Microsoft 365でのセキュリティで保護された電子メールの設定

はじめに

このドキュメントでは、受信および送信の電子メール配信用にMicrosoft 365をCisco Secure Email(SEE)に統合するための設定手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Secure Email Gateway または Cloud Gateway
• Cisco Secure Email Cloud Gateway環境へのコマンドラインインターフェイス(CLI)アクセス：
  Cisco Secure Email Cloud Gateway >コマンドラインインターフェイス(CLI)アクセス
• Microsoft 365
• Simple Mail Transfer Protocol（SMTP）
• ドメインネームサーバ(DNS)またはドメインネームシステム(DNS)

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントは、オンプレミスゲートウェイまたはCisco Cloud Gatewayのいずれかに使用できます。

Cisco Secure Email管理者のウェルカムレターには、クラウドゲートウェイのIPアドレスとその他の関連情報が記載されます。ここに表示されている文字に加えて、暗号化された電子メールが送信されます。この電子メールには、割り当てに対してプロビジョニングされたクラウドゲートウェイ（ESAとも呼ばれる）およびクラウド電子メールおよびWebマネージャ（SMAとも呼ばれる）の数の詳細が記載されます。手紙を受け取っていない場合、または手紙のコピーを持っていない場合は、サービス中の連絡先とドメイン名を連絡してくださいces-activations@cisco.com。

     

     

各クライアントには専用のIPがあります。割り当てられた IP またはホスト名を Microsoft 365 の設定で使用できます。

注:Microsoft 365 Exchangeコンソールで設定を複製するには時間がかかるため、実稼働メールのカットオーバーを計画する前にテストすることを強く推奨します。少なくとも、すべての変更が有効になるまで1時間かかります。

注：画面キャプチャのIPアドレスは、割り当てにプロビジョニングされたクラウドゲートウェイの数に比例します。たとえば、xxx.yy.140.105  はゲートウェイ1のデータ1インターフェイスIPアドレスで、 xxx.yy.150.1143  はゲートウェイ2のデータ1インターフェイスIPアドレスです。ゲートウェイ1のデータ2インターフェイスのIPアドレスはxxx.yy.143.186 で、ゲートウェイ2のデータ2インターフェイスのIPアドレスは xxx.yy.32.98です。データ2（発信インターフェイスIP）の情報が案内状に含まれていない場合は、Cisco TACに連絡して、データ2インターフェイスを割り当てに追加してください。

Microsoft 365でのセキュリティで保護された電子メールの設定

Cisco Secure Email から Microsoft 365 に着信する電子メールの設定

スパムフィルタリングルールのバイパス

1. Microsoft 365 Admin Center(https://portal.microsoft.com)にログインします。
2. 左側のメニューで、 Admin Centers.
3. クリック Exchange.
4. 左側のメニューから、 Mail flow > Rules.
5. をクリック [+] して、新しいルールを作成します。
6. ドロップダウンリストかBypass spam filtering... ら選択します。
7. 新しいルールの名前を入力してください： Bypass spam filtering - inbound email from Cisco CES.
8. [*このルールを適用する条件…]で、 The sender - IP address is in any of these ranges or exactly matches.
   1. [IPアドレス範囲の指定]ポップアップで、Cisco Secure Emailのウェルカムレターに記載されているIPアドレスを追加します。
   2. クリック OK.
9. 「*次の操作を行う…」では、新しいルールが事前に選択されています。 Set the spam confidence level (SCL) to... - Bypass spam filtering.
10. クリック Save.

ルールの例を次に示します。

受信コネクタ

1. Exchange管理センターに残ります。
2. 左側のメニューから、 Mail flow > Connectors.
3. をクリック [+] して、新しいコネクタを作成します。
4. Select your mail flow scenarioポップアップウィンドウで、次の項目を選択します。
   1. From: Partner organization
   2. これを、次のように変更します。 Office365
5. クリック Next.
6. 新しいコネクタの名前を入力してください： Inbound from Cisco CES.
7. 必要に応じて説明を入力します。
8. クリック Next.
9. クリック Use the sender's IP address.
10. クリック Next.
11. Cisco Secure Emailのウェルカムレターに記載されているIPアドレスをクリックし [+] て入力します。
12. クリック Next.
13. 選択 Reject email messages if they aren't sent over Transport Layer Security (TLS).
14. クリック Next.
15. クリック Save.



