(このブログ記事はこちらの英語版記事の翻訳になります。最新の記事ではないので内容がいくらか古いものであることをご了承ください)

 

MEG 7.x においてはTLSでの電子メール配信のための設定が柔軟に行えます。例えば、コンプライアンスのスキャンがいくつかの機微な情報を検出した時にMEGでTLSを使用した 電子メール配信を指定できます。また、送信者(クライアント)ドメイン/ サブネット 且つ/または 次のホップ (サーバ) ドメイン/サブネットに基づいてMEGをどの場合にTLSを使用するのかどの場合に使用しないかを指定することが出来ます。


しかし、そのような柔軟性によってMEGアプライアンスがある場合にTLS配送設定が競合してしまう場合があります。例えば、下記のシナリオでMEGをどのように解決すれ ばいいか、MEGはどのように解決していくか見ていきましょう:

  • スキャナアクションがTLSを使用しての配送に設定された暗号化アクションになっており、しかし電子メールを送信する(アプライアンスがクライアントとして動作)TLS接 続がTLSを使用しないと設定されている場合はどうなるか?
  • 電子メールを送信する(アプライアンスがクライアントとして動作)TLS接続は二つのエントリーがあり、一つは単一のIPアドレスへはTLSを使用しない、もう一つは特定 のサブネット宛に対してはTLSを常に使用すると設定されている場合はどうなるか?


以下はMEGが設定を処理する仕様です


1. 電子メールを送信する場合、暗号化ポリシー設定はTLS接続設定よりも優先される。


MEG 7.0 と MEG 7.5 においては、電子メール > 電子メールポリシー > SMTP > 暗号化 > 暗号化されるときWhen to Encrypt nの条件に一致した場合, MEGはオンボックスの暗号化オプションを使用して配信を試みます。スキャナ アクションがトリガされたときのみ を選択した場合は、MEGはポリシーグループの "暗号化を使用したメッセージの配信" のスキャナアクションにヒットした電子メールメッセージにこの設定を適用します。常に使用する を選択した場合は同じポリシーグループにヒットした電子メールメッセージに対して常に適用します。

 

ptls3.JPG

(図1. MEG 7.5 暗号化設定のスクリーンショット)

 

MEG 7.6 においてはポリシーベースアクション機能があり、MEGアプライアンスを常に暗号化してメッセージを配送するように指定することが出来ます)

ptls2.JPG

(図2. MEG 7.6 ポリシーベースアクションの設定)

 

ptls1.JPG

(図3. MEG 7.6 暗号化設定のスクリーンショット)

 


暗号化ポリシー設定のオンボックスでの暗号化オプション において、S/MIME、PGP、そしてSecure Web Mail を選択しない場合、MEGはポリシー条件に合致した場合に配送にTLSを用います。この設定は、電子メール > 暗号化 > TLS における 電子メール送信時にTLS接続を行う(ゲートウェイをクライアントとして機能させる) よりも優先されます。そのため、スキャナアクションでTLSを使用して配送する設定の暗号化アクションを指定しておけば、MEGは電子メール送信時のTLS接続のエント リーを無視して、TLS使用を強制致します。


2. TLS の 使用しない 設定は電子メールを送信するとき (アプライアンスはクライアントとして動作)のTLS接続においては優先される。


電子メール > 暗号化 > TLS においては、電子メール送信時にTLS接続を行う(ゲートウェイをクライアントとして機能させる)をサーバドメイン/ サブネット単位で指定出来、どの場合にTLSを使用するかを指定することが出来ます。TLSを使用 における可能なオプションは、使用しない可能な場合使用する常に使用する です。


(例) 電子メール送信時のTLS接続設定において下記の設定にしている場合:
- (サブネット) 10.10.10.0/24, 常にTLSを使用する
- (サブネット) 10.10.10.100, TLSは使用しない
この場合、10.10.10.100 への配送が失敗した時に、MEGはTLSを使用しない