないかを確認します。
  • 可能な場合は、ロールオーバー ファイル サイズを小さくします。

パケット キャプチャ

[ヘルプとサポート(Help and Support)](画面上部の右側付近) > [パケットキャプチャ(Packet Capture)] に移動します。

コンフィギュレーション ファイル

(これらのファイルが多くのディスク領域を消費する可能性は低いと考えられます)。

E メール ゲートウェイの /data/pub ディレクトリに FTP でアクセスします。

E メール ゲートウェイへの FTP アクセスを構成するには、FTP、SSH、および SCP アクセスを参照してください。

クオータ サイズ

[システム管理(System Administration)] > [ディスク管理(Disk Management)] に移動します。

ディスク領域に関するアラートの受信の確認

その他のディスク使用量がクォータの 75% に達すると、警告レベルのシステム アラートを受信します。これらのアラートを受信した場合は、対処する必要があります。

確実にアラートが届くようにするには、アラートを参照してください。

ディスク領域と集中管理

ディスク領域管理はマシン モードでのみ使用可能で、グループまたはクラスタ モードでは使用できません。

セキュリティ サービスの管理

[サービスの概要(Services Overview)] ページには次のエンジンの現在のサービスとルールのバージョンがリストされます。

  • Graymail

  • McAfee

  • Sophos

[サービスの概要(Services Overview)] ページでは、次のタスクを実行できます。

[自動更新(Automatic Updates)] 列は特定のエンジンの自動更新の状態を示します。自動更新を有効または無効にする場合、特定のエンジンの [グローバル設定(Global Settings)] ページに移動します。

特定のサービス エンジンの自動更新を無効にすると、警告が定期的に表示されます。警告の間隔を変更する場合、[セキュリティサービス(Security Services)] > [サービスのアップデート(Service Updates)] ページの [無効な自動エンジン更新のアラート間隔(Alert Interval for Disabled Automatic Engine Updates)] オプションを使用します。


(注)  
ロールバックが適用されているエンジンの場合、自動更新は自動的に無効になります。

関連項目

エンジンの手動アップデート

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [サービスの概要(Services Overview)] ページに進みます。

ステップ 2

サービス エンジンの最新サービスまたはルール バージョンを参照するには、[入手可能な更新(Available Updates)] 列の [更新(Update)] をクリックします。

(注)  

 
[更新(Update)] オプションは、特定のエンジンの新しい更新が入手可能である場合にのみ使用できます。

エンジンの以前のバージョンへのロールバック

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [サービスの概要(Services Overview)] ページに進みます。

ステップ 2

[バージョンの変更(Modify Versions)] カラムで [変更(Change)] をクリックします。

ステップ 3

必要なルールおよびサービス バージョンのアップデートを選択し、[適用(Apply)] クリックします。

電子メールゲートウェイにより、エンジンが以前のバージョンにロールバックされます。

(注)  

 
サービス アップデートには、サービス バージョンとルール バージョンがパッケージとして一緒に含まれています。

[適用(Apply)] をクリックすると、そのエンジンの自動更新が自動的に無効になります。自動更新を有効にするには、そのエンジンの [グローバル設定(Global Settings)] ページに移動します。

ログの表示

エンジンのロールバックおよび自動更新の無効化に関する情報は、次のログに記載されます。

  • アップデータ ログ:エンジンのロールバックおよびエンジンの自動更新に関する情報が含まれます。ほとんどの情報は [情報(Info)] または [デバッグ(Debug)] レベルです。

    詳細については、アップデータ ログの例を参照してください。

サービス アップデート

次のサービスは最大の効果得るために更新する必要があります。

  • ライセンス キー(Feature Keys)
  • McAfee Anti-Virus の定義
  • PXE エンジン
  • Sophos Anti-Virus の定義
  • IronPort アンチ スパム ルール
  • アウトブレイク フィルタ ルール
  • タイム ゾーンルール
  • URL カテゴリ(URL フィルタリング機能に使用します。詳細は、将来の URL カテゴリ セットの変更 を参照してください。
  • 登録クライアント(URL フィルタリング機能で使用されるクラウドベース サービスとの通信に必要な証明書を更新するために使用されます。詳細については、Talos インテリジェンスサービスへの接続についてを参照してください。)
  • グレイメール ルール

(注)  
DLP エンジンとコンテンツ照合分類子の設定は、[セキュリティサービス(Security Services)] > [データ損失防止(Data Loss Prevention)] ページで扱われます。詳細については、DLP エンジンおよびコンテンツ照合分類子の更新についてを参照してください。

サービス アップデートの設定は、DLP アップデートを除いてアップデートを受け取るすべてのサービスに使用されます。DLP アップデートを除いて、任意のサービスにそれぞれ設定を指定できません。

これらの重要なアップデートを取得するようにネットワークと 電子メールゲートウェイを設定するには、「アップグレードおよびアップデートを取得するための設定」を参照してください。

アップグレードおよびアップデートを取得するための設定

アップグレードおよびアップデートの配信オプション

電子メールゲートウェイに AsyncOS アップグレードファイルおよびアップデートファイルを配信する方法は複数あります。

  • 電子メールゲートウェイでは、シスコのアップデートサーバからファイルを直接ダウンロードできます。これがデフォルトの方法です。
  • シスコからファイルを 1 回ダウンロードし、ネットワーク内のサーバから 電子メールゲートウェイにファイルを配信できます。ローカル サーバからのアップグレードおよびアップデートを参照してください。

方法の選択と設定については、アップグレードおよびアップデートをダウンロードするためのサーバ設定を参照してください。

Cisco サーバからアップグレードおよびアップデートをダウンロードするためのネットワークの設定

電子メールゲートウェイは、アップグレードおよびアップデートを検索してダウンロードするために、Cisco アップデートサーバに直接接続できます。

図 1. ストリーミング アップデートの方法


Cisco アップデート サーバは、ダイナミック IP アドレスを使用します。厳密なファイアウォール ポリシーがある場合は、代わりに静的な場所の設定が必要になることがあります。詳細については、厳密なファイアウォール環境でのアップグレードとアップデートのための 電子メールゲートウェイの設定を参照してください。

ポート 80 および 443 による Cisco アップデート サーバからのアップグレードのダウンロードを許可する、ファイアウォールのルールを作成します。

厳密なファイアウォール環境でのアップグレードとアップデートのための 電子メールゲートウェイの設定

Cisco IronPort アップグレードおよびアップデート サーバは、ダイナミック IP アドレスを使用します。ファイアウォール ポリシーを厳しく設定している場合、アップデートおよび AsyncOS アップグレードに対して静的な参照先を設定する必要がある場合があります。

手順

ステップ 1

シスコ カスタマー サポートに問い合わせて、スタティック URL アドレスを取得します。

ステップ 2

ポート 80 によるスタティック IP アドレスからのアップグレードおよびアップデートのダウンロードを許可する、ファイアウォールのルールを作成します。

ステップ 3

[セキュリティ サービス(Security Services)] > [サービスのアップデート(Service Updates)] を選択します。

ステップ 4

[アップデート設定を編集(Edit Update Settings)] をクリックします。

ステップ 5

[アップデート設定を編集(Edit Update Settings)] ページの [アップデートサーバ(イメージ)(Update Servers (images))] セクションで、[ローカルアップデートサーバ(Local Update Servers)] を選択し、ステップ 1 で受け取った AsyncOS アップグレードおよび McAfee Anti-Virus 定義ファイルのスタティック URL を [ベースURL(Base URL)] フィールドに入力します。

ステップ 6

IronPort アップデート サーバが [アップデートサーバ(リスト)(Update Servers (list))] セクションで選択されていることを確認します。

ステップ 7

変更を送信し、保存します。

ローカル サーバからのアップグレードおよびアップデート

直接 Cisco アップデート サーバからアップグレードを取得するのではなく、AsyncOS アップグレード イメージをローカル サーバにダウンロードし、所有するネットワーク内からアップグレードをホスティングできます。この機能を使用して、インターネットにアクセスできるネットワーク上のすべてのサーバに HTTP でアップグレード イメージをダウンロードします。アップデート イメージをダウンロードする場合は、内部 HTTP サーバ(アップデート マネージャ)を設定し、アプライアンスで AsyncOS イメージをホスティングすることができます。

電子メールゲートウェイがインターネットにアクセスできない場合や、ダウンロードに使用するミラーサイトへのアクセスが組織で制限される場合はローカルサーバを使用します。ローカルサーバから各 電子メールゲートウェイへの AsyncOS アップグレードのダウンロードは、通常 Cisco IronPort サーバからのダウンロードよりも高速です。


(注)  
AsyncOS アップグレードに限りローカル サーバを使用することを推奨します。セキュリティ アップデート イメージにローカル アップデート サーバを使用する場合、ローカルサーバは Cisco IronPort から自動的にセキュリティアップデートを受信しないため、ネットワーク上の 電子メールゲートウェイは常に最新のセキュリティサービスではない可能性があります。
図 2. リモート アップデートの方法


手順

ステップ 1

アップグレード ファイルを取得および供給するようにローカル サーバを設定します。

ステップ 2

アップグレード ファイルをダウンロードします。

ステップ 3

GUI の [セキュリティ サービス(Security Services)] > [サービスのアップデート(Service Updates)] ページまたは CLI の updateconfig コマンドのいずれかを使用して、ローカル サーバを使用するようにアプライアンスを設定します。

ステップ 4

[システム管理(System Administration)] > [システム アップグレード(System Upgrade)] ページまたは CLI の upgrade コマンドのいずれかを使用して、アプライアンスをアップグレードします。

ローカル サーバからアップグレードおよびアップデートするためのハードウェアおよびソフトウェア要件

AsyncOS アップグレード ファイルおよびアップデート ファイルのダウンロードでは、次の要件を備えた内部ネットワークにシステムを構築する必要があります。

  • Cisco Systems アップデート サーバへのインターネット アクセス。

  • Web ブラウザ(ブラウザ要件を参照)。


    (注)  
    今回のリリースでアップデート サーバのアドレスへの HTTP アクセスを許可するファイアウォール設定値を設定する必要がある場合、特定の IP アドレスではなく DNS 名を使用する必要があります。

AsyncOS アップデート ファイルのホスティングでは、次の要件を備えた内部ネットワークにサーバを構築する必要があります。

  • Web サーバ:たとえば、Microsoft Internet Information Services(IIS; インターネット インフォメーション サービス)または Apache オープン ソース サーバでは、次の要件を満たしている必要があります。
    • 24 文字を超えるディレクトリまたはファイル名の表示をサポートしていること
    • ディレクトリの参照ができること
    • 匿名認証(認証不要)または基本(「シンプル」)認証用に設定されていること
    • 各 AsyncOS アップデート イメージ用に最低 350 MB 以上の空きディスク領域が存在すること

ローカル サーバでのアップグレード イメージのホスト

ローカル サーバの設定が完了したら、http://updates.ironport.com/fetch_manifest.html にアクセスしてアップグレード イメージの ZIP ファイルをダウンロードします。イメージをダウンロードするには、(物理 電子メールゲートウェイの)シリアル番号または(仮想 電子メールゲートウェイの)VLN および 電子メールゲートウェイのバージョン番号を入力します。利用可能なアップグレードのリストが表示されます。ダウンロードするアップグレードのバージョンをクリックし、ディレクトリ構造を変更せずにローカル サーバのルート ディレクトリにある ZIP ファイルを解凍します。アップグレードイメージを使用するには、[アップデート設定を編集(Edit Update Settings)] ページで(または CLI の updateconfig を使用して)ローカルサーバを使用するように 電子メールゲートウェイを設定します。

ローカルサーバは、ネットワーク上の 電子メールゲートウェイで利用可能な AsyncOS アップグレードをダウンロード済みのアップグレードイメージに限定する XML ファイルもホスティングします。このファイルは「マニフェスト」と呼ばれます。マニフェストはアップグレード イメージの ZIP ファイルの asyncos ディレクトリにあります。ローカル サーバのルート ディレクトリにある ZIP ファイルを解凍したら、[アップデート設定を編集(Edit Update Settings)] ページで(または CLI の updateconfig を使用して)、XML ファイルの完全な URL(ファイル名を含む)を入力します。

リモート アップグレードの詳細については、ナレッジ ベースを参照するか、シスコ サポート プロバイダーにお問い合わせください。

プロキシ サーバを経由したアップデート

電子メールゲートウェイは、(デフォルトで)シスコのアップデートサーバに直接接続して、アップデートを受け取るように設定されます。この接続は、ポート 80 の HTTP によって確立され、コンテンツは暗号化されます。ファイアウォールでこのポートを開かないようにする場合は、アップデートされたルールを 電子メールゲートウェイで受け取ることができる、プロキシサーバおよび具体的なポートを定義できます。

プロキシ サーバを使用する場合は、任意で認証およびポートを指定できます。


(注)  
プロキシ サーバを定義すると、プロキシ サーバを使用するように設定されているすべてのサービス アップデートで、そのプロキシ サーバが自動的に使用されます。任意のサービスのアップデートのために、プロキシ サーバをオフにはできません。

アップグレードおよびアップデートをダウンロードするためのサーバ設定

電子メールゲートウェイにアップグレードおよびアップデートをダウンロードするために必要なサーバ情報および接続情報を指定します。

AsyncOS のアップグレードとサービスのアップデートに同じまたは異なる設定を使用できます。

はじめる前に

電子メールゲートウェイがシスコから直接アップグレードおよびアップデートをダウンロードするか、または代わりにネットワーク上のローカルサーバでこれらのイメージをホスティングするかを設定します。次に、選択した方式をサポートするようにネットワークをセット アップします。アップグレードおよびアップデートを取得するための設定のすべての内容を参照してください。

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [サービスのアップデート(Service Updates)] を選択します。

ステップ 2

[更新設定を編集(Edit Update Settings)] をクリックします。

ステップ 3

オプションを入力します。

設定

説明

アップデート サーバ(イメージ)(Update Servers (images))

Cisco IronPort AsyncOS アップグレード イメージを、Cisco IronPort アップデート サーバまたはネットワーク上のローカル サーバのどちらからダウンロードするかを選択します。デフォルトは、アップグレードおよびアップデートの両方で Cisco IronPort アップデート サーバです。

アップグレードとアップデートに同じ設定を使用するには、表示されるフィールドに情報を入力します。

ローカル アップデート サーバを選択した場合は、アップグレードおよびアップデートのダウンロードに使用するサーバのベース URL とポート番号を入力します。サーバが認証を必要とする場合、有効なユーザ名とパスフレーズも入力します。

AsyncOS アップグレードおよび McAfee Anti-Virus 定義ファイルにそれぞれ別の設定を入力するには、[クリックして AsyncOS の異なる設定を使用する(Click to use different settings for AsyncOS)] リンクをクリックします。

(注)  

 
Cisco Intelligent Multi-Scan でサードパーティのアンチスパム ルールのアップデートをダウンロードするには、別のローカル サーバが必要です。

アップデートサーバ(リスト)(Update Servers (lists))

導入に適したアップグレードおよびアップデートのみ各 電子メールゲートウェイで利用できることを確認するために、Cisco IronPort は関連するファイルのマニフェストリストを生成します。

