本ブログはネットワーク・セキュリティプロダクトに関して、エンジニア2年生が日々先輩の指導を受けながら検証を行い、結果をまとめたものです。

今回もSophos XG Firewallに挑戦しています。

＜検証 NO.3 メールプロテクション＞

Sophos XG Firewallは通常のゲートウェイセキュリティ機能に加えて多様なメールプロテクション機能を搭載しています。
メールプロテクション機能は受信メール、送信メールをチェックしスパムやウイルスを検知すると破棄、隔離等の動作を行うことで社内メールサーバをセキュアに保つ機能です。
今回はスパム検出によるメール隔離と隔離ダイジェストメールによるリリース機能について紹介します。

検証に使用する機器とバージョンはXG125 [SFOS 17.5.9 MR-9]です。

検証イメージは下図の通りです。

＜スパム対策＞

XGのメールプロテクションにはレガシーモードとMTAモードの2種類が存在します。
2つの主な違いとしてレガシーモードは透過的プロキシ、MTAモードは明示的プロキシとして動作します。
MTAモードではスパムフィルターのオプションの追加、Firewallポリシー(以降FWポリシー)の自動作成に加え、ドメインごとにポリシーを設定することで各メールアドレスへのフォワーディングが可能になります。

前提としてXGのインターフェース、ルーティングの設定は完了しているものとします。

はじめにスパム検知のための基本的な設定を行います。
ポリシーと例外 > メール > 保護から、SMTPルーティング&スキャン > ポリシーの追加でメールプロテクションのポリシーを設定します。
ポリシー名を入力しポリシーを適用する対象のドメインを指定します。
ルーティングはスタティックホストを選択し、保護対象のメールサーバーの名前、IPアドレスを入力しホストを作成することでルーティング先のIPアドレスを設定できます。
保護対象ドメインで指定したメールサーバのIPアドレスを設定します。

スパム対策を有効にしスパム、またはスパムの可能性がある場合に適用する動作を"なし"、"警告"、"隔離エリア"、"破棄"の4つから選択します。
スパムメールへの動作として破棄を選択すると、重要なメールだった場合に送信者が再送する必要があるために、一般的にはスパム、あるいはその可能性があるメールに対しては警告、隔離の動作を適用します。
今回はスパムメールに対しては隔離エリアへ移動するように設定しておきます。

※SPF：DNSを利用してなりすましメールを防ぐ仕組み
　RBL：スパムメールの中継・発信元のIPアドレスをまとめたブラックリスト
　受信者検証：無効なユーザー宛へのメールを排除する機能

実際に外部ドメイン(GmailやYahooメール等)からスパムメールを送信します。
GTUBEというアンチスパム機能をテストするために用いられる特殊な文字列をメール本文に入力してスパムメールを作成します。
アンチスパム機能はこの文字列を確認するとスパムと認識します。

メールログ > メール > 保護からXGが処理を行ったメールログを確認できます。
メールログはメールの処理が行われた期間、ドメイン名、件名、実施された処理とその理由等でフィルターをかけて検索することが可能です。
受信したメールをXGがスパムメールと判断し隔離エリアに移動したことが通知されます。

※日本語では開始日に送信元アドレス、終了日に宛先アドレスが表示されます。

SMTP隔離 > メール > 保護を確認すると現在隔離されているスパムメールが表示されます。
管理者は隔離エリアから配信するスパムメールを選択できます。
チェックボックスでメールを選択するか、データリスト右端のアイコンをクリックし隔離メールを受信者に配信します。

管理者がスパムメールを配信した後、ユーザーのメールボックスを確認するとメールが届いています。
受信メールのヘッダーを確認するとXGで処理が行われたメールであることがわかります。

またスパム検知アクションを警告にすると検知したメールの件名にプレフィックス(タグ)を追加してメールサーバへ転送します。
件名につけるプレフィックスの内容はスパムメールの動作で警告を選択すると変更できます。

＜隔離ダイジェストメール＞

隔離エリアに移動したスパムメールを管理者がSMTPタブから手動で配信する方法を紹介しましたが、ユーザーが自身で隔離エリアからメールをリリースする方法も存在します。
隔離ダイジェストはXGが保持する各ユーザー宛の隔離メールリストをユーザーごとに送信する方法です。
ユーザーは受信した隔離ダイジェストから隔離メールを直接配信したり、ユーザーポータル経由で隔離エリアにアクセスしメールを配信、削除することが出来ます。

事前設定として隔離ダイジェストを送信するメールサーバとメールを受信するユーザー設定を行います。
通知の設定 > 管理 > システムよりXGの内蔵メールサーバを利用してメールを送信します。

次に受信者となるユーザーを新規作成します。
ユーザー > 認証 > 設定より追加でユーザー名、メールアドレスを入力し"隔離ダイジェストメール"を有効にします。
またユーザーが所属するグループも同様に"隔離ダイジェストメール"を有効にする必要があります。

隔離ダイジェストの設定を行います。
隔離エリアの設定 > メール > 保護から隔離ダイジェストを有効にします。
隔離ダイジェストの送信頻度は時、日、週で設定できます。
リリースリンクの設定はメールを受信するユーザーがログインできるポートを指定します。

"ユーザーの隔離ダイジェスト設定の変更"から隔離ダイジェストを送信するユーザーを個別に設定できるため、今回は作成したユーザーを指定します。

メールボックスからダイジェストメールを受信していることを確認します。
ユーザーはダイジェストメールから直接Action欄のReleaseで隔離メールの配信が可能です。

またMy Accountをクリックするとポータルログインぺージに移動するので、ユーザーはログイン名・パスワードを入力し隔離エリア > 電子メールから隔離メールの配信・削除できます。

----------------------

検証後記

XG Firewallは今回紹介した機能以外にも送受信メールに対してマルウェア検知やDLPを利用することで、社内のメールサーバをより安全に保護できます。
検証ではメールのスパム検知のみを行いましたが、メールセキュリティ機能の他にFW機能も併用できるので、FWとメールセキュリティ機能をXG単体で行うことにより、複数の製品を購入する必要がなく低コストで社内のセキュリティ強化が可能です。
小規模環境で自社内にメールサーバをお持ちのお客様は社内ネットワーク環境をFW機能で守ると同時に、メールサーバーの保護のためにXG Firewallのご利用を検討されてはいかがでしょうか。