SaaS

mxHEROのGWS環境での初期設定 − 新ダッシュボード検証ブログ

はじめに

セキュリティチームのkakeruです。先日公開したブログでもご案内しましたが、mxHEROの管理ダッシュボードのデザインや機能に対する大幅アップデートが行われる予定です。そこで、当社ブログでも刷新後の管理者ダッシュボードの利用方法に関して連載形式で紹介していこうと思います。本日は「mxHEROのGWS環境での初期設定」についてご紹介します。

なお、新管理ダッシュボードに関する記事一覧については、下記にまとめているので、併せてご確認いただけると嬉しいです。

mxHERO初期設定の大まかな流れと本ブログの立ち位置

設定作業の全体像は以下の通りです。今回のブログは「メールシステムの設定~Google Workspace~」について記載しています。

前提条件

  • 新管理者ダッシュボードは一般ユーザーにはまだ提供されていません。ご利用については販売代理店までお問い合わせください。
  • 本手順を実施するためには、以下が必要です。
    • mxHERO管理者権限
    • GWS管理者権限
    • 自社保有ドメインのDNSレコードを書き換えられる権限
  • 設定開始前に以下の作業が完了している必要があります。
    • Gmailの初期設定(カスタムドメインを利用してのメール送受信の確認)
    • mxHEROテナントの初期セットアップ
注意

本ブログの内容は、2023年4月13日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。

手順①:mxHEROでのトランスポートエージェント値の取得

mxHEROの管理ダッシュボードの[設定] > [組織とドメイン] で、トランスポートエージェントの値を取得します。この値は手順④で利用しますので、手元に控えておいてください。

手順②:GWSグループの作成

mxHEROの適用対象として指定するためのユーザーを内包したグループを作成し、適用対象のユーザーを組み込みます。全社導入の前のPoCでは、少人数に絞ることが望ましいと考えています。

※グループに内包するユーザーは、GoogleWorkspace上の”組織”が異なるユーザーが混在していても動作します。

  • GWSの管理コンソールへアクセスし、[グループ] > [グループを作成]の順にクリックします。
  • グループの作成画面にて、以下を設定して、[次へ]をクリックします。
    • グループ名
    • グループのメールアドレス
    • グループのオーナー
    • セキュリティ
      • 任意で設定
  • アクセスタイプを以下の画像の通りに設定して、[グループを作成]をクリックします。

手順③:ホストの設定

次に、ホストの設定を行います。

  • [アプリ] > [Google Workspace] > [Gmail]の順に遷移して、[ホスト]を開きます。
  • [ルートを追加]をクリックします。
  • [メールのルートを追加]にて、下記の通り設定して、[保存]をクリックします。
  • ホストにルートが追加されていることを確認します。

手順④:受信ゲートウェイの設定

次に、受信ゲートウェイの設定を行います。

  • [アプリ] > [Google Workspace] > [Gmail]の順に遷移して、[迷惑メール、フィッシング、マルウェア]を開きます。
  • [受信ゲートウェイ]をクリックして、開きます。
  • [有効にする]にチェックを入れ、[ゲートウェイのIP]に以下を指定します。
107.23.152.206	
54.209.222.83
52.22.51.97
3.211.77.148
54.165.253.193
54.165.252.128
54.236.184.32
54.208.111.28
  • [メールのタグ付け]にて、以下の通り設定して、[保存]をクリックします。
    • 以下のヘッダーの正規表現と一致するメールを迷惑メールとみなす
      • チェックを入れる
      • 正規表現 ^X-Gm-Spam:(0|1)$
      • 正規表現で数値のスコアを抽出する
        • 次の値以上
          • 1
      • このゲートウェイからのメールに対しては Gmail の迷惑メール評価を無効にし、ヘッダーの値のみを使用する
        • チェックを入れる

手順⑤:コンテンツコンプライアンス

次にコンテンツコンプライアンスを設定します。

  • [アプリ] > [Google Workspace] > [Gmail]の順に遷移して、[コンプライアンス]を開きます。
  • [コンテンツコンプライアンス]の[設定]をクリックします。
  • 設定を追加にて、以下の通り設定します。
    • コンテンツコンプライアンス
      • mxHERO Inbound
    • 影響を受けるメール
      • 受信
        • チェックを入れる
      • 内部・受信
        • チェックを入れる
  • [各メッセージで検索するコンテンツを表す表現を追加する]にて、以下の通り設定して、[保存]をクリックします。
    • 高度なコンテンツマッチ
      • 場所
        • 完全なヘッダー
      • 一致タイプ
        • テキストを含まない
      • コンテンツ
        • X-mxHero-Server: <事前にメモしておいたトランスポートエージェントの値>
          • 例:X-mxHero-Server: bf7f875c2c2e8jkldldkd4e1d23ae2183
注意