利用可能なアップグレードおよびサービス アップデートのリスト(マニフェスト XML ファイル)を、Cisco IronPort アップデート サーバまたはネットワーク上のローカル サーバのどちらからダウンロードするかを選択します。

アップデートおよび AsyncOS アップグレードのためのサーバの指定は、別のセクションに分かれています。デフォルトのアップグレードおよびアップデートは Cisco IronPort アップデート サーバです。

ローカル アップデート サーバを選択した場合、サーバのファイル名および HTTP ポート番号を含む、各リストのマニフェスト XML ファイルのフル パスを入力します。ポートのフィールドを空のままにした場合、AsyncOS はポート 80 を使用します。サーバが認証を必要とする場合、有効なユーザ名とパスフレーズを入力します。

自動更新

Sophos および McAfee Anti-Virus 定義ファイル、Cisco Anti-Spam ルール、Cisco Intelligent Multi-Scan ルール、PXE Engine アップデート、アウトブレイク フィルタ ルール、時間帯ルールに対する自動アップデートとアップデート間隔( 電子メールゲートウェイがアップデートを確認する頻度)をイネーブルにします。

数字の後に秒、分、時間を表す s(秒)、m(分)および h(時)を含めます。自動更新をディセーブルにするには、0(ゼロ)を入力します。

(注)  

 
[セキュリティ サービス(Security Services)] > [データ消失防止(Data Loss Prevention)] ページからのみ、DLP の自動アップデートを有効にできます。ただし、最初にすべてのサービスの自動アップデートをイネーブルにする必要があります。詳細については、DLP エンジンおよびコンテンツ照合分類子の更新についてを参照してください。

無効な自動エンジン更新のアラート間隔

「自動更新」機能が特定のエンジンで無効になっている場合、送信されるアラートの特定の頻度を入力します。

末尾に m、h、または d が含まれ、月、時間、または日を示します。デフォルト値は 30 日です。

インターフェイス(Interface)

表示されているセキュリティ コンポーネントのアップデートをアップデート サーバに問い合わせる際に使用するネットワーク インターフェイスを選択します。利用可能なプロキシ データ インターフェイスが表示されます。デフォルトでは、 電子メールゲートウェイで使用するインターフェイスを選択します。

HTTP プロキシ サーバ(HTTP Proxy Server)

GUI に表示されているサービスで使用されるオプションのプロキシ サーバ。

プロキシ サーバを指定すると、すべてのサービスのアップデートのために使用できます。

(注)  

 
HTTP プロトコルは、HTTP プロキシサーバーを設定するときに使用できます。

(注)  

 
HTTPS プロトコルは、HTTP プロキシサーバーの設定ではサポートされていません。

HTTPS プロキシ サーバ(HTTPS Proxy Server)

HTTPS を使用したオプションのプロキシ サーバ。HTTPS プロキシ サーバを定義すると、GUI に表示されているサービスのアップデートで使用されます。

(注)  

 
HTTP プロトコルは、HTTPS プロキシサーバーを設定するときに使用できます。

(注)  

 
HTTPS プロトコルは、HTTPS プロキシサーバーの設定ではサポートされていません。

ステップ 4

変更を送信し、保存します。

自動アップデートの設定

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [サービスのアップデート(Service Updates)] ページに移動して、[更新設定を編集(Edit Update Settings)] をクリックします。

ステップ 2

チェックボックスをオンにして、自動アップデートをイネーブルにします。

ステップ 3

アップデート間隔(次のアップデートの確認までに待機する時間)を入力します。数字の後に m(分)およびh(時)を追加します。最大アップデート間隔は 1 時間です。

アップデータサーバ証明書の有効性を検証するための 電子メールゲートウェイの設定

電子メールゲートウェイでは、 電子メールゲートウェイがアップデータサーバと通信するたびに、シスコのアップデータサーバの証明書の有効性を確認できます。このオプションが設定されている場合、検証に失敗すると、更新はダウンロードされず、詳細がアップデータ ログに記録されます。

このオプションを構成するには、updateconfig コマンドを使用します。次の例は、このオプションを構成する方法を示しています。


mail.example.com> updateconfig
Service (images):                                    Update URL:
------------------------------------------------------------------------------------------
Feature Key updates                                  http://downloads.ironport.com/asyncos
Timezone rules                                       Cisco IronPort Servers
Enrollment Client Updates                            Cisco IronPort Servers
Support Request updates                              Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades                      Cisco IronPort Servers
Service (list):                                      Update URL:
------------------------------------------------------------------------------------------
Timezone rules                                       Cisco IronPort Servers
Enrollment Client Updates                            Cisco IronPort Servers
Support Request updates                              Cisco IronPort Servers
Service (list):                                      Update URL:
------------------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades                      Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> validate_certificates
Should server certificates from Cisco update servers be validated?
[Yes]>
Service (images):                                    Update URL:
------------------------------------------------------------------------------------------
Feature Key updates                                  http://downloads.ironport.com/asyncos
Timezone rules                                       Cisco IronPort Servers
Enrollment Client Updates						     Cisco IronPort Servers
Support Request updates                              Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades                      Cisco IronPort Servers
Service (list):                                      Update URL:
------------------------------------------------------------------------------------------
Timezone rules                                       Cisco IronPort Servers
Enrollment Client Updates                            Cisco IronPort Servers
Support Request updates                              Cisco IronPort Servers
Service (list):                                      Update URL:
------------------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades                      Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]>

プロキシサーバとの通信を信頼するためのアプライアンスの設定

透過的でないプロキシサーバを使用している場合、プロキシ証明書の署名に使用する CA 証明書を電子メールゲートウェイに追加できます。これにより、電子メールゲートウェイはプロキシサーバ通信を信頼します。

このオプションを構成するには、updateconfig コマンドを使用します。次の例は、このオプションを構成する方法を示しています。


mail.example.com> updateconfig
...
...
...
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> trusted_certificates
Choose the operation you want to perform:
- ADD - Upload a new trusted certificate for updates.
[]> add
Paste certificates to be trusted for secure updater connections, blank to quit
Trusted Certificate for Updater:
Paste cert in PEM format (end with '.'):
-----BEGIN CERTIFICATE-----
MMIICiDCCAfGgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgDELMAkGA1UEBhMCSU4x
DDAKBgNVBAgTA0tBUjENM............................................
-----END CERTIFICATE-----
.
Choose the operation you want to perform:
- ADD - Upload a new trusted certificate for updates.
- LIST - List trusted certificates for updates.
- DELETE - Delete a trusted certificate for updates.
[]>

AsyncOS のアップグレード

手順

  コマンドまたはアクション 目的

ステップ 1

まだ実行していない場合は、すべてのアップデートとアップグレードのダウンロードに適用される設定を行い、これらのダウンロードをサポートして任意で配信できるようにネットワークをセットアップします。

アップグレードおよびアップデートを取得するための設定

ステップ 2

アップグレードが使用可能になる時期を確認し、インストールするかどうかを決定します。

使用可能なアップグレードの通知

ステップ 3

各アップグレードの実行前に、必須タスクと推奨タスクを実行します。

AsyncOS のアップグレードの準備

クラスタ内のマシンのアップグレード

ステップ 4

アップグレードを実行します。

アップグレードのダウンロードとインストール

アップグレード手順用のバッチ コマンドについて

アップグレード手順用のバッチ コマンドの詳細については、『CLI Reference Guide for AsyncOS for Cisco Email Security Appliances』(http://www.cisco.com/en/US/products/ps10154/prod_command_reference_list.html)を参照してください。

使用可能なアップグレードの通知

デフォルトでは、AsyncOS アップグレードが電子メールゲートウェイで使用可能な場合、管理者および技術者の権限を持つユーザには、Web インターフェイスの上部に通知が表示されます。

クラスタ マシンでは、現在ユーザがログインしているマシンだけにアクションが適用されます。

目的

操作手順

最新のアップグレードの詳細情報を表示する

アップグレード通知にカーソルを合わせます。

使用できるすべてのアップグレードのリストを表示する

通知の下向き矢印をクリックします。

現在の通知を閉じる

新しいアップグレードが入手可能になるまで、電子メールゲートウェイは別の通知を表示しません。

下向き矢印をクリックして [通知を消去(Clear the notification)] を選択してから、[閉じる(Close)] をクリックします。

今後の通知を中止する(管理者権限を持つユーザのみ)

[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [システムアップグレード(System Upgrade)] に移動します。

使用可能なアップグレードの通知

デフォルトでは、AsyncOS アップグレードが電子メールゲートウェイで使用可能な場合、管理者および技術者の権限を持つユーザには、Web インターフェイスの上部に通知が表示されます。

クラスタ マシンでは、現在ユーザがログインしているマシンだけにアクションが適用されます。

目的

操作手順

最新のアップグレードの詳細情報を表示する

アップグレード通知にカーソルを合わせます。

使用できるすべてのアップグレードのリストを表示する

通知の下向き矢印をクリックします。

現在の通知を閉じる

新しいアップグレードが入手可能になるまで、電子メールゲートウェイは別の通知を表示しません。

下向き矢印をクリックして [通知を消去(Clear the notification)] を選択してから、[閉じる(Close)] をクリックします。

今後の通知を中止する(管理者権限を持つユーザのみ)

[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [システムアップグレード(System Upgrade)] に移動します。

AsyncOS のアップグレードの準備

ベスト プラクティスとして、次の手順を実行したアップグレードの準備を推奨します。

始める前に

ワークキュー内のすべてのメッセージをクリアします。ワークキューをクリアせずにアップグレードを実行することはできません。

手順

ステップ 1

XML 設定ファイルのオフボックスを保存します。何らかの理由でアップグレード前のリリースに戻す場合は、このファイルが必要です。

ステップ 2

セーフリスト/ブロックリスト機能を使用している場合、リストのオフボックスをエクスポートします。

ステップ 3

すべてのリスナーを一時停止します。CLI からのアップグレードを実行する場合は、suspendlistener コマンドを使用します。GUI からのアップグレードを実行する場合は、リスナーの停止が自動的に実行されます。

ステップ 4

キューが空になるまで待ちます。CLI の workqueue コマンドでワークキュー内のメッセージ数を表示するか、rate コマンドで電子メールゲートウェイのメッセージスループットをモニタすることができます。

(注)  

 

アップグレード後、再びリスナーをイネーブルにします。

アップグレードのダウンロードとインストール

1 回の操作でダウンロードとインストールを行うか、またはバックグラウンドでダウンロードし後でインストールできます。


(注)  
AsyncOS を Cisco IronPort サーバからではなくローカル サーバから 1 回の操作でダウンロードとアップグレードする場合は、アップグレードはダウンロード中に即座に実行されます。アップグレード プロセスの開始時に、バナーが 10 秒間表示されます。このバナーが表示されている間は、Ctrl を押した状態で C を押すと、ダウンロードの開始前にアップグレード プロセスを終了できます。

はじめる前に

  • Cisco から直接アップグレードをダウンロードするか、またはネットワーク上のサーバからアップグレード イメージをホストするかを選択します。次に、選択した方式をサポートするようにネットワークをセットアップします。そして、選択した入手先からアップグレードを入手するために電子メールゲートウェイを設定します。アップグレードおよびアップデートを取得するための設定およびアップグレードおよびアップデートをダウンロードするためのサーバ設定を参照してください。
  • ここで、アップグレードをインストールする場合は、AsyncOS のアップグレードの準備の手順を実行します。
  • クラスタ化されたシステムのアップグレードをインストールする場合は、クラスタ内のマシンのアップグレードを参照してください。
  • アップグレードをダウンロードするだけの場合、インストールの準備が完了するまでの前提条件はありません。

  • アップグレード後は、FIPS モードでは TLS v1.0 を使用できなくなります。ただし、必要に応じて、電子メールゲートウェイで TLS v1.0 を再び有効にすることができます。

手順

ステップ 1

[システム管理(System Administration)] > [システム アップグレード(System Upgrade)] を選択します。

ステップ 2

[アップグレードオプション(Upgrade Options)] をクリックします。

ステップ 3

[アップグレード(Upgrade)] をクリックしてアップグレードプロセスに進みます。

ステップ 4

次のオプションを選択します。

目的

操作手順

1 回の操作でアップグレードのダウンロードとインストールを実行する

[ダウンロードしてインストール(Download and Install)] をクリックします。

すでにインストーラをダウンロードしている場合、既存のダウンロードを上書きするよう求められます。

アップグレード インストーラをダウンロードする

[ダウンロードのみ(Download only)] をクリックします。

すでにインストーラをダウンロードしている場合、既存のダウンロードを上書きするよう求められます。

インストーラはサービスを中断することなく、バックグラウンドでダウンロードします。

ダウンロードしたアップグレード インストーラをインストールする

[Install(インストール)] をクリックします。

このオプションは、インストーラがダウンロードされている場合にのみ表示されます。

インストールする AsyncOS のバージョンは、[インストール(Install)] オプションの下に表示されます。

ステップ 5

以前にダウンロードしたインストーラでインストールする場合を除き、利用可能なアップグレードのリストから AsyncOS のバージョンを選択します。

ステップ 6

インストール中の場合、次に従います。

  1. 現在の設定を電子メールゲートウェイ上の configuration ディレクトリに保存するかどうかを選択します。

  2. コンフィギュレーション ファイルでパスフレーズをマスクするかどうかを選択します。

    (注)  

     
    マスクされたパスフレーズが記載されたコンフィギュレーション ファイルは、GUI の [設定ファイル(Configuration File)] ページや CLI の loadconfig コマンドからロードできません。

  3. コンフィギュレーション ファイルのコピーを電子メールで送信する場合は、ファイルを送信する電子メール アドレスを入力します。複数の電子メール アドレスを指定する場合は、カンマで区切ります。

ステップ 7

[続行(Proceed)] をクリックします。

ステップ 8

インストール中の場合、次に従います。

  1. プロセス中のプロンプトに応答できるようにしてください。

    応答するまでプロセスは中断されます。

    ページの上部の近くに、経過表示バーが表示されます。

  2. プロンプトで、[今すぐ再起動(Reboot Now)] をクリックします。

  3. 約 10 分後、電子メールゲートウェイにアクセスしてログインします。

    アップグレードの問題を修正するために電子メールゲートウェイの電源を再投入する必要があると思われる場合は、再起動後 20 分以上が経過してから再投入してください。

次のタスク

  • プロセスが中断された場合、プロセスを再開する必要があります。

  • アップグレードをダウンロードしてインストールしなかった場合は次のとおりです。

    アップグレードをインストールする準備ができたら、「始める前に」の項の前提条件も含め次の手順を最初から実行しますが、[インストール(Install)] オプションを選択します。

  • アップグレードをインストールした場合、次のとおりです。
    • リスナーを再びイネーブル(再開)にします。
    • 新しいシステムの設定ファイルを保存します。詳細については、設定ファイルの管理を参照してください。
  • アップグレードが完了したら、再びリスナーをイネーブルにします。

