Cisco Cloud Security (CES)初期セットアップガイド

(1)

シスコシステムズ合同会社 2020/07

Cisco Cloud Email Security (CES)

初期セットアップガイド

(2)

• 本ガイドは、Office365 Online Exchange利用ユーザにおける、Cisco Cloud Email Security初期セットアップ方法を解説しております。 ◼内容に関する保証について • 本ガイドは、2020年3月現在の情報に基づいており、CESにおけるSMAv/ESAv のソフトウェアは 12.0/12.1をベースとしています。 • 本ガイドに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。 • シスコは、本ガイドに関して、その正確性又は完全性について一切の責任を負わないこととします。 • シスコは、本ガイドが十分な品質を有すること、特定の目的に対する適合性を有すること、又は第三者の知的財産権、プライバシー権等その他の一切の権利に対する侵害がないことを、明示にも黙示にも表明又は保証しません。 • 本ガイドはセットアップガイドであり、移行ガイドではありません。既存メールからの移行の場合には慎重かつ計画的な移行計画を立てて各種設定を実施頂きますようお願いします。

はじめに

(3)

Cloud

Talos Cisco

Appliance Virtual

Cisco Email Security Solution

セキュリティ多層防御により安全なメールの配送を提供

• _{オンプレミス版：Cisco Email Security Appliance/Virtual Appliance (ESA/ESAv)} • _{クラウド版：Cloud Email Security（CES）}

(4)

• クラウドサービス(hosted by Cisco)としてESAv/SMAvを提供（日本DC開設済み！）

• 利用ユーザ数に応じて複数のESAｖをクラスタ構成で提供（Minimum 2台～） • SMAv（Security Management Virtual Appliance）は管理装置（1台）

• Ciscoによるハードウェア・ソフトウェア・ネットワーク・仮想基盤の運用

(5)

Office 365 との連携イメージ

Cisco Email Security with Office 365

O365 Exchange オンライン内部向けトラフィック外部向けトラフィック CES 外部ドメイン内部ドメイン（既存） CESに転送

Outbound Connectors _{SMTP Relay}

mx1.xxxx.iphmx.com mx2.xxxx.iphmx.com SMTP Route

(6)

受信

/配信処理の

理解

(7)

CES/ESAによる処理フロー

CES/ESA 受信処理ワークキュー処理各種セキュリティインスペクション配信処理大きく３つの処理プロセスに分かれる

(8)

CES/ESAへのメール受信時の処理フロー

SMTP接続に対してHAT（Host Access Table）が行うアクションは？ SMTPサーバからの接続を受信

ListenerでのHeaderやDomain追加処理

（Outbound）Bounce VerificationによるEnvelop送信アドレスのTag付け処理（Inbound）Domain MapによるEnvelop受信アドレスの書き換え処理

（Inbound）RAT（Recipient Access Table）はそのSMTP接続を許可しているか？

Alias Tableに従ったEnvelop受信アドレスの書き換え処理 LDAP Queryによる受信アドレスの照合

SMTP call-ahead recipient validationの処理

（Inbound）SPFやSIDFメール認証による詐欺メールかどうかの確認接続を許可し、メッセージをワークキュー処理へ Accept or Continue 接続をドロップ受信の拒否メッセージのリレー接続を拒否 Reject TCP Refuse Relay Yes No, Reject No No Yes 青が最低限設定が必要でかつ重要なポイント

(9)

CES/ESAからのメール配信時の処理フロー

（Outbound）メッセージの暗号化処理 SMTP Client Conversationの開始メッセージがVirtual GWによって定義された特定のIPインタフェースに送信配信IFの同時接続の最大数に基づいた配信制限の適用 Destination Controls Domain毎の配信制限によりメッセージのドロップやバウンスが発生するか？ SMTP Route :ドメインベースのルーティング処理 Global Unsubscribe Listの適用

（Outbound）DomainKeyやDKIM署名ヘッダの付与 Bounce Profileのチェックメッセージをクライアントへ配信メッセージをドロップメッセージのバウンス Received: ヘッダの追加 No, Continue Yes, Bounce Yes, Drop Deliver Drop Bounce 青が最低限設定が必要でかつ重要なポイント

(10)

Outbound

(11)

ステップ０：設定にあたって

[email protected]からWelcomeレターが届いていることを確認登録されたお客様アドレス宛にCESのアドレス情報やMXレコード情報、アクセス情報等が記載された複数の Welcomeメール送付される

(12)