コネクタ設定の例を次に示します。

Cisco Secure Email から Microsoft 365 への電子メールの設定

送信先コントロール

宛先制御で配信ドメインにセルフスロットルを適用します。当然、スロットルは後で削除できますが、これらはMicrosoft 365への新しいIPであり、レピュテーションが不明であるためMicrosoftによるスロットリングは必要ありません。

1. ゲートウェイにログインします。
2. 移動先 Mail Policies > Destination Controls.
3. クリック Add Destination.
4. 利用:
   1. 宛先：ドメイン名を入力します。
   2. [同時接続数（Concurrent Connections）]： 10
   3. [接続あたりの最大メッセージ数（Maximum Messages Per Connection）]： 20
   4. [TLS のサポート（TLS Support）]： Preferred
5. クリック Submit.
6. ユーザインターフェイス(UI)の右上にあるCommit Changes をクリックして、設定の変更を保存します。

宛先制御テーブルの例を次に示します。

受信者アクセステーブル

次に、使用しているドメインへのメールを受け入れるように受信者アクセステーブル（RAT）を設定します。

1. 移動先 Mail Policies > Recipient Access Table (RAT).

   注：プライマリメールフローのリスナーの実際の名前に基づいて、リスナーが着信リスナー、着信メール、またはメールフロー用であることを確認します。

2. クリック Add Recipient.
3. Recipient Addressフィールドにドメインを追加します。
4. のデフォルトアクションを選択します。 Accept.
5. クリック Submit.
6. UICommit Changes の右上にあるをクリックして、設定の変更を保存します。

RATエントリの例を次に示します。

     

SMTP ルート

Cisco Secure EmailからMicrosoft 365ドメインにメールを配信するためのSMTPルートを設定します。

1. 移動先 Network > SMTP Routes.
2. クリック Add Route...
3. 受信ドメイン：ドメイン名を入力します。
4. 宛先ホスト：元のMicrosoft 365 MXレコードを追加します。
5. クリック Submit.
6. UICommit Changes の右上にあるをクリックして、設定の変更を保存します。

SMTPルート設定の例を次に示します。

DNS（MX レコード）設定

メール交換(MX)レコードの変更によってドメインをカットオーバーする準備が整いました。DNS管理者と協力して、MXレコードをCisco Secure Email CloudインスタンスのIPアドレスに解決します（Cisco Secure Emailの案内状に記載されています）。

Microsoft 365コンソールからMXレコードへの変更も確認します。

1. Microsoft 365管理コンソール(https://admin.microsoft.com)にログインします。
2. 移動先 Home > Settings > Domains.
3. デフォルトのドメイン名を選択します。
4. クリックCheck Health.

これにより、ドメインに関連付けられているDNSレコードとMXレコードがMicrosoft 365でどのように検索されるかについての現在のMXレコードが提供されます。

注：この例では、DNSはアマゾンウェブサービス(AWS)によってホストおよび管理されています。管理者として、DNSがMicrosoft 365アカウント以外の場所でホストされている場合は、警告が表示されます。「your_domain_here.comに新しいレコードが追加されたことを検出できませんでした。ホストで作成したレコードが、ここに表示されているレコードと一致していることを確認してください...」  手順に従って操作すると、MXレコードが、Microsoft 365アカウントにリダイレクトするように最初に設定した値にリセットされます。これにより、Cisco Secure Email Gatewayが着信トラフィックフローから削除されます。

受信電子メールのテスト

Microsoft 365の電子メールアドレスへの着信メールをテストします。次に、Microsoft 365の電子メールの受信トレイに着信したことを確認します。

インスタンスに付属しているCisco Secure Email and Web Manager（SMAとも呼ばれる）のメッセージトラッキングでメールログを検証します。