バックグラウンド ダウンロードのキャンセルまたは削除ステータスの表示

手順

ステップ 1

[システム管理(System Administration)] > [システム アップグレード(System Upgrade)] を選択します。

ステップ 2

[アップグレードオプション(Upgrade Options)] をクリックします。

ステップ 3

次のオプションを選択します。

目的

操作手順

ダウンロード ステータスの表示

ページの中央を確認してください。

進行中のダウンロードおよびダウンロードが完了してインストールされるのを待っているものがない場合は、ダウンロードのステータス情報は表示されません。

ダウンロードのキャンセル

ページの中央にある、[ダウンロードをキャンセル(Cancel Download)] ボタンをクリックします。

このオプションは、ダウンロード進行中にのみ表示されます。

ダウンロードされたインストーラの削除

ページの中央にある、[ファイルを削除(Delete File)] ボタンをクリックします。

このオプションは、インストーラがダウンロードされている場合にのみ表示されます。

ステップ 4

(オプション)アップグレード ログを確認します。

リモート電源再投入の有効化

電子メールゲートウェイシャーシの電源をリモートでリセットする機能は、80 および 90 シリーズ ハードウェアでのみ使用できます。

電子メールゲートウェイの電源をリモートでリセットする場合は、このセクションで説明されている手順を使用して、この機能を事前に有効にし、設定しておく必要があります。

はじめる前に

  • 専用のリモート電源再投入(RPC)ポートをセキュア ネットワークに直接、ケーブル接続します。詳細については、ハードウェア インストレーション ガイドを参照してください。
  • ファイアウォールを通過するために必要なポートを開くなど、電子メールゲートウェイがリモートアクセス可能であることを確認します。
  • この機能を使用するには、専用のリモート電源再投入インターフェイスの一意の IPv4 アドレスが必要です。このインターフェイスは、このセクションで説明されている手順でのみ設定可能です。ipconfig コマンドを使用して設定することはできません。
  • 電子メールゲートウェイの電源を再投入するには、Intelligent Platform Management Interface(IPMI)バージョン 2.0 をサポートするデバイスを管理できるサードパーティ製ツールが必要です。このようなツールを使用できるように準備されていることを確認します。
  • コマンドライン インターフェイスへのアクセスに関する詳細については、CLI のリファレンス ガイドを参照してください。

手順

ステップ 1

SSH またはシリアル コンソール ポートを使用して、コマンドライン インターフェイスにアクセスします。

ステップ 2

管理者権限を持つアカウントを使用してログインします。

ステップ 3

以下のコマンドを入力します。

remotepower

setup

ステップ 4

プロンプトに従って、以下の情報を指定します。

  1. この機能専用の IP アドレスと、ネットマスクおよびゲートウェイ。

  2. 電源の再投入コマンドを実行するために必要なユーザ名とパスフレーズ。

    これらのクレデンシャルは、電子メールゲートウェイへのアクセスに使用する他のクレデンシャルに依存しません。

ステップ 5

commit を入力して変更を保存します。

ステップ 6

設定をテストして、電子メールゲートウェイの電源をリモートで管理できることを確認します。

ステップ 7

入力したクレデンシャルが、将来、いつでも使用できることを確認します。たとえば、この情報を安全な場所に保管し、このタスクを実行する必要がある管理者が、必要なクレデンシャルにアクセスできるようにします。

次のタスク

関連項目

AsyncOS の以前のバージョンへの復元

AsyncOS には、緊急時に AsyncOS オペレーティング システムを以前の認定済みのビルドに戻す機能があります。

復元の影響

電子メールゲートウェイにおける revert コマンドの使用は、非常に破壊的な操作になります。このコマンドはすべての設定ログおよびデータベースを破壊します。管理インターフェイスのネットワーク情報のみが保存されます。他のすべてのネットワーク設定は削除されます。さらに、復元は電子メールゲートウェイが再設定されるまでメール処理を中断します。このコマンドはネットワーク設定を破壊するため、revert コマンドを発行する場合は電子メールゲートウェイへの物理的なローカルアクセスが必要になります。


注意    

戻し先のバージョンのコンフィギュレーション ファイルが必要です。コンフィギュレーション ファイルに下位互換性はありません

仮想電子メールゲートウェイでの AsyncOS の復元がライセンスに影響を及ぼす可能性

AsyncOS 9.0 for Email から AsyncOS 8.5 for Email に復元した場合、ライセンスは変更されません。

AsyncOS 9.0 for Email から AsyncOS 8.0 for Email に復元した場合、電子メールゲートウェイがセキュリティ機能なしでメールを配信する 180 日間の猶予期間はなくなります。

どちらの場合も、ライセンス キーの有効期限は変更されません。

関連項目

AsyncOS の復元

手順

ステップ 1

戻し先のバージョンの設定ファイルがあることを確認してください。設定ファイルに下位互換性はありません。設定ファイルを取得するには、ファイルを電子メールでユーザ自身に送信するか、ファイルを FTP で取得します。詳細については、設定ファイルのメール送信を参照してください。

ステップ 2

電子メールゲートウェイの現在の設定のバックアップコピーを、(パスフレーズをマスクしない状態で)別のマシンに保存します。

(注)  

 
このコピーは、バージョンを戻した後にロードする設定ファイルではありません。

ステップ 3

セーフリスト/ブロックリスト機能を使用する場合は、セーフリスト/ブロックリスト データベースを別のマシンにエクスポートします。

ステップ 4

メール キューが空になるまで待ちます。

ステップ 5

バージョンを戻す電子メールゲートウェイの CLI にログインします。

revert コマンドの実行時には、いくつかの警告プロンプトが発行されます。これらの警告プロンプトに同意すると、すぐにバージョンを戻す動作が開始します。このため、復元に向けた準備手順が完了するまで、復元プロセスを開始しないてください。

ステップ 6

CLI から revert コマンドを発行します。

(注)  

 
復元プロセスは時間のかかる処理です。復元が完了して、電子メールゲートウェイへのコンソールアクセスが再び利用可能になるまでには、15 ~ 20 分かかります。

ステップ 7

電子メールゲートウェイが 2 回リブートするまで待ちます。

ステップ 8

マシンが 2 回再起動したら、シリアル コンソールで interfaceconfig コマンドを使用して、アクセス可能な IP アドレスをインターフェイスに設定します。

ステップ 9

設定したインターフェイスの 1 つで FTP または HTTP をイネーブルにします。

ステップ 10

作成した XML 設定ファイルを FTP で取得するか、または GUI インターフェイスに貼り付けます。

ステップ 11

戻し先のバージョンの XML 設定ファイルをロードします。

ステップ 12

セーフリスト/ブロックリスト機能を使用する場合は、セーフリスト/ブロックリスト データベースをインポートして復元します。

ステップ 13

変更を保存します。

復元が完了した電子メールゲートウェイは、選択された AsyncOS バージョンを使用して稼働します。

電子メールゲートウェイに生成されるメッセージの返信アドレスの設定

クラウド 電子メールゲートウェイの返信アドレスは変更しないことを推奨します。

AsyncOS によって、次のタイミングで生成されるメールのエンベロープ送信者を設定できます。

  • Anti-Virus 通知
  • バウンス
  • DMARC フィードバック
  • 通知(notify() および notify-copy() フィルタの動作)
  • 隔離通知(および隔離管理機能における「コピー送信」)
  • レポート
  • その他のすべてのメッセージ

返信アドレスの表示、ユーザー、およびドメイン名を指定できます。ドメイン名に仮想ゲートウェイ ドメインの使用を選択することもできます。

システムで生成された電子メール メッセージの返信アドレスを GUI または addressconfig コマンドを使用して CLI で変更できます。

手順

ステップ 1

[システム管理(System Administration)] > [返信先アドレス(Return Addresses)] ページの順に進みます。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

1 つまたは複数のアドレスへの変更

ステップ 4

変更を送信し、保存します。

システム状態パラメータのしきい値の設定

組織の要件に応じて、CPU 使用率や作業キューの最大メッセージ数など、電子メールゲートウェイのさまざまな状態パラメータのしきい値を設定できます。指定されたしきい値を超えた場合にアラートを送信するように、電子メールゲートウェイを設定することもできます。


(注)  
CLI を使用してシステムのヘルス パラメータのしきい値を設定するには、healthconfig コマンドを使用します。詳細については、CLI のインライン ヘルプ、または『CLI Reference Guide for AsyncOS for Cisco Email Security Appliances』を参照してください。

はじめる前に

しきい値を注意深く決定します。

手順

ステップ 1

[システム管理(System Administration)] > [システムの状態(System Health)] をクリックします。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

次のオプションを設定します。

  • CPU 使用率のしきい値レベルを指定します(パーセント)。

    現在の CPU 使用率が設定済みのしきい値を超えた場合に、アラートを受信するかどうかを指定します。最初のアラートが送信された後、最初のアラートがトリガーされてから 15 分以内に、CPU 使用率が移動平均を 5% 超えた場合、追加のアラートが送信されます。

    (注)  

     
    メール処理プロセスの CPU 使用率だけに基づいて、これらのアラートがトリガーされます。

  • メモリ ページ スワッピングのしきい値レベルを指定します(割合)。

    全体的なメモリ スワップ使用率が設定済みのしきい値を超えた場合に、アラートを受信するかどうかを指定します。最初のアラートが送信された後、メモリページスワッピングが最初のアラートをトリガーした値を 150% 超えた場合、または 15 分のアラート間隔の後、追加のアラートが送信されます。例えば、しきい値が 10 に設定されている場合、

    • メモリ スワップ使用率が 10.1% に達すると、最初のアラートが送信されます。
    • メモリ スワップ使用率が 15.1% に達すると、もう一度アラートが送信されます。

  • 作業キューの最大メッセージ数のしきい値レベルを指定します(メッセージ数)。

    また、作業キューのメッセージ数が設定済みのしきい値を超えた場合に、アラートを受信するかどうかを指定します。最初のアラートが送信された後、15 分以内に作業キューの最大メッセージ数が最初のアラートをトリガーした値を 150% 超えた場合、追加のアラートが送信されます。たとえば、しきい値が 1000 に設定されている場合、

    • 作業キューの最大メッセージ数が 1002 に達したときに、最初のアラートが送信されました。
    • 15 分以内に作業キューの最大メッセージ数が 1510 に達すると、アラートがもう 1 つ送信されます。

(注)  

 
この機能のアラートはすべて、システム アラート カテゴリに属します。

ステップ 4

変更を送信し、保存します。

次のタスク

この機能のアラートを設定した場合は、システム アラートに登録されていることを確認してください。この説明については、アラート受信者の追加 を参照してください。

電子メールゲートウェイの状況の確認

ヘルスチェック機能を使用して、電子メールゲートウェイの状態を確認できます。ヘルスチェックを実行すると、現在のステータスログの履歴データ(最大 3 カ月)が分析され、電子メールゲートウェイの状態が判断されます。


(注)  
システムでこの分析を実行するには、ステータス ログに 1 カ月以上のログ データが含まれている必要があります。

ヘルス チェックを実行するには、

  • Web インターフェイスで、[システム管理(System Administration)] > [システムの状態(System Health)] ページに移動して、[ヘルスチェックを実行(Run Health Check)] をクリックします。
  • CLI で、コマンド healthcheck を実行します。

分析結果により、過去数カ月にシステムで次の問題が 1 つ以上発生したかどうかが示されます。

  • リソース節約モード
  • メール処理の遅延
  • High CPU usage
  • 高いメモリ使用量
  • 高いメモリ ページ スワッピング

ヘルスチェックにおいて、電子メールゲートウェイで上記の問題が 1 つ以上発生していることが示された場合、システム設定を確認して最適化することを検討してください。詳細については、http://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118881-technote-esa-00.html を参照してください。

アラート

アラートメッセージは自動生成される標準電子メールメッセージであり、電子メールゲートウェイで発生するイベントに関する情報が含まれています。これらのイベントにはマイナーからメジャーまでの重要度(または重大度)レベルがあり、一般的に E メール ゲートウェイの特定のコンポーネントまたは機能に関連しています。アラートは、 E メール ゲートウェイで生成されます。送信するアラート メッセージの種類、重大度、および送信するユーザを非常に詳細なレベルで指定できます。アラートは、GUI の [システム管理(System Administration)] > [アラート(Alerts)] ページ(または CLI の alertconfig コマンド)で管理します。

アラートの重大度

アラートは、次の重大度に従って送信されます。

  • クリティカル:すぐに対処が必要です。
  • 警告:今後モニタリングが必要な問題またはエラー。すぐに対処が必要な可能性もあります。
  • 情報:デバイスのルーティン機能で生成される情報。

AutoSupport

十分なサポートと今後のシステム変更の設計を可能にするため、システムで生成されたすべてのアラートメッセージをシスコに送信するように 電子メールゲートウェイを設定できます。この機能は AutoSupport と呼ばれ、シスコによるお客様のニーズへのプロアクティブな対応に役立ちます。また、AutoSupport はシステムの稼働時間、status コマンドの出力、および使用されている AsyncOS バージョンを通知するレポートを毎週送信します。

デフォルトでは、アラート タイプが System で重大度レベルが Information のアラートを受信するように設定されているアラート受信者は、シスコに送信される各メッセージのコピーを受信します。内部にアラート メッセージを毎週送信しない場合は、この設定をディセーブルにできます。この機能をイネーブルまたはディセーブルにするには、アラート設定値の設定を参照してください。

アラートの配信

電子メールゲートウェイから [アラート受信者(Alert Recipient)] で指定されたアドレスに送信されるアラートは、該当の送信先に対して定義された SMTP ルートに従います

アラートメッセージは電子メールゲートウェイ内の問題の通知に使用されるため、送信に AsyncOS の標準メール配信システムを使用しません。代わりに、アラート メッセージは AsyncOS で重大なシステム故障が発生しても動作するように設計された、個別に並行動作する電子メール システムで処理されます。

アラート メール システムは、AsyncOS と同一の設定を共有しません。このため、アラート メッセージは、次のように他のメール配信とは若干異なる動作をする可能性があります。

  • アラート メッセージは、標準の DNS MX レコードおよび A レコードのルックアップを使用して配信されます。

    • アラート メッセージは DNS エントリを 30 分間キャッシュし、そのキャッシュは 30 分ごとにリフレッシュされます。このため、DNS 障害時にもアラートが出力されます。

  • アラート メッセージはワーク キューを通過しないため、ウイルスまたはスパムのスキャン対象外です。メッセージ フィルタまたはコンテンツ フィルタの処理対象にも含まれません。

  • アラート メッセージは配信キューを通過しないため、バウンスのプロファイルまたは送信先制御の制限には影響を受けません。


(注)  
(オプション - TLS サポートが alertconfig CLI コマンドを使用して有効化され、FQDN 検証が [SSL 構成(SSL Configuration)] の設定ページで有効な場合のみ):サーバー証明書にある [共通名(Common Name)]、[SAN:DNS名(SAN: DNS Name)] フィールド、またはその両方が FQDN 形式かどうかを確認します

(注)  
(オプション - TLS サポートが alertconfig CLI コマンドを使用して有効化され、X 509 検証が [SSL 構成(SSL Configuration)] の設定ページで有効な場合のみ):サーバ証明書の署名アルゴリズムを確認します。

(注)  
(オプション - TLS サポートが alertconfig CLI コマンドを使用して有効化され、 [SSL構成時の設定(SSL Configuration Settings)] ページで X 509 検証が有効になっている場合のみ):サーバー証明書にある [共通名(Common Name)] または [SAN: DNS名(SAN: DNS Name)] フィールドにサーバー名が存在するかどうかを確認します。

(注)  
(オプション - TLS サポートが alertconfig CLI コマンドを使用して有効化され、 [SSL構成時の設定(SSL Configuration Settings)] ページで X 509 検証が有効になっている場合のみ):サーバー証明書のバージョンを確認します。

アラート メッセージの例

Date: 23 Mar 2005 21:10:19 +0000


To: joe@example.com

From: IronPort C60 Alert [alert@example.com]

Subject: Critical-example.com: (Anti-Virus) update via http://newproxy.example.com
failed

The Critical message is:

update via http://newproxy.example.com failed

Version: 4.5.0-419

Serial Number: XXXXXXXXXXXX-XXXXXXX

Timestamp: Tue May 10 09:39:24 2005

For more information about this error, please see
http://support.ironport.com

If you desire further information, please contact your support provider.