前提理解：ListenerとHATの関係

Listener

IPインタフェース物理/仮想インタフェース

HAT(Host Access Table)

送信者グループ

SBR(SenderBase Reputation)

(13)

前提理解：Listenerとは

Listenerは各IPインターフェースに紐づいており、電子メールの処理方法および受け入れポート番号が定義以下の2つのタイプ • _{パブリック：インターネットからのインバウンドメール着信用} • _{プライベート : 社内ネットワークからのアウトバウンドメール着信用} • _CESでは • _{IncomingMailリスナー → Public} • _{OutgoingMailリスナー → Private} にデフォルト紐づいている IF: Data 2 Listener: Private (OutgoingMail) IF: Data 1 Listener: Public (IncomingMail) Office365 CES 社内GW インターネット

(14)

前提理解：HAT（Host Access Table)

HAT (Host Access Table)とは？

メール受信する際にSMTP接続を試みて来た送信者(MTA)を、送信者グループ (SenderGroup)に分類し、送信者グループに割り当てるIPレピュテーションスコアやポリシーを関連付けるテーブル Defaultでいくつかプリセット各送信者グループに紐づけられた SendarBaseレピュテーションスコア各送信者グループで処理されるフローポリシー

(15)

前提理解：Mail Flow Policyの各ふるまい

• _{Accept : 接続が許可された後、メールの許可がさらに受信者アクセステーブル(RAT)などの設定に} よって制限される • _{Reject : 接続は最初許可されるがクライアントに4XX, または5XXを返し、メール受付を拒否} • _{TCP Refuse : TCPレベルでの接続拒否} • _{Relay : 接続は許可され、すべての受信が許可、RATの制約を受けない} • _{Continue : HATのマッピングは無視してHAT処理を継続} →これら基本アクセスルールと各種パラメータ（接続数やフロー数、各種セキュリティ設定（TLS/SPF/DKIM etc）の有無等）を組み合わせてMail Flow Policyが作成される

(16)

ステップ1：HAT > SenderGroup > RELAYLISTの設定

インタフェースData 2がプライベートリスナー（Outgoing）と紐づいており Outgoingが持つHost Access Table（HAT）のSender Group “RELAYLIST”に Office365ドメインを追加する。

(17)

ステップ1： HAT > SenderGroup > RELAYLISTの設定

• _{MailPolicies > HAT Overview}

• _{Sender Group (Listener)を”OutgoingMail“にセット}

• _{デフォルトで設定されているRELAYLISTをクリック} • Add Senderをクリック • _{Sender : .protection.outlook.com を入力} • _{Submitをクリック} • _{Commit Changesをクリック} Office365のドメイン .protection.outlook.com

(18)

ステップ2：TLSの有効化

1で設定したSender Group: RELAYLISTに紐づくRELAYEDポリシーを編集する • _{MailPolicies > HAT Overview}

• _{Sender Group (Listener)が”OutgoingMail“となっていることを確認}

• _{RELAYLISTに紐づいているMail Flow Policy: RELAYEDをクリック}

• Security Features > Encryption and Authentication • _{TLS : Preferred をチェック}

• Submitをクリック

(19)

ステップ3：Office365でのOutbound Connecter作成

注意：本設定は2019年11月時点での情報であり、手順についてはその後予定なく変更されている可能性があります。最新の情報はMicrosoft社のサイトをご参照ください。

1. Office 365 Admin Center (https://admin.microsoft.com)にログイン 2. Admin Centersを展開

3. Exchangeをクリック

4. mail flow > connectorsへ移動

5. [+]をクリックして新規のconnectorを作成

• _{From：Office365 を選択}

• _{To：Partner Organization を選択}

• Nextをクリック

• _{Name：Outbound to Cisco CES を入力（任意）}

• _{Nextをクリック}

(20)

ステップ3：Office365でのOutbound Connecter作成

5. 続き

• _{Only when I have a transport rule set up that redirects messages to this} connector を選択

• Route email through these smart hosts を選択

• _{[+]をクリックし、Welcomeメールに記載されたOutbound送信先ドメ}

イン（ob1.xxx)を入力

• _{Saveをクリック}

• _{Always use Transport Layer Security (TLS) to secure the connection} (recommended) を選択

• Any digital certificate, including self-signed certificates を選択

• _{Confirm Your Settingsで設定内容を確認し、問題なければNextをクリック}

(21)