SMA でメールログを確認するには、次の手順に従います。

1. SMA(https://sma.iphmx.com/ng-login)にログインします。
2. クリック Tracking.
3. 必要な検索条件を入力して、 Searchをクリックします。これにより、次のような結果が表示されます。

Microsoft 365 でメールログを確認するには、次の手順に従います。

1. Microsoft 365 Admin Center(https://admin.microsoft.com)にログインします。
2. 拡張 Admin Centers.
3. クリック Exchange.
4. 移動先 Mail flow > Message trace.
5. Microsoftでは、デフォルトの検索条件を提供しています。たとえば、 Messages received by my primary domain in the last dayを選択して検索クエリを開始します。
6. 受信者に必要な検索条件を入力し、をクリック Search すると、次のような結果が表示されます。

Microsoft 365 から Cisco Secure Email に送信される電子メールの設定

Cisco Secure Email Gateway での RELAYLIST の設定

Cisco Secure Emailの案内状を参照してください。さらに、ゲートウェイ経由の発信メッセージ用にセカンダリインターフェイスが指定されています。

1. ゲートウェイにログインします。
2. 移動先 Mail Policies > HAT Overview.
   
   

   注：外部/発信メールフローのリスナーの実際の名前に基づいて、リスナーが発信リスナー、発信メール、またはメールフロー拡張用であることを確認します。

3. クリック Add Sender Group...
4. 送信者グループを次のように設定します。
   1. 名前： RELAY_O365
   2. コメント： <<送信者グループに通知する場合はコメントを入力>>
   3. ポリシー：リレー
   4. クリック Submit and Add Senders.
   5. 送信者: .protection.outlook.com
      

      注:.送信者のドメイン名の先頭には（ドット）が必要です。

   6. クリック Submit.
   7. UICommit Changes の右上にあるをクリックして、設定の変更を保存します。

送信者グループの設定の例を次に示します。

TLSの有効化

1. クリック <<Back to HAT Overview.
2. 次の名前のメールフローポリシーをクリックします： RELAYED.
3. 下にスクロールして、 Security Features のセクションで Encryption and Authentication.
4. TLS の場合は、次を選択します： Preferred.
5. クリック Submit.
6. UICommit Changes の右上にあるをクリックして、設定の変更を保存します。

メールフローポリシー設定の例を次に示します。

Microsoft 365 から CES へのメールの設定

1. Microsoft 365 Admin Center(https://admin.microsoft.com)にログインします。
2. 拡張 Admin Centers.
3. クリック Exchange.
4. 移動先 Mail flow > Connectors.
[+]
5. をクリックして、新しいコネクタを作成します。
6. Select your mail flow scenarioポップアップウィンドウで、次の項目を選択します。
   1. From: Office365
   2. これを、次のように変更します。Partner organization
7. クリック Next.
8. 新しいコネクタの名前を入力してください： Outbound to Cisco CES.
9. 必要に応じて説明を入力します。
10. クリック Next.
11. [このコネクタを使用するタイミング]:
    1. 選択: Only when I have a transport rule set up that redirects messages to this connector.
    2. クリック Next. 
12. クリック Route email through these smart hosts.
[+] 
13. をクリックし、CESウェルカムレターに記載されている発信IPアドレスまたはホスト名を入力します。
14. クリック Save.
15. クリック Next.
16. Office 365をパートナー組織の電子メールサーバーに接続する方法
    1. 選択: Always use TLS to secure the connection (recommended).
    2. 選択.Any digital certificate, including self-signed certificates
    3. クリック Next.
17. 確認画面が表示されます。
18. クリック Next.
[+] 
19. を使用して有効な電子メールアドレスを入力し、 OK.
20. をクリック Validate し、検証の実行を許可します。
21. 完了したら、 Close.
22. クリックSave.