アラート受信者の追加

アラート エンジンでは、送信するアラートの種類とアラート受信者を詳細に制御できます。たとえば、アラート受信者が System(アラートの種類)に関する Critical(重大度)の情報が送信されたときのみ通知を受信するように設定することで、アラート受信者に特定のアラートのみを送信するように設定できます。


(注)  
システムのセットアップ時に AutoSupport をイネーブルにした場合、指定した電子メール アドレスにすべての重大度およびクラスのアラートを受信します(デフォルト)。この設定はいつでも変更できます。

手順

ステップ 1

[システム管理(System Administration)] > [アラート(Alerts)] を選択します。

ステップ 2

[受信者を追加(Add Recipient)] をクリックします。

ステップ 3

受信者の電子メール アドレスを入力します。複数のアドレスをカンマで区切って入力することもできます。

ステップ 4

(オプション)シスコ サポートからソフトウェア リリースおよび重大なサポート通知のアラートを受信するには、[リリースおよびサポート通知(Release and Support Notifications)] をオンにします。

ステップ 5

この受信者が受信するアラートのタイプと重大度を選択します。

ステップ 6

変更を送信し、保存します。

アラート設定値の設定

次の設定は、すべてのアラートに適用されます。


(注)  
後から確認するために 電子メールゲートウェイに保存するアラートの数を定義するには alertconfig CLI コマンドを使用します。

手順

ステップ 1

[アラート(Alerts)] ページで [設定を編集(Edit Settings)] をクリックします。

ステップ 2

アラートの送信に使用する Header From: アドレスを入力するか、[自動生成(Automatically Generated)](「alert@<hostname>」を自動生成)を選択します。

ステップ 3

重複したアラートを送信するまでに待機する秒数を指定する場合は、チェックボックスをオンにします。詳細については、重複したアラートの送信を参照してください。

  • 重複したアラートを送信するまでに待機する秒数の初期値を指定します。

  • 重複したアラートを送信するまでに待機する秒数の最大値を指定します。

ステップ 4

[IronPort AutoSupport] オプションをオンにすることで、AutoSupport をイネーブルにできます。AutoSupport の詳細については、AutoSupportを参照してください。

  • AutoSupport がイネーブルの場合、Information レベルの System アラートを受信するように設定されたアラート受信者に、毎週 AutoSupport レポートが送信されます。チェックボックスを外すことでディセーブルにできます。

ステップ 5

変更を送信し、保存します。

アラート設定

アラート設定では、アラートの全般的な動作と設定を制御します。設定には次のような項目があります。

  • RFC 2822 Header From:アラートを送信するタイミング(アドレスを入力するか、デフォルトの「alert@<hostname>」を使用します)。また、alertconfig -> from コマンドを使用して、この値を CLI で設定することもできます。
  • 重複したアラートを送信するまでに待機する秒数の初期値。
  • 重複したアラートを送信するまでに待機する秒数の最大値。
  • AutoSupport のステータス(イネーブルまたはディセーブル)。
  • Information レベルの System アラートを受信するように設定されたアラート受信者への、AutoSupport の毎週のステータス レポートの送信。
重複したアラートの送信

AsyncOS が重複したアラートを送信するまでに待機する秒数の初期値を指定できます。この値を 0 に設定した場合、重複したアラートのサマリーは送信されず、代わりにすべての重複したアラートがリアルタイムに送信されます(短時間に大量の電子メールを受信する可能性があります)。重複したアラートを送信するまでに待機する秒数は、アラートを送信するたびに増加します。増加する秒数は、前回の待機間隔の 2 倍の値を足した秒数です。つまり、この値を 5 秒に設定すると、アラートは 5 秒後、15 秒後、35 秒後、75 秒後、155 秒後、315 秒後といった間隔で送信されます。

最終的に、送信間隔は非常に大きな秒数になります。[重複するアラート メッセージを送信する前に待機する最大の秒数(Maximum Number of Seconds to Wait Before Sending a Duplicate Alert)] フィールドを使用して、待機間隔の秒数に制限を設けることができます。たとえば、初期値を 5 秒に設定し、最大値を 60 秒に設定すると、アラートは 5 秒後、15 秒後、35 秒後、60 秒後、120 秒後といった間隔で送信されます。

最新アラートの表示

電子メールゲートウェイは最新のアラートを保存するので、アラートメッセージを消失または削除した場合に GUI および CLI の両方で表示できます。これらのアラートは、電子メールゲートウェイからダウンロードできません。

最新のアラートのリストを表示するには、[アラート(Alerts)] ページにある [トップ アラートを表示(View Top Alerts)] ボタンをクリックするか、CLI で displayalerts コマンドを使用します。GUI でアラートを、日付、レベル、クラス、テキスト、受信者によって調整します。

デフォルトでは、電子メールゲートウェイ [トップアラート(Top Alerts)] ウィンドウに表示するために最大 50 個のアラートを保存します電子メールゲートウェイが保存するアラートの数を編集するには、CLI で alertconfig -> setup コマンドを使用します。この機能を無効にするにはアラートの数を 0 に変更します。

アラートの説明

次の表に、分類したアラートのリストを示します。表には、アラート名(Cisco で使用される内部記述子)、アラートの実際のテキスト、説明、重大度(critical、information、または warning)およびメッセージのテキストに含まれるパラメータ(存在する場合)が含まれています。アラートの実際のテキストでは、パラメータ値は置き換えられます。たとえば、次のアラート メッセージではメッセージのテキストに「$ip」が記述されています。アラート生成時に「$ip」は実際の IP アドレスに置き換えられます。

アンチスパム アラート

次の表は、AsyncOS で生成されるさまざまなアンチスパム アラートのリストです。アラートの説明と重大度が記載されています。

表 1. 発生する可能性があるアンチスパム アラートのリスト

アラート名

メッセージと説明

パラメータ

AS.SERVER.ALERT

$engine anti-spam - $message $tb

engine」:アンチスパム エンジンのタイプ。

message」:ログ メッセージ。

tb」:イベントのトレースバック。

クリティカル。アンチスパム エンジンに障害が発生した場合に送信されます。

AS.TOOL.INFO_ALERT

Update - $engine - $message

engine」:アンチスパム エンジンの名前

message」:メッセージ。

情報。アンチスパム エンジンに問題が発生した場合に送信されます。

AS.TOOL.ALERT

Update - $engine - $message

engine」:アンチスパム エンジンの名前

message」:メッセージ。

クリティカル。アンチスパム エンジンの管理に使用されるツールの 1 つに問題があり、アップデートが中止される場合に送信されます。

アンチウイルス アラート

次の表は、AsyncOS で生成されるさまざまなアンチウイルス アラートのリストです。アラートの説明と重大度が記載されています。

表 2. 発生する可能性があるアンチウイルス アラートのリスト

アラート名

メッセージと説明

パラメータ

AV.SERVER.ALERT /AV.SERVER.CRITICAL

$engine antivirus - $message $tb

engine」:アンチウイルス エンジンのタイプ。

message」:ログ メッセージ。

tb」:イベントのトレースバック。

クリティカル。アンチウイルス スキャン エンジンに重大な問題が発生した場合に送信されます。

AV.SERVER.ALERT.INFO

$engine antivirus - $message $tb

engine」:アンチウイルス エンジンのタイプ。

message」:ログ メッセージ。

tb」:イベントのトレースバック。

情報。アンチウイルス スキャン エンジンに情報イベントが発生した場合に送信されます。

AV.SERVER.ALERT.WARN

$engine antivirus - $message $tb

engine」:アンチウイルス エンジンのタイプ。

message」:ログ メッセージ。

tb」:イベントのトレースバック。

警告。アンチウイルス スキャン エンジンに問題が発生した場合に送信されます。

MAIL.ANTIVIRUS.ERROR_MESSAGE

MID $mid antivirus $what error $tag

mid」:MID

what」:発生したエラー。

tag」:ウイルス アウトブレイク名(設定されている場合)。

クリティカル。メッセージのスキャン中に、アンチウイルス スキャンがエラーを生成した場合に送信されます。

MAIL.SCANNER.

PROTOCOL_MAX_RETRY

MID $mid is malformed and cannot be scanned by $engine.

mid」:MID

engine」:使用されているエンジン。

クリティカル。メッセージが不正なため、スキャン エンジンはメッセージのスキャンに失敗しました。再試行の最大回数を超過したため、メッセージはエンジンにスキャンされずに処理されます。

ディレクトリ獲得攻撃(DHAP)アラート

以下の表は、AsyncOS で生成されるさまざまな DHAP アラートのリストです。アラートの説明と重大度が記載されています。

表 3. 発生する可能性があるディレクトリ獲得攻撃アラートのリスト

アラート名

メッセージと説明

パラメータ

LDAP.DHAP_ALERT

LDAP: Potential Directory Harvest Attack detected. See the system mail logs for more information about this attack.

警告。ディレクトリ獲得攻撃の可能性を検出した場合に送信されます。

ハードウェア アラート

以下の表は、AsyncOS で生成されるさまざまなハードウェア アラートのリストです。アラートの説明と重大度が記載されています。

表 4. 発生する可能性があるハードウェア アラートのリスト

アラート名

メッセージと説明

パラメータ

INTERFACE.ERRORS

Port $port: has detected $in_err input errors, $out_err output errors, $col collisions please check your media settings.

port」:インターフェイス名。

in_err」:最後のメッセージ以降の入力エラー数。

out_err」:最後のメッセージ以降の出力エラー数。

col」:最後のメッセージ以降のパケット衝突数。

警告。インターフェイス エラーを検出した場合に送信されます。

MAIL.MEASUREMENTS_FILESYSTEM

The $file_system partition is at $capacity% capacity

file_system」:ファイルシステムの名前

capacity」:ファイル システムの使用率(%)。

警告。ディスク パーティションが 75 % の使用率に近づいた場合に送信されます。

MAIL.MEASUREMENTS_FILESYSTEM。CRITICAL

The $file_system partition is at $capacity% capacity

file_system」:ファイルシステムの名前

capacity」:ファイル システムの使用率(%)。

クリティカル。ディスク パーティションが 90 % の使用率に達した場合(95 %、96 %、97 % など)に送信されます。

SYSTEM.RAID_EVENT_ALERT

A RAID-event has occurred: $error

error」:RAID エラーのテキスト。

警告。重大な RAID-event が発生した場合に送信されます。

SYSTEM.RAID_EVENT_ALERT_INFO

A RAID-event has occurred: $error

error」:RAID エラーのテキスト。

情報。RAID-event が発生した場合に送信されます。

スパム隔離アラート

以下の表は、AsyncOS で生成されるさまざまなスパム隔離アラートのリストです。アラートの説明と重大度が記載されています。

表 5. 発生する可能性があるスパム隔離アラートのリスト

アラート名

メッセージと説明

パラメータ

ISQ.CANNOT_CONNECT_OFF_BOX

ISQ: Could not connect to off-box quarantine at $host:$port

host」:オフボックス隔離のアドレス。

port」:オフボックス隔離に接続するポート。

情報。AsyncOS が(オフボックス)IP アドレスに接続できない場合に送信されます。

ISQ.CRITICAL

ISQ: $msg

msg」:表示されるメッセージ

クリティカル。スパム隔離に重大なエラーが発生した場合に送信されます。

ISQ.DB_APPROACHING_FULL

ISQ: Database over $threshold% full

threshold」:アラートを開始する使用率のしきい値

警告。スパム隔離データベースがフルに近い場合に送信されます。

ISQ.DB_FULL

ISQ: database is full

クリティカル。スパム隔離データベースがフルになった場合に送信されます。

ISQ.MSG_DEL_FAILED

ISQ: Failed to delete MID $mid for $rcpt: $reason

mid」:MID

rcpt」:受信者または「all」

reason」:メッセージが削除されない理由

警告。スパム隔離からの電子メールの削除に失敗した場合に送信されます。

ISQ.MSG_NOTIFICATION_FAILED

ISQ: Failed to send notification message: $reason

reason」:通知が送信されない理由

警告。通知メッセージの送信に失敗した場合に送信されます。

ISQ.MSG_QUAR_FAILED

警告。メッセージの隔離に失敗した場合に送信されます。

ISQ.MSG_RLS_FAILED

ISQ: Failed to release MID $mid to $rcpt: $reason

mid」:MID

rcpt」:受信者または「all」

reason」:メッセージが解放されない理由

警告。メッセージの開放に失敗した場合に送信されます。

ISQ.MSG_RLS_FAILED_UNK_RCPTS

ISQ: Failed to release MID $mid: $reason

mid」:MID

reason」:メッセージが解放されない理由

警告。受信者が不明のため、メッセージの開放に失敗した場合に送信されます。

ISQ.NO_EU_PROPS

ISQ: Could not retrieve $user’s properties. Setting defaults

user」:エンドユーザ名

情報。AsyncOS がユーザの情報を取得できない場合に送信されます。

ISQ.NO_OFF_BOX_HOST_SET

ISQ: Setting up off-box ISQ without setting host

情報。AsyncOS が外部隔離を参照するように設定されているものの、外部隔離が定義されていない場合に送信されます。

セーフリスト/ブロックリスト アラート

次の表は、AsyncOS で生成されるさまざまなセーフリスト/ブロックリスト アラートのリストです。アラートの説明と重大度が記載されています。

表 6. 発生する可能性があるセーフリスト/ブロックリスト アラートのリスト

アラート名

メッセージと説明

パラメータ

SLBL.DB.RECOVERY_FAILED

SLBL: Failed to recover End-User Safelist/Blocklist database: ’$error’.

error」:エラーの原因

クリティカル。セーフリスト/ブロックリスト データベースの復旧に失敗しました。

SLBL.DB.SPACE_LIMIT

SLBL: End-User Safelist/Blocklist database exceeded allowed disk space: $current of $limit.

current」:データベース使用量(MB)

limit」:設定された制限使用量(MB)