「:」とトランスポートエージェントの値の間に半角スペースが入る

  • 設定を追加すると以下のように表示されます。
  • [上記の表現が一致する場合は、次の処理を行います]にて、以下の通り設定して、[追加]をクリックします。
    • X-Gm-Spam ヘッダーと X-Gm-Phishy ヘッダーを追加
      • チェックを入れる
    • カスタム ヘッダーを追加
      • チェックを入れる
  • [ヘッダーを追加]にて、以下のように設定して、[保存]をクリックします。
    • X-mxHero-Transport-Agent:<事前にメモしておいたトランスポートエージェントの値>
      • 例:
        • X-mxHero-Transport-Agent: bf7f875c2c2e8jkldldkd4e1d23ae2183
注意

「:」とトランスポートエージェントの値の間に半角スペースが入る

  • 設定を保存すると以下のように表示されます。
  • [ルート]にて、[ルートを変更]にチェックを入れ、ホストの設定で作成した[mxHERO]を指定します。
  • 下部にある[オプションを表示]をクリックする。
  • [エンベロープフィルタ]にて、下記の通り設定して、[保存]をクリックします。
    • 特定のエンベロープ受信者にのみ適用する
      • チェックを入れる
      • グループのメンバー(受信メールのみ)を指定する
        • 事前作成したグループを指定する

手順⑥:ルーティング

次にルーティングを設定します。

  • [アプリ] > [Google Workspace] > [Gmail]の順に遷移して、[ルーティング]をクリックします。

  •  ルーティングの[設定]をクリックします。

  • [ルーティング]に任意の名前(例:mxHero Outbound)を設定して、[影響を受けるメール]にて、下記の通り設定します。
    • 送信
      • チェックを入れる
    • 内部・送信
      • チェックを入れる
  • [ルート]にて、[ルートを変更]にチェックを入れ、ホストの設定で作成した[mxHERO]を指定します
  • 下部にある[オプションを表示]をクリックします。
  •  オプションにて下記の通り設定して、[保存]
    • 影響を受けるアカウントの種類
      • ユーザー
        • チェックを入れる
      • グループ
        • チェックを入れる
    • エンベロープフィルタ
      • 特定の送信者にのみ適用する
        • チェックを入れる
        • グループメンバー(送信メールのみ)を指定
          • 事前作成したグループを指定する

手順⑦:マーケットプレイスアプリのインストール

次は、マーケットプレイスアプリのインストールです。

  • [アプリ] > [Google Workspace Marketplaaceアプリ] > [アプリのリスト]の順に遷移して、[アプリのインストール]をクリックします。
  • 検索窓に[mxHERO]と入力し、表示される[mxHero Domain Sync and Outbound Configuration]をクリックします。
  • [mxHero Domain Sync and Outbound Configuration]をクリックします。
  • [管理者によるインストール]にて、[続行]をクリックします。
  • [アプリケーションの利用規約、プライバシー ポリシー、Google Workspace Marketplace の利用規約に同意する]にチェックを入れて、[完了]をクリックします。
  • [mxHero Domain Sync and Outbound Configurationをインストールしました]と表示されれば完了です。

手順⑧:TXTレコードを設定

最後に、Google Workspaceの対象ドメインのDNSレコードに、以下のTXTレコードを設定します。

注意

すでにご利用中のmxHERO以外のSPFレコードについては適宜、併記するように実際の環境では設定ください。

v=spf1 include:_spf-gmail.mxhero.com ~all
注意

TXT(SPF)レコードの参照回数は10回までという制限がありますのでご注意ください。また、この参照回数が10回までという仕様はmxHERO固有の制限ではなく、SPF自体の仕様となります。そのため、mxHERO側では対応できません。詳しくは以下をご参照ください。

なお、公式ドキュメントに記載のTXT(SPF)レコード「include:_spf-gmail.mxhero.com」自体が参照回数が6回となるため、10回の制限に該当しやすくなってしまいます。
これは「include:_spf-gmail.mxhero.com」内に「include:_spf.google.com」が内包されているためです。

すでに「include:_spf.google.com」が設定されているドメイン環境に対するワークアラウンドとして以下の設定値がmxHEROのサポートから提供されておりますので記載いたします。

v=spf1 include:_spf.mxhero.com ~all

ただし、上記のワークアラウンドの設定値には「include:_spf.google.com」が内包されていません。
mxHeroを全てのユーザーが利用しない場合など、Google WorkspaceのSPFレコードを併記した場合の例は以下になります。

v=spf1 include:_spf.mxhero.com include:_spf.google.com ~all

次のステップ

本手順が終わったら次は「ストレージの設定」を実施してください。

おわりに

これからもmxHEROの新管理ダッシュボードに関する記事を書いていくので、ご不明点等があればお気軽にご連絡ください。また、新管理者ダッシュボードに関する記事一覧については、下記ブログにまとめているので、そちらも併せてご覧いただけると嬉しいです。

kakeru

こんにちは、セキュリティチーム所属の新米エンジニアkakeruです。業務で少しでも役に立つ情報をブログに書いていきますので、よろしくお願いします。