送信コネクタの外観の例：



メールフロールールの作成

1. Exchange管理センター(https://outlook.office365.com)にログインします。
2. 「mail flow」をクリックします。必ず「rules」タブに移動してください。
3. 新しいルール [+] を追加するには、[ ]をクリックします。
4. 選択 Create a new rule.
5. 新しいルールの名前を入力してください： Outbound to Cisco CES.
6. [*このルールを適用する条件…]で、次のいずれかを選択します。 The sender is located...
   1. [送信者の場所の選択]ポップアップで、次のいずれかを選択します。 Inside the organization.
   2. クリック OK.
7. クリック More options...
8. ボタ add condition ンをクリックし、2番目の条件を挿入します。
   1. 選択 The recipient...
   2. 選択: Is external/internal.
   3. [送信者の場所の選択]ポップアップで、次のいずれかを選択します。 Outside the organization .
   4. クリック OK.
9. [*次の操作を行う…]で、次のいずれかを選択します。 Redirect the message to...
   1. 選択：次のコネクタを選択します。
   2. Outbound to Cisco CESコネクタを選択します。
   3. [OK] をクリックします。
10. 「*次の操作…」に戻り、2番目のアクションを挿入します。
    1. 選択: Modify the message properties...
    2. 選択: set the message header
    3. 次のメッセージヘッダーを設定します： X-OUTBOUND-AUTH.
    4. クリック OK.
    5. 次の値を設定します： mysecretkey.
    6. クリック OK.
11. クリック Save.

注: Microsoftからの不正なメッセージを防ぐために、メッセージがMicrosoft 365ドメインから発信される際にシークレットヘッダーxがスタンプされます。このヘッダーは、インターネットに配信される前に評価され、削除されます。

Microsoft 365ルーティング設定の例を次に示します。



最後に、Cisco Secure Email Gateway の CLI にアクセスします。  

注:Cisco Secure Email Cloud Gateway > Command Line Interface(CLI)アクセス。

メッセージフィルタを作成して、xヘッダーの存在と値を検査し、存在する場合はヘッダーを削除します。 ヘッダーが存在しない場合は、メッセージをドロップします。

1. CLIを使用してゲートウェイにログインします。
Filters 
2. コマンドを実行します。
3. ゲートウェイがクラスタ化されている場合は、returnキーを押してクラスタモードでフィルタを編集します。
4. メッセージフィルタの作成、コピー、および貼り付けを行うには、New コマンドを使用します。
   
   

   office365_outbound: if sendergroup == "RELAYLIST" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. Returnキーを1回押すと、新しい空白行が作成されます。
6. 新しい行に [.] と入力し、新しいメッセージフィルタを終了します。
7. 1回 return クリックすると、[フィルタ]メニューが終了します。
Commit 
8. コマンドを実行して、設定の変更を保存します。

     

送信電子メールのテスト

Microsoft 365の電子メールアドレスから外部ドメインの受信者への送信メールをテストします。Cisco Secure Email and Web Managerからメッセージトラッキングを確認して、メッセージが適切にアウトバウンドにルーティングされていることを確認できます。

注：ゲートウェイ上のTLS設定(System Administration > SSL設定)と、発信SMTPに使用される暗号を確認してください。シスコのベストプラクティスでは次のことを推奨しています。



HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

       

配信が成功した場合のトラッキングの例：

メッセージの詳細を確認するには、More Details をクリックしてください：

x ヘッダーが一致しないメッセージトラッキングの例：

関連情報 

Cisco Secure Email Gatewayに関するドキュメント

• リリース ノート
• ユーザガイド
• CLIリファレンスガイド
• Cisco Secure Email GatewayのAPIプログラミングガイド
• Cisco Secure Email Gatewayで使用されるオープンソース
• シスココンテンツセキュリティ仮想アプライアンスインストールガイド（vESAを含む）

セキュアなEメールクラウドゲートウェイに関する文書

• リリース ノート
• ユーザガイド

Cisco Secure Email and Web Managerに関するドキュメント

• リリースノートと互換性マトリクス
• ユーザガイド
• Cisco Secure Email and Web ManagerのAPIプログラミングガイド
• シスココンテンツセキュリティ仮想アプライアンスインストールガイド（vSMAを含む）

Cisco Secure製品ドキュメント

• Cisco Secureポートフォリオの命名アーキテクチャ