クリティカル。セーフリスト/ブロックリスト データベースが許容されたディスク領域を超過しました。

システム アラート

次の表は、AsyncOS で生成されるさまざまなシステム アラートのリストです。アラートの説明と重大度が記載されています。

表 7. 発生する可能性があるシステム アラートのリスト

コンポーネント/アラート名

メッセージと説明

パラメータ

アップデータ アラート

次の表に、AsyncOS で生成される可能性があるさまざまなアップデータ アラートのリストを示します。

表 8. 発生する可能性があるアップデータ アラートのリスト

アラート名

メッセージと説明

パラメータ

UPDATER.APP.UPDATE_ ABANDONED

$app abandoning updates until a new version is published. The $app application tried and failed $attempts times to successfully complete an update. This may be due to a network configuration issue or temporary outage

app」:アプリケーション名。

attempts」:試行した回数。

警告。アプリケーションはアップデートを中止しています。

UPDATER.UPDATERD. MANIFEST_FAILED_ALERT

The updater has been unable to communicate with the update server for at least $threshold.

threshold」:人間が読み取れるしきい値の文字列。

警告。サーバのマニフェストの取得に失敗しました。

UPDATER.UPDATERD. RELEASE_NOTIFICATION

$mail_text

mail_text」:通知するテキスト。

notification_subject」:通知するテキスト。

警告。リリースの通知です。

UPDATER.UPDATERD. UPDATE_FAILED

Unknown error occured: $traceback

traceback」:トレースバック。

クリティカル。アップデートの実行に失敗しました。

アウトブレイク フィルタ アラート

次の表は、AsyncOS で生成されるさまざまなアウトブレイク フィルタ アラートのリストです。アラートの説明と重大度が記載されています。アウトブレイク フィルタは、隔離(具体的にはアウトブレイク隔離)で使用されるシステム アラートでも参照される場合があることに注意してください。

表 9. 発生する可能性があるアウトブレイク フィルタ アラートのリスト

アラート名

メッセージと説明

パラメータ

VOF.GTL_THRESHOLD_ALERT

Outbreak Filters Rule Update Alert:$text All rules last updated at: $time on $date.

text」:アップデート アラートのテキスト。

time」:最終アップデートの時刻。

date」:最終アップデートの日付。

情報。アウトブレイク フィルタのしきい値が変更された場合に送信されます。

AS.UPDATE_FAILURE

$engine update unsuccessful. This may be due to transient network or DNS issues, HTTP proxy configuration causing update transmission errors or unavailability of downloads.ironport.com. The specific error on the email gateway for this failure is: $error

engine」:アップデートに失敗したエンジン。

error」:発生したエラー。

警告。アンチスパム エンジンまたは CASE ルールのアップデートに失敗した場合に送信されます。

クラスタリング アラート

次の表は、AsyncOS で生成されるさまざまなクラスタリング アラートのリストです。アラートの説明と重大度が記載されています。

表 10. 発生する可能性があるクラスタリング アラートのリスト

アラート名

メッセージと説明

パラメータ

CLUSTER.CC_ERROR. AUTH_ERROR

Error connecting to cluster machine $name at IP $ip - $error - $why$error:=Machine does not appear to be in the cluster

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

ip」:リモート ホストの IP。

why」:エラーに関する詳細なテキスト。

クリティカル。認証エラーが発生した場合に送信されます。マシンがクラスタのメンバでない場合に起きる可能性があります。

CLUSTER.CC_ERROR.DROPPED

Error connecting to cluster machine $name at IP $ip - $error - $why$error:=Existing connection dropped

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

ip」:リモート ホストの IP。

why」:エラーに関する詳細なテキスト。

警告。クラスタへの接続がドロップされた場合に送信されます。

CLUSTER.CC_ERROR.FAILED

Error connecting to cluster machine $name at IP $ip - $error - $why$error:=Connection failure

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

ip」:リモート ホストの IP。

why」:エラーに関する詳細なテキスト。

警告。クラスタへの接続に失敗した場合に送信されます。

CLUSTER.CC_ERROR. FORWARD_FAILED

Error connecting to cluster machine $name at IP $ip - $error - $why$error:=Message forward failed, no upstream connection

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

ip」:リモート ホストの IP。

why」:エラーに関する詳細なテキスト。

クリティカル。電子メールゲートウェイがクラスタのマシンにデータを転送できなかった場合に送信されます。

CLUSTER.CC_ERROR.NOROUTE

Error connecting to cluster machine $name at IP $ip - $error - $why$error:=No route found

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

ip」:リモート ホストの IP。

why」:エラーに関する詳細なテキスト。

クリティカル。マシンがクラスタの別のマシンへのルートを取得できなかった場合に送信されます。

CLUSTER.CC_ERROR.SSH_KEY

Error connecting to cluster machine $name at IP $ip - $error - $why$error:=Invalid host key

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

ip」:リモート ホストの IP。

why」:エラーに関する詳細なテキスト。

クリティカル。無効な SSH ホスト キーがあった場合に送信されます。

CLUSTER.CC_ERROR.TIMEOUT

Error connecting to cluster machine $name at IP $ip - $error - $why$error:=Operation timed out

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

ip」:リモート ホストの IP。

why」:エラーに関する詳細なテキスト。

警告。指定された操作がタイムアウトした場合に送信されます。

CLUSTER.CC_ERROR_NOIP

Error connecting to cluster machine $name - $error - $why

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

クリティカル。電子メールゲートウェイがクラスタの別のマシンの有効な IP アドレスを取得できなかった場合に送信されます。

CLUSTER.CC_ERROR_NOIP. AUTH_ERROR

Error connecting to cluster machine $name - $error - $why$error:=Machine does not appear to be in the cluster

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

クリティカル。クラスタのマシンに接続する際に認証エラーが発生した場合に送信されます。マシンがクラスタのメンバでない場合に起きる可能性があります。

CLUSTER.CC_ERROR_NOIP. DROPPED

Error connecting to cluster machine $name - $error - $why$error:=Existing connection dropped

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

警告。マシンがクラスタの別のマシンの有効な IP アドレスを取得できず、クラスタへの接続がドロップした場合に送信されます。

CLUSTER.CC_ERROR_NOIP. FAILED

Error connecting to cluster machine $name - $error - $why$error:=Connection failure

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

警告。不明な接続エラーが発生し、マシンがクラスタの別のマシンの有効な IP アドレスを取得できなかった場合に送信されます。

CLUSTER.CC_ERROR_NOIP. FORWARD_FAILED

Error connecting to cluster machine $name - $error - $why$error:=Message forward failed, no upstream connection

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

クリティカル。マシンがクラスタの別のマシンの有効な IP アドレスを取得できず、電子メールゲートウェイがマシンにデータを転送できなかった場合に送信されます。

CLUSTER.CC_ERROR_NOIP. NOROUTE

Error connecting to cluster machine $name - $error - $why$error:=No route found

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

クリティカル。マシンがクラスタの別のマシンの有効な IP アドレスを取得できず、別のマシンへのルートを取得できなかった場合に送信されます。

CLUSTER.CC_ERROR_NOIP. SSH_KEY

Error connecting to cluster machine $name - $error - $why$error:=Invalid host key

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

クリティカル。マシンがクラスタの別のマシンの有効な IP アドレスを取得できず、有効な SSH ホスト キーを取得できなかった場合に送信されます。

CLUSTER.CC_ERROR_NOIP. TIMEOUT

Error connecting to cluster machine $name - $error - $why$error:=Operation timed out

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

why」:エラーに関する詳細なテキスト。

警告。マシンがクラスタの別のマシンの有効な IP アドレスを取得できず、指定された操作がタイムアウトした場合に送信されます。

CLUSTER.SYNC.PUSH_ALERT

Overwriting $sections on machine $name

name」:マシンのホスト名およびシリアル番号(またはいずれか)。

sections」:送信中のクラスタ セクションのリスト。

クリティカル。設定データが同期から外れ、リモート ホストに送信された場合に送信されます。

ネットワーク設定値の変更

このセクションでは、 電子メールゲートウェイのネットワーク操作の設定に使用する機能について説明します。これらの機能では、システム セットアップ ウィザードの使用でシステム セットアップ ウィザード(または systemsetup コマンド)を利用して設定したホスト名、DNS、およびルーティングの設定値に直接アクセスできます。

ここでは、次の機能について説明します。

  • sethostname
  • DNS 設定(GUI および dnsconfig コマンドを利用)
  • ルーティング設定(GUI、routeconfig コマンドおよび setgateway コマンドを利用)
  • dnsflush
  • パスフレーズ(Passphrase)
  • ネットワーク アクセス
  • ログイン バナー

システム ホスト名の変更

システムの識別には、ホスト名が使用されます。完全修飾ホスト名を入力する必要があります。ホスト名を変更するには:

  • Web インターフェイスで、[ネットワーク(Network)] > [IPインターフェイス(IP Interfaces)] をクリックし、[管理(Management)] をクリックして [ホスト名(Hostname)] でホスト名を変更します。
  • CLI で sethostname コマンドを使用します。

(注)  
変更を確定するまで、新しいホスト名は有効になりません。

ドメイン ネーム システム(DNS)設定値の構成

GUI の [ネットワーク(Network)] メニューの [DNS] ページまたは dnsconfig コマンドで、 電子メールゲートウェイの DNS 設定値を設定できます。

次の設定値を設定できます。

  • インターネットの DNS サーバまたはユーザ独自の DNS サーバを利用するか、および使用する具体的なサーバ
  • DNS トラフィックに使用するインターフェイス
  • 逆引き DNS ルックアップがタイムアウトするまで待機する秒数
  • DNS キャッシュのクリア

DNS サーバの指定

AsyncOS では、インターネットのルート DNS サーバ、ユーザ独自の DNS サーバ、またはインターネットのルート DNS サーバおよび指定した権威 DNS サーバを使用できます。インターネットのルート サーバを使用するときは、特定のドメインに使用する代替サーバを指定することもできます。代替 DNS サーバは単一のドメインに適用されるため、当該ドメインに対する権威サーバ(最終的な DNS レコードを提供)である必要があります。

AsyncOS では、インターネットの DNS サーバを使用しない場合に「スプリット」DNS サーバをサポートしています。ユーザ独自の内部サーバを使用している場合は、例外のドメインおよび関連する DNS サーバを指定することもできます。

「スプリット DNS」を設定する場合は、in-addr.arpa(PTR)エントリも同様に設定する必要があります。このため、たとえば「.eng」クエリーをネームサーバ 1.2.3.4 にリダイレクトする際に、すべての .eng エントリが 172.16 ネットワークにある場合、スプリット DNS 設定に「eng,16.172.in-addr.arpa」を指定する必要があります。

複数エントリとプライオリティ

入力する各 DNS サーバに、数値でプライオリティを指定できます。AsyncOS では、プライオリティが 0 に最も近い DNS サーバの使用を試みます。DNS サーバが応答しない場合、AsyncOS は次のプライオリティを持つサーバの使用を試みます。同じプライオリティを持つ DNS サーバに複数のエントリを指定する場合、システムはクエリーを実行するたびに同じプライオリティを持つ DNS サーバをリストからランダムに選びます。システムは最初のクエリの有効期限が切れるか「タイムアウト」するまで短時間待機し、その後次のクエリに対しては前回よりも少し長い時間待機します。その後も同様です。待機時間は、DNS サーバの正確な合計数と設定されているプライオリティに依存します。タイムアウトの長さはプライオリティに関係なく、すべての IP アドレスで同じです。最初のプライオリティには最も短いタイムアウトが設定されており、次のプライオリティにはより長いタイムアウトが設定されています。最終的なタイムアウト時間は約 60 秒です。1 つのプライオリティを設定している場合、該当のプライオリティに対する各サーバのタイムアウトは 60 秒になります。2 つのプライオリティを設定している場合、最初のプライオリティに対する各サーバのタイムアウトは 15 秒になり、次のプライオリティに対する各サーバのタイムアウトは 45 秒になります。プライオリティが 3 つの場合、タイムアウトは 5 秒、10 秒、45 秒になります。

たとえば、4 つの DNS サーバを設定し、2 つにプライオリティ 0 を、1 つにプライオリティ 1 を、もう 1 つにプライオリティ 2 を設定したとします。

表 11. DNS サーバ、プライオリティ、およびタイムアウト間隔の例

プライオリティ

サーバ

タイムアウト(秒)

0

1.2.3.4、1.2.3.5

5、5

1

1.2.3.6

10

2

1.2.3.7

45

AsyncOS は、プライオリティ 0 に設定された 2 つのサーバをランダムに選択します。プライオリティ 0 のサーバが 1 つダウンしている場合、もう 1 つのサーバが使用されます。プライオリティ 0 のサーバが両方ダウンしている場合、プライオリティ 1 のサーバ(1.2.3.6)が使用され、最終的にプライオリティ 2(1.2.3.7)のサーバが使用されます。

タイムアウト時間はプライオリティ 0 のサーバは両方とも同じであり、プライオリティ 1 のサーバにはより長い時間が設定され、プライオリティ 2 のサーバにはさらに長い時間が設定されます。

インターネット ルート サーバの使用

AsyncOS DNS リゾルバは、高性能な電子メール配信に必要な大量の同時 DNS 接続を収容できるように設計されています。


(注)  
デフォルト DNS サーバにインターネット ルート サーバ以外を設定することを選択した場合、設定されたサーバは権威サーバとなっていないドメインのクエリを再帰的に解決できる必要があります。

逆引き DNS ルックアップのタイムアウト

電子メールゲートウェイは電子メールの送受信の際、リスナーに接続しているすべてのリモートホストに対して「二重 DNS ルックアップ」の実行を試みます。(二重 DNS ルックアップを実行することで、システムはリモート ホストの IP アドレスの正当性を確保および検証します。これは、接続元ホストの IP アドレスに対する逆引き DNS(PTR)ルックアップと、それに続く PTR ルックアップ結果に対する正引き DNS(A)ルックアップからなります。その後、システムは A ルックアップの結果が PTR ルックアップの結果と一致するかどうかをチェックします。結果が一致しないか、A レコードが存在しない場合ログ ファイルには、一致する受信者がドロ、システムはホスト アクセス テーブル(HAT)内のエントリと一致する IP アドレスのみを使用します)。この特別なタイムアウト時間はこのルックアップにのみ適用され、複数エントリとプライオリティで説明されている一般的な DNS タイムアウトには適用されません。

各 DNS サーバのデフォルト値は 20 秒です。DNS サーバに複数のエントリが存在する場合、合計タイムアウト値は(DNS サーバの数 x 逆引き DNS ルックアップのタイムアウトの値)秒です。たとえば、DNS サーバの数が 8 で、逆引き DNS ルックアップのタイムアウトの値が 20 秒の場合、合計タイムアウト値は(8 x 20)= 160 秒です。

秒数に「0」を入力することで、すべてのリスナーに対してグローバルに逆引き DNS ルックアップのタイムアウトを無効にできます。値を 0 秒に設定した場合、逆引き DNS ルックアップは試行されず、代わりに標準のタイムアウト応答がすぐに返されます。また、受信ホストの証明書にホストの IP ルックアップにマッピングされた一般名(CN)がある場合、TLS 認証接続を求めるドメインに電子メールゲートウェイがメールを送信するのを防止します。

