セキュリティチームのぐっちーです。先日公開したブログでもご案内しましたが、mxHEROの管理ダッシュボードのデザインや機能に対する大幅アップデートが行われる予定です。そこで、当社ブログでも刷新後の管理ダッシュボードの利用方法に関して連載形式で紹介していこうと思います。本日はExchange Online環境での初期設定についてご紹介します。
なお、新管理者ダッシュボードに関する記事一覧については、下記にまとめているので、併せてご確認いただけると嬉しいです。
mxHERO初期設定の大まかな流れと本ブログの立ち位置
設定作業の全体像は以下の通りです。今回のブログは「Exchange Onlineのセットアップ」に関する内容です。
- mxHEROテナント初期セットアップ
- メールシステムの設定
- Exchange Online <<< 今回はここ!
- Google Workspace
- ストレージの設定
- アカウントとグループの設定
- ルールの設定
前提条件
- 新管理者ダッシュボードは一般ユーザーにはまだ提供されていません。ご利用については販売代理店までお問い合わせください。
- 本手順を実施するためには、以下が必要です。
- mxHERO管理者権限
- Exchange Onlineを操作できる権限
- 自社保有ドメインのDNSレコードを書き換えられる権限
- 設定開始前に以下の作業が完了している必要があります。
- Exchange Onlineの初期設定(カスタムドメインを利用してのメール送受信の確認)
- mxHEROテナントの初期セットアップ
本ブログの内容は、2023年4月12日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
手順①:mxHEROでのトランスポートエージェント値の取得
mxHEROの管理ダッシュボードの[設定] > [組織とドメイン] で、トランスポートエージェントの値を取得します。この値は手順④で利用しますので、手元に控えておいてください。
手順②:ExchangeOnlineでのグループ作成
mxHEROの適用対象として指定するための [メールが有効なセキュリティグループ] を作成し、適用対象のユーザーを組み込みます。全社導入の前のPoCでは、少人数に絞ることが望ましいと考えています。
手順③:ExchangeOnlineでコネクタ作成
次に、メールフローのコネクタを作成していきます。[Exchange管理センター] > [メールフロー] > [コネクタ] > [コネクタを追加] の順に遷移し、接続元は [Office 365] 、接続先は [パートナー組織] を指定します。
次にコネクタの名前をつけます。その際、[保存後にオンにする] のチェックを入れてください。なお、対応するルールが作成されていなければ、この段階でコネクタを有効にしてもメールの経路は変わりません。
以下のように [メッセージをこのコネクタにリダイレクトするトランスポートルールが設定される場合のみ] を選択して進めていきます。
ルーティング先ホストに smtp.mxhero.com を入力し、[+] ボタンを押します。
セキュリティの制限は特に設定変更せず、そのまま進めていきます。
検証メールの宛先に admin@mxhero.com 入力し、[+] ボタンをクリックします。宛先を入力したら、[検証] をクリックし成功したら次に進みます。
[コネクタを確認する] で今までの設定値が間違いがないかを確認し、コネクタの作成は完了です。
手順④:ExchangeOnlineでのルールの設定
送信ルールの作成
手順④ではExchangeOnlineでの送受信ルールの設定をしますが、まずは送信ルールから作成します。[Exchange管理センター] > [メールフロー] > [ルール] > [ルールの追加] の順に選択し、[新しいルールの作成] をクリックします。
[セットルールの条件] は設定する項目が多いですが、以下の通り設定します。
- 名前:任意の名前をつけます。ルール名の先頭か末尾に(送信)などと付けておくと後で識別が楽になります。
- このルールを適用する:[送信者] [このグループのメンバーである]を選択し、その後、手順②で作成したメールが有効なセキュリティグループを指定します。
- 次を実行します:[メッセージのリダイレクト先] [以下のコネクタ]を選択し、その後、手順③で作成したコネクタを指定します。
- その後”+”をクリックします。
- および:[メッセージのプロパティの変更] [メッセージヘッダーの設定]を選択し、ヘッダメッセージヘッダーは
X-mxHero-Transport-Agentという文字列を、値は手順①で取得したトランスポートエージェントを入力します。 - 次の場合を除く: [メッセージヘッダー] [次のテキストパターンと一致する]を選択し、
X-mxHero-Serverと手順①で取得したトランスポートエージェントを順に入力します。- その後”+”をクリックします。
次のセットルールの設定は特に変更せず、そのままで進んでください。
内容を確認して問題なければ保存します。最後にルールをオンにすることで経路が変わります。自動的にオンにはなりませんので注意してください。
送信ルールを複製して受信ルールの作成