ステップ3：Office365でのOutbound Connecter作成

5. 続き

• _{Validate this connectorで[+]をクリックし、通信確認用メールアドレスを}

登録

• _{Validateをクリックし、Validationを確認}

• 完了後、Closeをクリック

Offce365設定

(22)

ステップ4：Office365オープンリレー保護設定

Offce365設定意図していないOffice365テナントからの通信がCESでリレーされないように、対象テナントからの送信にヘッダーを付与する

1. Exchange admin center (https://outlook.office365.com)にログイン 2. Mail Flow > Rules をクリック

3. [+]をクリックして新規ルールを作成 • Create a new rule を選択

• _{Name：Outbound to Cisco CES を入力（任意）}

• _{“Apply this rule if …” で“The sender is located...” を選択}

• _{“select sender location”のポップアップが表示されたら“Inside the} organization” を選択

• OKを選択

(23)

ステップ4：Office365オープンリレー保護設定

Offce365設定 3. 続き • Add Condition をクリックして条件を追加 • _{The recipient… を選択} • _{Is external/internal を選択}

• “select sender location”のポップアップが表示されたら“Outside

the organization” を選択

• OKをクリック

• _{“*Do the following...” で“Redirect the message to...” を選択}

• _{the following connector を選択し、 “Outbound to Cisco CES”を} 選択

(24)

ステップ4：Office365オープンリレー保護設定

Offce365設定 3. 続き

• “*Do the following...”を選択し、アクションを挿入

• _{Modify the message properties... を選択} • _{set the message header を選択}

• Set the message header: X-OUTBOUND-AUTH を入力

• _OKを選択

• Set the value: mysecretkey を入力

• _OKを選択

• _{Saveをクリック}

注：mysecretkeyは一例であり、各テナントで任意の秘密鍵を

(25)

ステップ4：Office365オープンリレー保護設定

Offce365設定

(26)

ステップ4：Office365オープンリレー保護設定

CES設定 CESのMessage Filter（CLI設定）で対象Office365テナントから送信されたメールのX-headerの値を検査し、許可する（かつヘッダーを削除する）よう設定 ※ヘッダーがないメールはドロップされる • _{CES上のESAvにSSHでログインを実施} ※SSHアクセスのためには申請が必要。後述の手順を参照。 • _{Filtersコマンドを実行し、“Cluster” modeを編集（リターンキー）} • Newを選択し、以下をコピー＆ペーストする

office365_outbound: if sendergroup == "RELAYED" { if header("X-OUTBOUND-AUTH") == "^mysecretkey$" { strip-header("X-OUTBOUND-AUTH"); } else { drop(); } } ※Message Filter CLIで設定可能なContent Filter機能。GUI 上の設定より柔軟な条件が設定でき、かつメッセージがワークキューに送信された後、各種エンジンでのインスペクション前に適用される点がポイント注：mysecretkeyは一例であり、各テナントで任意の秘密鍵をセットすること！

(27)

ステップ4：Office365オープンリレー保護設定

CES設定 • _{リターンキーを押して改行} • “.” (ピリオド）を入力しMessage Filterの作成を終了 • _{リターンキーを押してフィルタメニューを終了} • _{Commitコマンドを実行して設定を保存}

(28)

ステップ5：アウトバウンドメールのテスト

• Office365のメールアカウントを使って、外部メールアドレス宛にテストメー

ルを送信

• SMAvにアクセスしてCESを経由してメールが送信されていることを確認

（アクセス情報はWelcomeメールに記載） • _{Email > Message Tracking}

• _{Envelop Sender : Containsを選択し自社ドメインを入力}

(29)

ステップ5：アウトバウンドメールのテスト

• ヘッダ挿入がない、マッチしない場合、以下のとおりメッセージをドロップ

(30)

ステップ5：アウトバウンドメールのテスト

(31)

Inbound

メール受信

/配信設定

(32)

ステップ1：Destination Controlsの設定

CESからOffice365へのメールの配信において、Office365側で不必要にスロットリング機能（接続制限）が動作しないよう、CES側で配送先ドメインに対して自己スロットリング機能を有効化する ※Office365は仕様上、新規アドレスホストからの大量トラフィック受信時にスロットリングが動作 ※本設定は、安定動作を確認後（一定期間トラフィックを流した後）に削除可能

(33)

ステップ1：Destination Controlsの設定

Mail Policies > Destination Controls

• _{Mode：”Cluster: Hosted_Cluster” を選択} • Add Destinationをクリック

• _{Destination：自社のドメインを入力（例：cisco.com)}

• _{Concurrent Connections : 10}

• _{Maximum Messages Per Connection : 20} • _{TLS Support : Preferred}

(34)