DNS アラート

電子メールゲートウェイの再起動時に、まれにメッセージ「DNS キャッシュのブートストラップに失敗しました(Failed to bootstrap the DNS cache)」が付与されたアラートが生成される場合があります。メッセージは、システムによるプライマリ DNS サーバへの問い合わせができなかったことを示しています。この事象は、ネットワーク接続が確立される前に DNS サブシステムがオンラインになった場合、ブートのタイミングで発生します。このメッセージが別のタイミングで表示された場合、ネットワーク問題が発生しているか、または DNS 設定で有効なサーバが指定されていないことを示しています。

DNS キャッシュのクリア

GUI の [キャッシュを消去(Clear Cache)] ボタン、または dnsflush コマンドを使用して、DNS キャッシュのすべての情報をクリアします(dnsflush コマンドの詳細については、『CLI Reference Guide for AsyncOS for Cisco Secure Email Gateway』を参照してください)。ローカル DNS システムが変更された際に、この機能を使用できます。コマンドはすぐに実行され、キャッシュの再投入中に一時的に性能が低下する可能性があります。

グラフィカル ユーザー インターフェイスを使用した DNS 設定値の設定

手順

ステップ 1

[ネットワーク(Network)] > [DNS] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

インターネットのルート DNS サーバまたはユーザ独自の DNS サーバを使用するか、またはインターネットのルート DNS サーバを使用して代替 DNS サーバを指定するかを選択します。

ステップ 4

ユーザ独自の DNS サーバを使用する場合は、サーバ ID を入力し [行を追加(Add Row)] をクリックします。各サーバでこの作業を繰り返します。ユーザ独自の DNS サーバを入力する場合は、プライオリティも同時に指定します。詳細については、DNS サーバの指定を参照してください。

ステップ 5

あるドメインに対して代替 DNS サーバを指定する場合は、ドメインと代替 DNS サーバの IP アドレスを入力します。[行を追加(Add Row)] をクリックし、ドメインを追加します。

(注)  

 
ドメイン名をカンマで区切ることで、1 つの DNS サーバに対して複数のドメインを入力できます。IP アドレスをカンマで区切ることで、複数の DNS サーバを入力することもできます。

ステップ 6

DNS トラフィック用のインターフェイスを選択します。

ステップ 7

逆引き DNS ルックアップを中止するまでに待機する秒数を入力します。

ステップ 8

[キャッシュをクリア(Clear Cache)] をクリックして、DNS キャッシュをクリアすることもできます。

ステップ 9

変更を送信し、保存します。

TCP/IP トラフィック ルートの設定

一部のネットワーク環境では、標準のデフォルト ゲートウェイ以外のトラフィック ルートを使用する必要があります。

電子メールゲートウェイはインターネット プロトコル バージョン 4(IPv4)およびインターネット プロトコル バージョン 6(IPv6)の両方のスタティックルートを使用します。

スタティック ルートは CLI で routeconfig コマンドを使用して管理するか、または次の手順に従います。


(注)  

接続先が単一の IP アドレスではなくサブネットである場合は、エントリがCIDR (クラスレスドメイン間ルーティング)表記(192.168.90.0/24 など)に準拠していることを確認します。

手順

ステップ 1

[ネットワーク(Network)] > [ルーティング(Routing)] を選択します。

ステップ 2

作成するスタティック ルートのタイプ(IPv4 または IPv6)のために、[ルートを追加(Add Route)] をクリックします。

ステップ 3

ルートの名前を入力します。

ステップ 4

宛先 IP アドレスを入力します。

ステップ 5

ゲートウェイの IP アドレスを入力します。

ステップ 6

変更を送信し、保存します。

デフォルト ゲートウェイの設定

デフォルト ゲートウェイを設定するには、CLI で setgateway コマンドを使用するか、または次の手順に従います。

手順

ステップ 1

[ネットワーク(Network)] > [ルーティング(Routing)] を選択します。

ステップ 2

変更するインターネット プロトコル バージョンのために、ルート リストで [デフォルトルート(Default Route)] をクリックします。

ステップ 3

ゲートウェイの IP アドレスを変更します。

ステップ 4

変更を送信し、保存します。

SSL 設定の指定

[SSL構成時の設定(SSL Configuration Settings)] ページまたは sslconfig コマンドを使用して、電子メールゲートウェイの SSL 設定を構成できます。

手順

ステップ 1

[システム管理(System Administration)] > [SSL 構成時の設定(SSL Configuration Settings)] をクリックします。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

重要

 

下位の AsyncOS バージョン(14.0 や 14.3 など)からアップグレードした場合、デフォルトの SSL 暗号は AsyncOS 15.x 以降で次のように変更されます。

  • GUI HTTPS の場合
    AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:
!aNULL:!kRSA:@STRENGTH:-aNULL:-EXPORT:-IDEA:!DHE-RSA-AES256-SHA:
!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM
  • インバウンド SMTP の場合
    AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:
!aNULL:!kRSA:@STRENGTH:-aNULL:-EXPORT:-IDEA:!DHE-RSA-AES256-SHA:
!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM
  • アウトバウンド SMTP の場合
    ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:
!3DES:!IDEA:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:
!kRSA:@STRENGTH:-aNULL:-EXPORT:-IDEA:!DHE-RSA-AES256-SHA:
!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:
!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:
!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:
!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM

ステップ 3

要件に応じて、次を実行します。

  • GUI HTTPS SSL を設定します。[GUI HTTPS] で、使用する SSL 方式と暗号方式を指定します。

  • 受信 SMTP SSL を設定します。[受信SMTP(Inbound SMTP)] で、使用する SSL 方式と暗号化方式を指定します。

  • 送信 SMTP SSL を設定します。[送信SMTP(Outbound SMTP)] で、使用する SSL 方式と暗号化方式を指定します。

  • その他の TLS クライアントサービスを設定します。電子メールゲートウェイが非 FIPS モードの場合、[その他のTLSクライアントサービス(Other TLS Client Services)] では、TLS v1.0 方式がデフォルトで無効になります。「LDAP」および「Updater」の TLS クライアントサービスに対しては、電子メールゲートウェイで TLS v1.0 方式を有効にできます。

次の点を考慮してください。

  • (非 FIPS モードの場合)TLS v1.0 方式と v1.1 方式を同時には有効にできません。ただし、これらの方式は TLS v1.2 方式と共に有効にできます。

  • 非 FIPS モードで TLS v1.0 が有効になっている下位の AsyncOS バージョン(例:12.x または 13.0)から AsyncOS 13.5.1 以降にアップグレードすると、TLS v1.0 がデフォルトで無効になります。アップグレード後に電子メールゲートウェイで TLS v1.0 方式を有効にする必要があります。

  • AsyncOS 13.5.1 以降では、SSLv2 および SSLv3 方式はサポートされません。

  • 電子メールゲートウェイが FIPS モードの場合、TLS v1.0 方式はサポートされません。

  • 電子メールゲートウェイが非 FIPS モードの場合、TLS v1.0 方式はデフォルトで無効になります。

  • 「GUI HTTPS」、「インバウンド SMTP」、および「アウトバウンド SMTP」の TLS サービスに TLS 1.3 を設定する場合、電子メールゲートウェイは次の TLS 暗号のみをサポートします。

    • TLS_AES_128_GCM_SHA256

    • TLS_AES_256_GCM_SHA384

    • TLS_CHACHA20_POLY1305_SHA256

    (注)  

     
    電子メールゲートウェイでは、TLS 1.3 に使用される暗号を変更できません。

    TLS 1.3 を設定すると、電子メールゲートウェイと API サービスのレガシーまたは新しい Web インターフェイス全体で TLS 通信に使用できます。

ステップ 4

(オプション)[TLSを介したアラート(Alerts over TLS)]、[アウトバウンドSMTP(Outbound SMTP)]、[アップデータ(Updater)]、および [LDAP] サーバサービスについて、電子メールゲートウェイがピア証明書で FQDN 検証を実行できるようにするには、[有効にする(Enable)] チェックボックスをオンにします。

ステップ 5

(オプション)[TLSを介したアラート(Alerts over TLS)]、[アウトバウンドSMTP(Outbound SMTP)]、[アップデータ(Updater)]、および [LDAP] サーバサービスについて、電子メールゲートウェイがピア証明書で X.509 検証を実行できるようにするには、[有効にする(Enable)] チェックボックスをオンにします。

ステップ 6

[送信(Submit)] をクリックします。

ステップ 7

[変更を確定(Commit Changes)] をクリックします。

SAML 2.0 を使用したシングル サインオン(SSO)

シングル サインオン(SSO)と SAML 2.0 について

電子メールゲートウェイは SAML 2.0 SSO をサポートするようになりました。これにより、管理ユーザは組織内で他の SAML 2.0 SSO 対応サービスへのアクセスに使用している同じクレデンシャルで電子メールゲートウェイの Web インターフェイスにログインできます。たとえば、SAML ID プロバイダー(IdP)として Duo、Microsoft AD FS、または Azure を有効にした場合、SAML 2.0 SSO をサポートするサービスプロバイダー(SP)として電子メールゲートウェイを設定できます。ユーザは一度サインインすれば、すべての SAML 2.0 SSO 対応サービスにアクセスできます。

SAML 2.0 SSO のワークフロー

SAML 2.0 SSO ワークフローを、次の図に表示します。

図 3. SAML のワークフロー

SAML 2.0 に関する注意事項と制約事項

一般

SAML によるシングルサインオンは、グラフィカル ユーザー インターフェイス(GUI)でのみ使用できます。SAML プロファイルの設定には、GUI とコマンド ライン インターフェイス(CLI)を使用できます。

電子メールゲートウェイでは、サービスプロバイダーと ID プロバイダーのインスタンスを 1 つのみ設定できます。

ログアウト

ユーザは電子メールゲートウェイからログアウトしても、他の SAML 2.0 SSO 対応アプリケーションからログアウトされることはありません。

制限事項

クラスタ レベルで SAML プロファイルを設定することはできません。すべての SAML 設定は、マシン レベルに制限されます。

電子メールゲートウェイでの SSO の設定方法

手順

  コマンドまたはアクション 目的

ステップ 1

前提条件を確認します。

前提条件

ステップ 2

電子メールゲートウェイをサービスプロバイダーとして設定します。

電子メールゲートウェイをサービスプロバイダーとして設定する

ステップ 3

(IDP で) 電子メールゲートウェイを操作するように ID プロバイダーを設定します。

電子メールゲートウェイと通信するように ID プロバイダーを設定する

ステップ 4

電子メールゲートウェイで ID プロバイダーを設定します。

電子メールゲートウェイでの ID プロバイダーの設定

ステップ 5

電子メールゲートウェイで SAML を使用した外部認証を有効にします。

SAML 認証の有効化

前提条件

サポートされるアイデンティティ プロバイダー

組織で使用する ID プロバイダーが 電子メールゲートウェイでサポートされているかどうかを確認します。事前認定済みの ID プロバイダーは次のとおりです。

  • Microsoft Active Directory Federation Services(AD FS)2.0 以降

  • Duo Access Gateway

  • Azure AD


(注)  
任意の標準 SAML 2.0 ID プロバイダーを使用して、E メールゲートウェイで SAML を使用して SSO を設定できます。
セキュアな通信の証明書

電子メールゲートウェイと ID プロバイダーの間の通信をセキュリティで保護するために必要な次の証明書を取得します。

  • 電子メールゲートウェイで SAML 認証要求に署名する、または ID プロバイダーで SAML アサーションを暗号化する場合、自己署名証明書または信頼できる CA の証明書、および関連付けられている秘密キーを取得します。

  • ID プロバイダーで SAML アサーションに署名する場合は、ID プロバイダーの証明書を取得して 電子メールゲートウェイにインポートします。 電子メールゲートウェイはこの証明書を使用して、署名済み SAML アサーションを確認します。

証明書の変換

電子メールゲートウェイから証明書を作成およびエクスポートするには、証明書の使用を参照してください。通常、 電子メールゲートウェイから取得した証明書は .pfx 形式であり、 電子メールゲートウェイをサービスプロバイダーとして設定するときには .pem 形式に変換する必要があります。

証明書を .pfx 形式から .pem 形式に変換するには、次の操作を行います。

  • OpenSSL ツールをダウンロードしてインストールし、 電子メールゲートウェイから取得した証明書ファイル(.pfx)をインポートします。

  • 次のコマンドを実行して、証明書を .pem 形式でエクスポートします。openssl pkcs12 -in <certname>.pfx -nokeys -out cert.pem

  • 次のコマンドを実行して、秘密キーを .pem 形式でエクスポートします。openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

  • 次のコマンドを実行して、秘密キーからパスフレーズを削除します。openssl rsa -in key.pem -out server.key

電子メールゲートウェイをサービスプロバイダーとして設定する


(注)  

ID プロバイダーでのサービスプロバイダーの設定値は、 電子メールゲートウェイでのサービスプロバイダー設定に基づいて設定されます。

始める前に

前提条件を確認してください。

手順

ステップ 1

Web インターフェイスを使用して 電子メールゲートウェイにログインします。

ステップ 2

[システム管理(System Administration)] > [SAML] に移動します。

ステップ 3

[サービスプロバイダーの追加(Add Service Provider)] をクリックします。

ステップ 4

次の詳細を入力します。

フィールド

説明

プロファイル名(Profile Name)

サービス プロバイダー プロファイルの名前を入力します。

コンフィギュレーション設定

エンティティ ID

サービスプロバイダー(この場合、ご使用の 電子メールゲートウェイ)のグローバルな固有の名前を入力します。通常、サービス プロバイダー エンティティ ID の形式は URI です。

名前 ID の形式

ID プロバイダーが SAML アサーションでユーザを指定するのに使用する形式。

このフィールドは設定できません。ID プロバイダーでサービス プロバイダーを設定するときに、この値が必要になります。

アサーション コンシューマ URL

認証が正常に完了した後で、ID プロバイダーが SAML アサーションを送信する URL を入力します。

アサーションコンシューマ URL は、 電子メールゲートウェイへのアクセスに使用される URL です。ID プロバイダーでサービス プロバイダーを設定するときに、この値が必要になります。

SP 証明書

サービスプロバイダーの証明書は、次のいずれかの方法でインポートできます。

  • 電子メールゲートウェイで使用可能な署名付き証明書をドロップダウンリストから選択します。

  • 証明書をインポートして秘密キーと関連付けます。証明書は(.cert)形式にし、秘密キーは(.key)形式にする必要があります。

  • PKCS #12 ファイル形式で証明書をインポートします。PKCS#12 形式の証明書ではパスワードが必須です。

(オプション)認証要求の署名(Signing Authentication Requests)

アプライアンスで SAML 認証要求に署名する場合、

  1. 電子メールゲートウェイから取得された証明書と、関連付けられている秘密キーをアップロードします。

    証明書は .cert 形式でアップロードする必要があります。詳細については、セキュアな通信の証明書を参照してください。

  2. 秘密キーのパスフレーズを入力します。

  3. [署名要求(Sign Requests)] を選択します。

(オプション)暗号化されたアサーションの復号(Decrypt Encrypted Assertions)