作成したルールを選択し、複製して受信ルールを作成します。変更する箇所は [名前] と [適用対象(このルールを適用する)]です。適用対象は、”送信者”から”受信者”に変更し、先ほどの同じグループを指定して保存してください。こちらもルール名の先頭か末尾に(受信)などと付けておくと後で識別が楽になります。
手順⑤:ExchangeOnlineでのリモートドメイン設定
次にリモートドメイン設定を行います。まず、[Exchange管理センター] > [メールフロー] > [リモートドメイン] の順に選択し、Defaultの設定から設定変更していきます。[テキストと文字セットを編集] をクリックします。
[リッチテキスト型式を使用する] では [しない] を選択します。
次に、mxHEROの適用対象のドメインについても、リモートドメイン設定を作成します。[Exchange管理センター] > [メールフロー] > [リモートドメイン] > [リモートドメインの追加] の順に選択します。
あとは”次へ”をクリックして進めていきます。メールの返信の種類はそのまま進めていきます。
次の画面も同様に、特段設定に変更がないことを確認して進めます。
リッチテキスト形式は”しない”を選択します。
最後に内容の確認画面が表示されるので、内容を確認して保存します。この設定はTNEFカプセル化の抑止のために必要な設定となります。TNEFカプセル化されたメールが、未対応のメールクライアントに送信された場合はwinmail.datが生成されます。[1, 2]
手順⑥:ExchangeOnlineでの接続フィルタ
次に接続フィルタを設定します。[Microsoft 365 Defender] > [メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [スパム対策ポリシー] の順に選択し、[接続フィルタポリシー] の許可IPを編集します。
許可IPの入力値は以下の通りです。(全部をいっぺんにコピペするとうまく認識されないため、1つ1つコピペが必要です。。。)
54.208.111.28 54.236.184.32 54.165.252.128 54.165.253.193 3.211.77.148 52.22.51.97 54.209.222.83 107.23.152.206
エラーが表示される場合
接続フィルタへのIPアドレス追加のタイミングで、以下のようなエラーが表示される場合があります。この設定の際に、以下のエラーが出る場合は、PowerShellで Enable-Organization コマンドを実行する必要があります。
なお、その手順については以下のブログを参照いただけたら幸いです。
手順⑦:TXTレコードを設定
最後に、Exchange Onlineの対象ドメインのDNSレコードに、以下のTXTレコードを設定してください。
v=spf1 include:_spf.mxhero.com ~all
※ mxHeroを全てのユーザーが利用しない場合など、Exchange Onlineのspfレコードを併記した場合の例は以下になります。
v=spf1 include:_spf.mxhero.com include:spf.protection.outlook.com ~all
TXT(SPF)レコードの参照回数は10回までという制限がありますのでご注意ください。また、この参照回数が10回までという仕様はmxHERO固有の制限ではなく、SPF自体の仕様となります。そのため、mxHERO側では対応できません。[3]
次のステップ
メール(Exchange Online)の設定が終わったら、次はクラウドストレージの設定に進みます。
- mxHEROテナント初期セットアップ
- メールシステムの設定
- Exchange Online <<< 今回はここ!
- Google Workspace
- ストレージの設定 <<< 次はここ!
- アカウントとグループの設定
- ルールの設定
おわりに
これからもmxHEROの新管理者ダッシュボードに関する記事を書いていくので、ご不明点等があればお気軽にご連絡ください。また、新管理者ダッシュボードに関する記事一覧については、下記ブログにまとめているので、そちらも併せてご覧いただけると嬉しいです。
参考文献
- Improving Delivery with SPF https://support.mxhero.com/hc/en-us/articles/201093935-Improving-Delivery-with-SPF
注釈
- Manually Configuring Office 365 for mxHero Fusion (part 2: Transport Rule) https://support.mxhero.com/hc/en-us/articles/210147363-Manually-Configuring-Office-365-for-mxHero-Fusion-part-2-Transport-Rule-
- Exchange Server: TNEF 変換オプション https://learn.microsoft.com/ja-jp/exchange/mail-flow/content-conversion/tnef-conversion?view=exchserver-2019
- 4.6.4. DNSルックアップの制限 https://tex2e.github.io/rfc-translater/html/rfc7208.html#4-6-4–DNS-Lookup-Limits