ステップ2：Recipient Access Table(RAT)の設定

RATに自社ドメインを登録し、自社ドメイン宛のメール通信のみをCESで受け入れるよう設定

Mail Policies > Recipient Access Table（RAT）

• _{Overview for Listenerが“IncomingMail”となっていることを確認}

• Add Recipientをクリック

• _{Recipient Domain：自社のドメインを入力（例：cisco.com)}

• _{Action : Accept}

• _{Submitをクリック}

(35)

ステップ3：SMTP Routeの設定

CESから自社のOffice365ドメインにメール配送するためのSMTP Route設定 Network > SMTP Route • _{Add Routeをクリック} • _{Receiving Domain：自社のドメインを入力（例：cisco.com)}

• _{Destination Host : Office365のオリジナルMXレコード} （XXX.protection.outlook.com) ※IPアドレスでも可

(36)

ステップ4：MXレコードの変更

Office365のMXレコード .protection.outlook.com Cisco CESのMXレコード .iphmx.com MXレコード変更後 Welcomeレターに記載されたMXレコード情報の登録（書き換え）を実施 ※一般的に変更後、反映（利用可能となる）までに24時間程度必要本番環境からの移行の場合、本設定変更により経路が切り替わるため注意。必要な設定をすべて完了した上で、慎重な切り替え作業を強く推奨。

(37)

参考：IP Allow Listの設定

Offce365設定

O365側の仕様でCESのグローバルIPが弾かれる場合があるため、ホワイトリストに登録を推奨

1. Exchange admin center (https://outlook.office365.com)にログイン 2. Protection > Connection Filter よりCES/ESAvのIPアドレスをAdd

(38)

ステップ5：インバウンドメールのテスト

• Office365以外のメールアカウントを使って、自社の任意のOffice365メールア

ドレスにテストメールを送信

• SMAvにアクセスしてCESを経由してメールが送信されていることを確認

（アクセス情報はWelcomeメールに記載） • _{Email > Message Tracking}

• _{Envelop Recipient : Containsを選択し自社ドメインを入力}

(39)

セキュリティ設定の

ベストプラクティス

(40)

Mail Policies

• _{各セキュリティポリシーの設定はMail Policiesで定義} • _{Incoming用とOutgoing用の2つが存在} Inbound 利用ライセンスによって使用不可な機能あり

(41)

Mail Policies

41 • _{各セキュリティポリシーの設定はMail Policiesで定義} • _{Incoming用とOutgoing用の2つが存在} Outbound 利用ライセンスによって使用不可な機能あり

(42)

CES/ESAのワークキュー処理フロー ※一部抜粋

Message Filterの適用

ワークキューでメッセージを受信

送信者アドレスがE/Uセーフリスト・ブラックリストDBに存在するか？ Cisco Anti-Spam Engine(CASE) : メッセージがスパムと識別されるか？

Anti-Virus Engine : ウィルスを持ったメッセージと識別されるか？

SMTP Client Conversationの開始

All other actions

メッセージバウンスメッセージの隔離

Bounce Encrypt & Deliver

Quarantine

Drop

青が一般的なチューニングポイント

Advanced Malware Protection(AMP) : メッセージは脅威を含んだ添付ファイルを持つか？ Graymail Engine : グレーメールなメッセージと識別されるか？ Content Filterの適用 Outbreak Filterによるアウトブレイク脅威レベルのチェック（Outbound)DLP Engine : DLP違反を検知したか？メッセージドロップ Bounce Bounce Bounce Drop Drop Drop Drop Blacklist Action is delete Drop Drop _メッセージの暗号化＆配信メッセージの配信 Deliver

Encrypt & Deliver Deliver Quarantine Quarantine Quarantine Quarantine Quarantine No

No, OR Yes and Action is deliver

No, Yes and message is repaired, OR Yes and message is sent as attachment

No, Yes and infected attachment is dropped, OR Unknown and appliance is not configured to quarantine unknown files

No, OR Yes and Action is deliver

(43)

アンチスパム設定（CASE：Context Adaptive Scanning Engine）

43

Mail Policies > Incoming/Outgoing Mail Policies > 各ポリシーのAnti-Spam

ポリシーごとのAntiSpamの有効化/無効化ポジティブスパム(スパムの可能性が高い)のアクション。CESはデフォルトでDrop設定サスペクトスパム(スパムの可能性が疑われる)のアクション。CESはデフォルト件名に [SUSPECTED SPAM]を付与して隔離するスパムスコアをもとに、どの値までをポジティブ、サスペクトスパムと識別するかのしきい値の設定。誤検知の要因となるため、不用意な変更を行わないことを推奨。