SAML アサーションを暗号化するように ID プロバイダーを設定する場合、

  1. 電子メールゲートウェイから取得された証明書と、関連付けられている秘密キーをアップロードします。

  2. 秘密キーのパスフレーズを入力します。

(注)  

 

秘密キーは .key 形式である必要があります。証明書の使用方法については、セキュアな通信の証明書 を参照してください。

署名アサーション

SAML アサーションに署名するように ID プロバイダーを設定する場合、[署名アサーション(Sign Assertions)] を選択します。

このオプションを選択すると、 電子メールゲートウェイに ID プロバイダーの証明書を追加する必要があります。電子メールゲートウェイでの ID プロバイダーの設定を参照してください。

組織詳細

組織の詳細を入力します。ID プロバイダーは、エラー ログでこの情報を使用します。

技術的な問い合わせ先

技術的な問い合わせ先の電子メール アドレスを入力します。ID プロバイダーは、エラー ログでこの情報を使用します。

ステップ 5

[送信(Submit)] をクリックし、変更をコミットします。

ステップ 6

[SSOの設定(SSO Settings)] ページに表示されるサービス プロバイダーのメタデータ(エンティティ ID とアサーション顧客 URL)と、[サービスプロバイダー設定(Service Provider Settings)] ページに表示される名前 ID の形式を書き留めます。ID プロバイダーでサービス プロバイダーを設定するときに、これらの詳細が必要になります。

必要に応じて、メタデータをファイルとしてエクスポートできます。設定が完了したら、[メタデータのエクスポート(Export Metadata)] をクリックしてメタデータ ファイルを保存します。一部の ID プロバイダーでは、メタデータ ファイルからサービス プロバイダーの詳細をロードできます。

次のタスク

電子メールゲートウェイと通信するように ID プロバイダーを設定します。電子メールゲートウェイと通信するように ID プロバイダーを設定する を参照してください。

電子メールゲートウェイと通信するように ID プロバイダーを設定する

始める前に

次の内容について確認してください。

手順

ステップ 1

ID プロバイダーで、次のいずれかを実行します。

  • サービスプロバイダー(お使いの 電子メールゲートウェイ)の詳細を手動で構成します。

  • ID プロバイダーがメタデータ ファイルからサービス プロバイダーの詳細をロードすることを許可している場合は、メタデータ ファイルをインポートします。

電子メールゲートウェイが SAML 認証要求に署名するように構成済みの場合、または SAML アサーションを暗号化する予定の場合は、必ず関連する証明書を ID プロバイダーに追加します。

ID プロバイダー固有の手順については、以下を参照してください。

ステップ 2

ID プロバイダーのメタデータを書き留めるかまたはメタデータをファイルとしてエクスポートします。
次のタスク

電子メールゲートウェイ上で ID プロバイダーの設定を構成します。電子メールゲートウェイでの ID プロバイダーの設定 を参照してください。

電子メールゲートウェイと通信するように AD FS を設定する

以下は、お使いの 電子メールゲートウェイと通信するように AD FS(2.0 以降)を設定するために実行する必要があるタスクの概要です。完全かつ詳細な手順については、Microsoft のマニュアルを参照してください。

  • リレーパーティとしてサービスプロバイダー( 電子メールゲートウェイ)のアサーションコンシューマ URL を追加します。

  • [リレーパーティトラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [ID(Identifiers)] > [リレーパーティID(Relaying Party Identifier)] で、サービスプロバイダー( 電子メールゲートウェイ)のエンティティ ID を入力します。この値が、 電子メールゲートウェイのサービスプロバイダー設定のエンティティ ID 値と同じかどうかを確認します。

  • 署名入りの SAML 認証要求を送信するようにサービス プロバイダー(アプライアンス)を構成済みの場合は、サービス プロバイダーの証明書(認証要求を署名するために使用される)を [リレー パーティ トラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [署名(Signature)] の下で .cer 形式でアップロードします。

  • 暗号化された SAML アサーションを送信するように AD FS を構成する場合は、サービスプロバイダー( 電子メールゲートウェイ)の証明書を [リレーパーティトラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [暗号化(Encryption)] の下で .cer 形式でアップロードします。

  • [リレー パーティ トラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [詳細(Advanced)] の下で、セキュアハッシュ アルゴリズムを SHA-1 に設定します。

  • 応答に SPNameQualifier を含めるためのカスタム ルールを追加します。次のファイルは、サンプルのカスタム ルールです。

    c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => 
issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer=
c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", 
Properties ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = 
"urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");

  • 要求ルールを編集し、電子メール アドレスの LDAP 属性を発信要求タイプ(電子メール アドレス)として送信する発行変換規則を追加します。また、発行変換規則を追加して、グループ属性の LDAP 属性を送信要求タイプ(未指定のグループ)として送信するようにします。

電子メールゲートウェイと通信するように Duo Access Gateway を設定する

以下は、お使いの 電子メールゲートウェイと通信するように Duo Access Gateway を設定するために実行する必要があるタスクの概要です。完全かつ詳細な手順については、Duo Security のマニュアルを参照してください。

  • SAML アサーションを受信および処理するサービス プロバイダー エンドポイントとして、サービスプロバイダーの( 電子メールゲートウェイの)アサーションコンシューマ URL を追加します。

  • [Duo管理パネル(Duo Admin Panel)] > [アプリケーション(Applications)] > [アプリケーションの保護(Protect an Application)] > [SAMLサービスプロバイダー(SAML Service Provider)] で、サービスプロバイダー( 電子メールゲートウェイ)のエンティティ ID を入力します。この値が、 電子メールゲートウェイのサービスプロバイダー設定のエンティティ ID 値と同じかどうかを確認します。

  • 署名入りの SAML 認証要求を送信するようにサービスプロバイダー( 電子メールゲートウェイ)を構成済みの場合は、Duo Access Gateway に認証ソースを設定する際に、サービスプロバイダーの証明書(認証要求を署名するために使用される)を .cer 形式でアップロードします。

  • 暗号化された SAML アサーションを送信するように Duo を構成する計画の場合は、Duo Access Gateway に認証ソースを設定する際に、サービスプロバイダーの( 電子メールゲートウェイの)証明書を .cer 形式でアップロードします。

  • [Duo管理パネル(Duo Admin Panel)] > [アプリケーション(Applications)] > [アプリケーションの保護(Protect an Application)] > [SAMLサービスプロバイダー(SAML Service Provider)] で、NameID 形式として [未指定(unspecified)] を選択します。

  • [Duo管理パネル(Duo Admin Panel)] > [アプリケーション(Applications)] > [アプリケーションの保護(Protect an Application)] > [SAMLサービスプロバイダー(SAML Service Provider)] で、セキュア ハッシュ アルゴリズムを SHA-256 に設定します。

  • [Duo管理パネル(Duo Admin Panel)] で [SAML-サービスプロバイダー設定(SAML - Service Provider Setting)] を設定ファイルとして保存し、Duo Access Gateway でその設定ファイルを SAML アプリケーションとしてインポートします。

電子メールゲートウェイと通信するように Azure AD を設定する

以下は、お使いの 電子メールゲートウェイと通信するように Azure AD を実行する必要があるタスクの概要です。完全かつ詳細な手順については、Microsoft Azure AD のマニュアルを参照してください。

  • SAML アサーションを受信および処理するサービスプロバイダー識別子として、サービスプロバイダーの( 電子メールゲートウェイの)アサーションコンシューマ URL を追加します。

  • [エンタープライズアプリケーション(Enterprise Application)] > [新しいアプリケーション(New Application)] > [ギャラリー以外のアプリケーション(Non-gallery application)] > [シングルサインオン(Single Sign-On)] > [基本SAML設定(Basic SAML Configuration)] にある Azure ポータルにサービスプロバイダーの( 電子メールゲートウェイの)エンティティ ID を入力します。この値が、 電子メールゲートウェイのサービスプロバイダー設定のエンティティ ID 値と同じかどうかを確認します。

  • 署名入りの SAML 認証要求を送信するようにサービスプロバイダー( 電子メールゲートウェイ)を構成済みの場合は、[SAML署名証明書(SAML Signing Certificate section)] セクション([エンタープライズアプリケーション(Enterprise Application)] > [新しいアプリケーション(New Application)] > [ギャラリー以外のアプリケーション(Non-gallery application)] > [シングルサインオン(Single Sign-On)] > [SAML署名証明書(SAML Signing Certificate)])で、サービスプロバイダーの証明書(認証要求を署名するために使用される)をアップロードします。

  • [ユーザ属性とクレーム(User Attributes and Claims)] セクション([エンタープライズアプリケーション(Enterprise Application)] > [新しいアプリケーション(New Application)] > [ギャラリー以外のアプリケーション(Non-gallery application)] > [シングルサインオン(Single Sign-On)] > [ユーザ属性とクレーム(User Attributes and Claims)])でグループ クレームを設定し、グループ属性を追加します。

  • [SAML] > [ユーザとグループ(Users & Groups)] のために作成された Azure アプリケーションでユーザまたはグループを追加して、この Azure SAML アプリケーションにログインできるユーザを制御します。

電子メールゲートウェイでの ID プロバイダーの設定

始める前に

次の内容について確認してください。

手順

ステップ 1

Web インターフェイスで 電子メールゲートウェイにログインします。

ステップ 2

[システム管理(System Administration)] > [SAML] に移動します。

ステップ 3

[IDプロバイダーの追加(Add Identity Provider)] をクリックします

ステップ 4

次の詳細を入力します。

フィールド

説明

プロファイル名(Profile Name)

ID プロバイダー プロファイルの名前を入力します。

構成設定(ID プロバイダー設定の手動構成)

エンティティ ID

ID プロバイダーのグローバルに一意の名前を入力します。通常、ID プロバイダー エンティティ ID の形式は URI です。

SSO URL

サービス プロバイダーが SAML 認証要求を送信する必要がある URL を指定します。

証明書

ID プロバイダーが SAML アサーションに署名する場合、ID プロバイダーの署名証明書をアップロードする必要があります。

構成設定(ID プロバイダー メタデータのインポート)

IDP メタデータのインポート

[メタデータのインポート(Import Metadata)] をクリックして、メタデータ ファイルを選択します。

ステップ 5

変更を送信し、保存します。
次のタスク

SAML 認証の有効化

AsyncOS API 向けの電子メールゲートウェイでの OpenID Connect 1.0 の設定

概要

Cisco Secure Email Gateway は、OpenID Connect 1.0 認証で ID プロバイダー(IDP)を使用するアプリケーションまたはクライアントとの統合をサポートし、電子メールゲートウェイで使用可能な AsyncOS API とシームレスに接続します。現在、お使いの E メールゲートウェイは、Microsoft AD FS のみを使用して OpenID Connectで認定されています。

ワークフロー

次のワークフローでは、AD FS を ID プロバイダー、外部アプリケーションをクライアント、電子メールゲートウェイをリソースプロバイダーとして使用しています。

手順

  1. (1 回限りのアクティビティ)アクセストークンを検証するように電子メールゲートウェイを設定します。詳細については、電子メールゲートウェイでの OpenID Connect の設定を参照してください。

  2. (1 回限りのアクティビティ)電子メールゲートウェイは、OpenID Connect の設定メタデータと必要なキーを取得して、ステップ 1 で行った設定に基づいてアクセストークンを検証します。

  3. AD FS で外部アプリケーションを認証した後、アクセストークンを取得します。アクセストークンを認証および受信する方法の詳細については、認証プロバイダーまたは ID プロバイダーのマニュアルを参照してください。

  4. API 要求をアクセストークンとともに電子メールゲートウェイに送信します。

  5. 電子メールゲートウェイは、ステップ 2 で取得したキーセットを使用して API 要求のアクセストークンを検証します。

  6. 電子メールゲートウェイは、アクセストークン内の必要な要求(発行者、対象者)を検証します。

  7. 電子メールゲートウェイは、ロール要求値を使用して、AsyncOS API にアクセスするためのユーザロール権限を許可し、割り当てます。

  8. 電子メールゲートウェイは、AsyncOS API 要求に適切な応答を提供します。

サンプルアクセストークン

次に、サンプルアクセストークンの形式を示します。

Header
alg:RSA256
typ:JWT
[...] 
Payload
claim: aud: CiscoEmailAPICaller
claim: iss: http://adfsserver/adfs/services/trust
claim: iat: 1594712147
claim: exp: 1594712807
claim: CustomOrgIdentifier: MyCustomOrgId
claim: LastName: Fernandes
claim: FirstName: Erik
claim: Email: erik.fernandes@customorg.com
claim: Role: LogCollector
claim: Role: ReadOnly
[...]

電子メールゲートウェイは、次のアルゴリズムによってのみ署名されたアクセストークンの検証をサポートします。

  • RSA256

  • RSA384

  • RSA512

前提条件

OpenID Connect で電子メールゲートウェイを設定する前に、次の前提条件を満たしていることを確認します。

  • 組織で使用される認証プロバイダーは電子メールゲートウェイでサポートされている。

  • アプリケーションは認証プロバイダーで認証し、アクセストークンを取得できる。

  • 電子メールゲートウェイは、HTTP 経由で認証プロバイダーに接続して、OpenID Connect メタデータ設定を取得できる。

電子メールゲートウェイでの OpenID Connect の設定

始める前に

次の情報について確認してください。

  • (認証プロバイダーの設定に基づいて)認証プロバイダーによって発行された有効なアクセストークン。

  • アクセストークンには、電子メールゲートウェイが必要な許可チェックを実行できるようにするためのロール情報が含まれている必要があります。

手順

ステップ 1

[システム管理(System Administration)] > [OpenID Connect] をクリックします。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

以下の表に記載される必須パラメータを入力して、OpenID Connect を設定します。

OpenID Connect パラメータ

説明
[IDプロバイダーのメタデータのURL(Identity Provider Metadata URL)]

Open ID Connect の設定メタデータを取得するために使用する ID プロバイダーの URL を入力します。メタデータは、アクセストークンの検証に使用されます。

ID プロバイダーの URL は、https://example.com/adfs/.well-known/openid-configuration のようになります。

発行元(Issuer)

アクセストークンの発行者の値を入力します。

(注)  

 
この値は、アクセストークンの検証時にアクセストークンの発行者要求値と一致する必要があります。

発行者は http://example.com/adfs/services/trust のようになります。

対象読者

アクセストークンの対象者要求値と一致する必要がある対象者の値を入力します。

(注)  

 
複数の対象者値を追加する場合は、[行を追加(Add Row)] をクリックします。

[要求名(Claim Name)]

ユーザロール情報を含むアクセストークンの要求の名前を入力します。要求名は、アクセストークンからロール情報を取得するために使用されます。

ID プロバイダーとアプライアンスロールのマッピング

ID プロバイダーサーバで定義されたユーザグループロールを入力し、電子メールゲートウェイで設定された対応するローカルユーザロールを選択して、両方のロールをマッピングします。

(注)  