(44)

アンチウイルス設定（Sophos/McAfee）

Mail Policies > Incoming/Outgoing Mail Policies > 各ポリシーのAnti-Virus

ポリシーごとのAntiVirusの有効化/無効化どのアンチウイルスソフトを利用するか（デフォルトは Sophos。MaAfeeは追加ライセンス）ウイルススキャンのみを行うか、修復も行うかを選択。また、ウイルス発見時に添付ファイル自体を削除する、スキャン結果をメールヘッダに記載する、などのオプションも設定可能。Scan Only推奨スキャンの結果ごとにメールをどう扱うかを設定する項目。各結果ごとにアクション(メールをそのまま送信、添付ファイルにして送信、ドロップする、隔離する)を設定可能。また、オリジナルメッセージのアーカイブの有無、メールの件名に対する処理などを設定可。

(45)

Advanced Malware Protection設定

45

Mail Policies > Incoming/Outgoing Mail Policies > 各ポリシーのAMP

ポリシーごとのAMPの有効化/無効化

File Reputation：ファイルハッシュ値のレピュテーションチェック File Analysis：AMP Threat GridによるSandbox解析

AMP検査後のX-Headerを挿入の有効/無効化スキャン不可なメールをどう扱うかを設定する項目。各結果ごとにアクション(メールをそのまま送信、ドロップ、隔離する)を設定可能。また、オリジナルメッセージのアーカイブの有無、メールの件名に対する処理などを設定可。 File Reputationの結果、ファイルがMaliciousと判定された場合のアクション設定項目。デフォルトはメッセージごとドロップする File Analysisに送信され、ファイルが解析中のアクション設定項目。デフォルトは解析結果が出るまでメッセージは隔離される

(46)

Content Filters ー Filterの作成

Mail Policies > Incoming/Outgoing Content Filters > Add Filter

フィルタ条件の設定（複数設定可能）

フィルタアクションの設定（複数設定可能）

(47)

Content Filters ーポリシーにFilterを適用

47

Mail Policies > Incoming/Outgoing Mail Policies >各ポリシーのContent Filter

作成した（もしくは事前に用意されている）Filterの中で該当ポリシーで適

(48)

Security Services

各セキュリティ機能のグローバル設定（サービス有効無効化、タイマーなど）の設定はSecurity Servicesで設定

(49)

CES ESA セキュリティ設定のベストプラクティス

CES ESAはデフォルトで最適なポリシールール設定が行われているが環境に応じてポリシーの追加や、各ポリシーの細かなチューニングが必要ベストプラクティス設定については、下記ガイドを参照 https://www.cisco.com/c/en/us/support/docs/security/cloud-email-security/210890-Configuration-Best-Practices-for-CES-ESA.html

(50)

参考：設定に関するその他参考サイト

• _{Configuring Office 365 (Microsoft) with Cisco Cloud Email Security (CES)}

https://www.cisco.com/c/en/us/support/docs/security/cloud-email-security/214812-configuring-office-365-microsoft-with.html

• How-to configure Azure AD and Office 365 mailbox settings for ESA

※MAR：Mailbox Auto Remediationの設定例

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/211404-How-to-configure-Azure-AD-and-Office-365.html

(51)

参考：各種セキュリティ機能のテスト方法

• Anti-Spam https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/117865-qanda-esa-00.html • Anti-Virus https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118175-technote-esa-00.html • _AMP https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118511-technote-esa-00.html • _Outbreak https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/213465-testing-outbreak-filter-url-rewriting.html

(52)

Appendix:

(53)

CESにおけるCLI利用のためのSSH設定手順

手順

・（Public/Private Key 作成）

・公開鍵を CES サービスチームに TAC 経由で連絡

※PoC中の場合にはCES Activation Teamまたは担当のCiscoSEに依頼

・直接 ESA に SSH 接続するわけではなく、Tunnel 用 SSH Proxy 経由での接続・鍵の更新や追加は同様に TAC ケースオープンにて適宜可能（鍵は最大10個まで）・以下非表示スライドにてターミナルソフト Putty でのアクセス手段をご紹介・本手順は鍵登録時に運用チームから連絡される内容を邦訳したものです。 Client F W SSH Tunnel Client SSH Proxy ESA Session1 Session2 SSH to ESA Username/Password

Publik Key Auth

CES Customer

接続概要図

(54)

(55)

Username は dh-user

(56)

Don‘t start a shell or command at all オプション

最初に貼るセッション（SSH Tunnel）内ではコマンド操作が不要なため

(57)

(58)

esa1.CUSTOMER.c3s2.iphmx.com

(59)

(60)

セッションに名前を付けて保存し、Open

トンネル用設定を保存しておくと便利 Open をクリックして接続する

(61)

トンネルの

コマンドプロンプト

鍵生成時のパスフレーズを聞かれているが、パスフレーズ無しで鍵を生成した場合は不要。ここではなにもしない

(62)

この状態で新しい Putty ウインドウを開く

このセッションでは GUIアクセス用の Username password が必要

(63)

【参考】 Mac からの接続例

iurikura ) ssh -v -N -L localhost:2200:esa1.CUSTOMER.c3s2.iphmx.com:22 -i

~/.ssh/id_rsa -p 22 [email protected]

Session 1 : SSH Tunnel（あらかじめ ppk ファイルは openssl にて変換しておく）

Sesson 2 : SSH To ESA（別ターミナルを開いて接続） iurikura ) ssh [email protected] -p 2200

[email protected]'s password: XXXX(ENTER)

Last login: Wed Apr 5 12:31:48 2017 from 192.168.242.141 AsyncOS 10.0.0 for Cisco C300V build 203

Welcome to the Cisco C300V Email Security Virtual Appliance

NOTE: This session will expire if left idle for 30 minutes. Any uncommitted configuration changes

will be lost. Commit the configuration changes as soon as they are made. (Machine esa1.CUSTOMER.c3s2.iphmx.com)> exit

(64)

Cisco Cloud Security (CES)初期セットアップガイド

Cisco Cloud Email Security (CES)

初期セットアップガイド

はじめに

Cisco Email Security Solution

Office 365 との連携イメージ

受信

/配信処理の

理解

CES/ESAによる処理フロー

CES/ESAへのメール受信時の処理フロー

CES/ESAからのメール配信時の処理フロー

Outbound

ステップ０：設定にあたって

前提理解：ListenerとHATの関係

前提理解：Listenerとは

前提理解：HAT（Host Access Table)

前提理解：Mail Flow Policyの各ふるまい

ステップ1：HAT > SenderGroup > RELAYLISTの設定

ステップ1： HAT > SenderGroup > RELAYLISTの設定

ステップ2：TLSの有効化

ステップ3：Office365でのOutbound Connecter作成

ステップ3：Office365でのOutbound Connecter作成

ステップ3：Office365でのOutbound Connecter作成

ステップ4：Office365オープンリレー保護設定

ステップ4：Office365オープンリレー保護設定

ステップ4：Office365オープンリレー保護設定

ステップ4：Office365オープンリレー保護設定

ステップ4：Office365オープンリレー保護設定

ステップ4：Office365オープンリレー保護設定

ステップ5：アウトバウンドメールのテスト

ステップ5：アウトバウンドメールのテスト

ステップ5：アウトバウンドメールのテスト

Inbound

メール受信

/配信設定

ステップ1：Destination Controlsの設定

ステップ1：Destination Controlsの設定

ステップ2：Recipient Access Table(RAT)の設定

ステップ3：SMTP Routeの設定

ステップ4：MXレコードの変更

参考：IP Allow Listの設定

ステップ5：インバウンドメールのテスト

セキュリティ設定の

ベストプラクティス

Mail Policies

Mail Policies

CES/ESAのワークキュー処理フロー ※一部抜粋

アンチスパム設定（CASE：Context Adaptive Scanning Engine）

アンチウイルス設定（Sophos/McAfee）

Advanced Malware Protection設定

Content Filters ー Filterの作成

Content Filters ー ポリシーにFilterを適用

Security Services

CES ESA セキュリティ設定のベストプラクティス

参考：設定に関するその他参考サイト

参考：各種セキュリティ機能のテスト方法

Appendix:

CESにおけるCLI利用のためのSSH設定手順

Username は dh-user

Don‘t start a shell or command at all オプション

セッションに名前を付けて保存し、Open

トンネルの

コマンドプロンプト

この状態で新しい Putty ウインドウを開く

【参考】 Mac からの接続例

Content Filters ーポリシーにFilterを適用