 
複数のロールマッピングレコードを追加する場合は、[行を追加(Add Row)] をクリックします。

ステップ 4

変更を送信し、保存します。

次のタスク

AsyncOS API コールの Authorization Bearer ヘッダーにアクセストークンを含め、API 要求を送信します。

次に、API の Authorization Bearer ヘッダーにアクセストークンを含めた AsyncOS API を呼び出す例を示します。

curl --location --request 
GET 'https://esa.com/esa/api/v2.0/config/logs/subscriptions?retrievalMethod=manual' 

--header 'Authorization: Bearer <add access_token here>’

システム タイム

電子メールゲートウェイの時間設定は変更しないことを推奨します。

電子メールゲートウェイのシステム時刻の設定、使用する時間帯の設定、または NTP サーバとクエリーインターフェイスの選択を行うには、GUI の [システム管理(System Administration)] メニューから [タイムゾーン(Time Zone)] ページまたは [時刻設定(Time Settings)] ページを使用するか、CLI の ntpconfig コマンド、settime コマンドおよび settz コマンドを使用します。

AsyncOS で使用される時間帯ファイルは、[システム管理(System Administration)] > [時刻設定(Time Settings)] ページ、または tzupdate CLI コマンドで確認することもできます。

タイム ゾーンの選択

[タイムゾーン(Time Zone)] ページ(GUI の [システム管理(System Administration)] メニューから利用可能)では、電子メールゲートウェイの時間帯を表示します。特定の時間帯または GMT オフセットを選択できます。

手順

ステップ 1

[システム管理(System Administration)] > [タイム ゾーン(Time Zone)] ページで、[設定を編集(Edit Settings)] をクリックします。

ステップ 2

地域、国、および時間帯をプルダウン メニューから選択します。

ステップ 3

変更を送信し、保存します。

GMT オフセットの選択

手順

ステップ 1

[システム管理(System Administration)] > [タイム ゾーン(Time Zone)] ページで、[設定を編集(Edit Settings)] をクリックします。

ステップ 2

地域のリストから [GMT オフセット(GMT Offset)] を選択します。

ステップ 3

[タイム ゾーン(Time Zone)] リストでオフセットを選択します。オフセットとは、GMT(グリニッジ子午線)に達するために足し引きする必要がある時間のことです。時間の前にマイナス記号(「-」)が付いている場合、グリニッジ子午線の東側にあたります。プラス記号(「+」)の場合、グリニッジ子午線の西側にあたります。

ステップ 4

変更を送信し、保存します。

時刻設定の編集

次の方法の 1 つを使用して、電子メールゲートウェイの時間設定を編集できます。

(推奨)Network Time Protocol(NTP)を使用した電子メールゲートウェイのシステム時刻の設定

これは、特に電子メールゲートウェイが他のデバイスに統合されている場合に推奨される、時刻の設定方法です。統合されたデバイスはすべて、同じの NTP サーバを使用する必要があります。

手順

ステップ 1

[システム管理(System Administration)] > [時刻設定(Time Settings)] ページに移動します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[時刻の設定方法(Time Keeping Method)] セクションで、[NTP(Network Time Protocol)を使用(Use Network Time Protocol)] を選択します。

ステップ 4

NTP サーバのアドレスを入力し、[行を追加(Add Row)] をクリックします。複数の NTP サーバーを追加できます。

ステップ 5

NTP サーバをリストから削除するには、サーバのゴミ箱アイコンをクリックします。

ステップ 6

NTP クエリー用のインターフェイスを選択します。これは、NTP クエリーが発信される IP アドレスになります。

ステップ 7

変更を送信し、保存します。

電子メールゲートウェイのシステム時刻の手動設定

通常、この時刻の設定方法は推奨されません。代わりにネットワーク タイム プロトコル サーバを使用します。

手順

ステップ 1

[システム管理(System Administration)] > [時刻設定(Time Settings)] ページに移動します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[時刻の設定方法(Time Keeping Method)] セクションで、[時刻を手動で設定(Set Time Manually)] を選択します。

ステップ 4

月、日、年、時、分、および秒を入力します。

ステップ 5

[A.M.] または [P.M.] を選択します。

ステップ 6

変更を送信し、保存します。

ビューのカスタマイズ

お気に入りページの使用

(ローカル認証された管理ユーザ限定)よく利用するページのクイック アクセス リストを作成できます。

目的

操作手順

お気に入りリストにページを追加する

追加するページに移動し、ウィンドウの右上隅付近にある [お気に入り(My Favorites)] メニューから [このページをお気に入りに追加(Add This Page To My Favorites)] を選択します。

お気に入りへの変更では確定操作は必要ありません。

お気に入りの順序を変更する

[お気に入り(My Favorites)] > [お気に入りをすべて表示(View All My Favorites)] を選択し、適切な順序にお気に入りをドラッグします。

お気に入りを削除する

[お気に入り(My Favorites)] > [お気に入りをすべて表示(View All My Favorites)] を選択し、お気に入りを削除します。

お気に入りページに移動する

ウィンドウの右上隅付近にある [お気に入り(My Favorites)] からページを選択します。

カスタム レポート ページを表示または作成する

[マイ ダッシュボード(My Dashboard)] ページ を参照してください。

ユーザ設定値の設定

ローカル ユーザは、各アカウントに固有な言語などのプリファレンス設定を定義できます。これらの設定は、ユーザが電子メールゲートウェイに最初にログインするときにデフォルトで適用されます。各ユーザにプリファレンス設定が保存され、ユーザが電子メールゲートウェイにログインするクライアントマシンに関係なく同じです。

ユーザがこれらの設定を変更し、変更をコミットしないと、再びログインするときに設定がデフォルト値に戻ります。


(注)  
この機能は、外部認証されたユーザは使用できません。これらのユーザは、[オプション(Options)] メニューから直接言語を選択できます。

手順

ステップ 1

プリファレンス設定を定義するユーザ アカウントでアプライアンスにログインします。

ステップ 2

[オプション(Options)] > [環境設定(Preferences)] を選択します。[オプション(Options)] メニューは、ウィンドウの上部右側にあります。

ステップ 3

[設定を編集(Edit Preferences)] をクリックします。

ステップ 4

設定を行います。

プリファレンス設定

説明

言語の表示(Language Display)

Web インターフェイスおよび CLI で使用する言語の Web 用 AsyncOS。

ランディング ページ(Landing Page)

ユーザが電子メールゲートウェイにログインするときに表示されるページ。

表示されるレポート時間範囲(Reporting Time Range Displayed)(デフォルト)

[レポート(Reporting)] タブでレポートに対して表示するデフォルトの時間範囲。

表示するレポート行の数(Number of Reporting Rows Displayed)

デフォルトで各レポートに表示されるデータの行数。

ステップ 5

変更を送信し、保存します。

ステップ 6

ページ下部の [前のページに戻る(Return to previous page)] リンクをクリックします。

全般設定

電子メールゲートウェイの次の一般設定を編集できます。

Internet Explorer の互換モードの上書き

優れた Web インターフェイスのレンダリングのために、Internet Explorer 互換モードのオーバーライドを有効にすることを推奨します。


(注)  
この機能を有効にすることが組織のポリシーに違反する場合は、この機能を無効にすることができます。

手順

ステップ 1

[システム管理(System Administration)] > [一般設定(General Settings)] をクリックします。

ステップ 2

[IE 互換モードの上書き(Override IE Compatibility Mode)] チェックボックスをオンにします。

ステップ 3

変更を送信し、保存します。

新しい Web インターフェイスを使用した電子メールゲートウェイの使用状況統計の収集

[使用状況分析(Usage Analytics)] は、分析統計情報のためにサイトアクティビティデータへのインサイトを得るために使用します。[使用状況分析(Usage Analytics)] が有効になっている場合、電子メールゲートウェイは新しい Web インターフェイスで電子メールゲートウェイの機能の使用状況データを収集します。使用状況の統計情報は、分析して、電子メールゲートウェイのユーザエクスペリエンスを向上させるためのインサイトを得るために使用します。

新規インストールの場合、使用状況の分析機能は電子メールゲートウェイにおいて、デフォルトで有効になっています。使用状況の分析機能を無効にするには、次の手順を実行します。

手順

ステップ 1

[システム管理(System Administration)] > [一般設定(General Settings)] をクリックします。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[使用状況分析(Usage Analytics)] チェックボックスをオフにします。

ステップ 4

変更を送信し、保存します。

最大 HTTP ヘッダー サイズの構成

電子メールゲートウェイに送信される HTTP 要求の HTTP ヘッダーの最大サイズを設定するため、CLI で adminaccessconfig > maxhttpheaderfieldsize コマンドを使用できるようになりました。

HTTP ヘッダー フィールドのサイズの既定値は 4096(4 KB)、最大値は 33554432(32 MB)です。

サービス エンジンの再起動とステータスの表示

CLI で diagnostic > services サブコマンドを使用して、以下を実行できます。

  • 電子メールゲートウェイで有効になっているサービスエンジンを再起動します。電子メールゲートウェイを再起動する必要はありません。

  • 電子メールゲートウェイで有効になっているサービスエンジンのステータスを表示します。

詳細については、Cisco Secure Email Gateway の『CLI リファレンスガイド』を参照してください。

国際化ドメイン名(IDN)を含むメッセージの受信と配信

電子メールゲートウェイは、IDN ドメインを含む電子メールアドレスを持つメッセージを受信および配信できます。

現在、電子メールゲートウェイは次の言語の IDN ドメインのみをサポートしています。

インドの地域言語:ヒンディー語、タミル語、テルグ語、カンナダ語、マラーティ語、パンジャブ語、マラヤラム語、ベンガル語、グジャラート語、ウルドゥー語、アッサム語、ネパール語、バングラ語、ボド語、ドグリ語、カシミール語、コンカニ語、マイティリ語、マニプリ語、オリヤ語、サンスクリット語、サンタル語、シンド語、トゥル語。

ヨーロッパおよびアジアの言語:フランス語、ロシア語、日本語、ドイツ語、ウクライナ語、韓国語、スペイン語、イタリア語、中国語、オランダ語、タイ語、アラビア語、カザフ語。

関連トピック

前提条件

国際化ドメイン名(IDN)機能を使用する前に、次の前提条件を満たしていることを確認してください。

  • すべての着信メッセージには UTF-8 でエンコードされた IDN が必要です。

    たとえば、電子メールゲートウェイにメッセージを送信する MTA は IDN をサポートし、メッセージ内のドメインが UTF-8 形式であることを確認する必要があります。

  • すべての発信メッセージには UTF-8 でエンコードされた IDN が必要であり、宛先サーバーはそれに応じて IDN を受け入れ、サポートする必要があります。

    たとえば、電子メールゲートウェイからのメッセージを受け入れる MTA は UTF-8 形式でエンコードされた IDN とドメインをサポートする必要があります。

  • 該当するすべての DNS レコードで、Punycode 形式を使用して IDN を設定する必要があります。

    たとえば、IDN に MX レコードを設定する場合、DNS レコードのドメインは Punycode 形式である必要があります。

電子メールゲートウェイで IDN ドメインを使用して設定可能な機能

このリリースでは、電子メールゲートウェイ内で IDN ドメインを使用して設定できるのは次の機能のみです。

  • SMTP ルートの設定:

    • IDN ドメインを追加または編集します。

    • IDN ドメインを使用して SMTP ルートをエクスポートまたはインポートします。

  • DNS の設定:IDN ドメインを使用して DNS サーバーを追加または編集します。

  • リスナーの設定

    • インバウンドリスナーまたはアウトバウンドリスナーのデフォルトドメインの IDN ドメインを追加または編集します。

    • HAT テーブルまたは RAT テーブルで IDN ドメインを追加または編集します。

    • IDN ドメインを使用して HAT テーブルまたは RAT テーブルをエクスポートまたはインポートします。

  • メールポリシーの設定

    • [着信メールポリシー(Incoming Mail Policies)] の送信者([送信者を追跡する(Following Senders)] オプションまたは [送信者を追跡しない(Following Senders are not)] オプション)と受信者([受信者を追跡する(Following Recipients)]または[受信者を受信しない(Recipients are not)]オプション)の IDN ドメインを使用してドメインを追加または編集します。

    • [送信メールポリシー(Outgoing Mail Policies)] の送信者([送信者を追跡する(Following Senders)] オプションまたは [送信者を追跡しない(Following Senders are not)] オプション)と受信者([受信者を追跡する(Following Recipients)]または[受信者を受信しない(Recipients are not)]オプション)の IDN ドメインを使用してドメインを追加または編集します。

    • [着信メールポリシー(Incoming Mail Policies)] または [送信メールポリシー(Outgoing Mail Policies)] で IDN ドメインを使用した送信者または受信者を検索します。

    • IDN ドメインを使用して送信者判定の例外を定義します。

    • IDN ドメインを使用してアドレスリストを作成します。

    • 宛先の制御に IDN ドメインを使用して宛先ドメインを追加または編集します。

  • バウンスプロファイルの設定:IDN ドメインを使用して代替電子メールアドレスを追加または編集します。

  • 送信者ドメインレピュテーションの設定:IDN ドメインの送信者ドメイン レピュテーション スコアを定義します。

  • IP レピュテーションの設定:IDN ドメインの IP レピュテーションスコアを定義します。

  • LDAP の設定:IDN ドメインを使用して、LDAP グループクエリを作成し、クエリを受け入れ、クエリをルーティングし、クエリをマスカレードします。

  • レポートの設定:IDN データ(ユーザ名、電子メールアドレス、ドメイン)をレポートに表示します。

  • メッセージトラッキングの設定:メッセージトラッキングに IDN データ(ユーザー名、電子メールアドレス、およびドメイン)を表示します。

  • ポリシー、ウイルス、およびアウトブレイク隔離の設定

    • ウイルス対策エンジンによる判定に従って、マルウェアを送信する可能性のある IDN ドメインを含むメッセージを表示します。

    • スパムまたはマルウェアの可能性があるとアウトブレイクフィルタによって検出された IDN ドメインを含むメッセージを表示します。

    • メッセージフィルタ、コンテンツフィルタ、および DLP メッセージアクションによって検出された IDN ドメインを含むメッセージを表示します。

  • スパムの隔離の設定:

    • スパム、または疑いのあるスパムとして検出された IDN ドメインを含むメッセージを表示します。

    • IDN ドメインを含む電子メールアドレスをセーフリストとブロックリストのカテゴリに追加します。


    (注)  
    現在、IDN ドメインを持つ受信者は、[スパムの隔離(Spam Quarantine)] 設定ページの [エンドユーザーの隔離アクセス(End-User Quarantine Access)] セクションでエンドユーザー認証方式が [なし(None)] に設定されている場合にのみ、エンドユーザーの隔離にアクセスできます。

  • [SPF構成設定(SPF Configuration Settings)]:IDN ドメインを使用してメッセージの SPF 検証を実行します。

  • [DKIM構成設定(DKIM Configuration Settings)]:IDN ドメインを使用して DKIM 署名とメッセージの検証を実行します

  • [DMARC構成設定(DMARC Configuration Settings)]:IDNドメインを使用してメッセージの DMARC 検証を実行します。