Step2 : 受信メール用設定 for Microsoft365
Barracuda Email Security Serviceを使用して、受信および/または送信メールゲートウェイとしてMicrosoft 365を構成できます。設定を変更する場合は、変更が有効になるまで数分かかる場合があります。
Microsoft 365のIPアドレスとユーザーインターフェイスは変更される可能性があります。 構成の詳細については、Microsoftのドキュメントを参照してください。
MXレコードを更新した後、メールが拒否されないように、以下の Step4の作業を開始する前に少なくとも 24〜48時間、間隔をあけていただく必要がございます。DNSレコードのTTLをあらかじめ短くしておくことで短縮することも可能です。
Barracuda Email Security Serviceを、Microsoft365の前にドメインのすべての受信メールをフィルタリングする受信メールゲートウェイとして指定することができます。 Barracuda Email Security Serviceは、スパムとウイルスを除外してから、メールを Exchange Onlineのサーバに渡します。 以下の「受信メールフローの構成」手順に従って設定を行います。
また、Barracuda Email Security Serviceを、Microsoft365から送信されるメールをチェックする送信メールゲートウェイとして指定することもできます。 アウトバウンドゲートウェイとして、Barracuda Email Security Serviceは、最終的な配信の前にスパムとウイルスを除外することによってメールを処理します。 以下の「送信メールフローの構成」手順に従って設定を行います。
受信メールフローの構成
Step1:Barracuda Email SecurityServiceセットアップウィザードを起動
ウィザードを起動する前に、次の情報を準備してください。
Microsoft365管理者の資格情報
PowerShellスクリプトまたはターミナルを実行してPowerShellスクリプトを手動で実行するための資格情報
ウィザードを閉じたり完了した後は、ウィザードを再度開くことはできませんのでご注意ください。
1: Barracuda CloudControlにログインします。 左メニューから、「Email Security」を選択します。
2: セキュリティウィザードが起動します。「Next」をクリックします。
3: 希望するデータセンタの地域を選択してから「Get Started」をクリックします。
地域を選択した後は、地域を変更することはできませんのでご注意ください。
日本からは TTLの短い「Australia」をお勧めいたします。
4: ウェルカムメッセージが表示されるので、「Get Started」をクリックします。
5: Barracuda Email SecurityServiceで保護するプライマリメールドメインを入力します。 次に、「Next」をクリックします。
6: 入力されたドメイン情報を元に、現在のMXレコードを自動的に取得し、その情報を宛先サーバとして自動的に入力します。この宛先サーバの情報が間違いの場合は、「Remove」をクリックして、正しい宛先サーバの情報を上段のテキストボックスに入力して「Add」をクリックします。
宛先サーバを適切に構成した後、有効なユーザー名を入力して「Test All Mail Servers」をクリックしてメールサーバへの接続をテストを行います。設定が正しいことを確認したら、「Next」をクリックします。
7: ウィルスの保護、スパムの保護がデフォルトでは有効になっています。デフォルト値を受け入れるか、必要に応じて変更を加えてから、「Next」をクリックします。
8: 弊社では、受信メールの経路が完全に切り替わるまで、送信メールフローの変更を行わないことをお勧めします。送信メールフローの設定については後ほど説明します。
この画面では、2番目のオプション(今の時点では、送信メールフローの設定は行わない)を選択し、「Next」をクリックして続行します。
9: 弊社では、表示されたMXレコードを優先度の低い MXレコードとして登録してドメインの動作確認を実施されることをお勧めします。
DNSレコードを変更したら、変更を確認するために「Verify MX Records」をクリックします。
MXレコードを今すぐ更新しない場合は、チェックボックスをオンにしてください。
10: 検証が成功したら、「Next」をクリックします。
検証が成功しなかった場合は、ドメインを検証できなかったことを通知するメッセージが表示されます。
ドメインの入力間違いなどの場合は、「Skip」をクリックしてウィザードを終了します。 ウィザードの背後にある「Domains」タブをクリックして、検証を再試行できます。
11: 「Finish」をクリックしてセットアップを完了し、ウィザードを閉じます。
Step2:メールドメインを追加する(オプション)
上記のウィザードの Step1-5でプライマリメールドメインを設定しました。 Barracuda Email Security Serviceで追加のドメインを保護する場合は、Step2の手順を実施してください。ドメインが 1つのみの場合は、Step2は飛ばして、Step3に進んでください。
ホスト名の確認:
1: Microsoft365管理センターにログインします。
2: 左側メニューで、「設定」>「ドメイン」をクリックします。
3: ドメインテーブルで表示されているドメイン名をクリックして、ホスト名メモします。これは宛先メールサーバのアドレスです。
ホスト名の入力:
弊社では、IPアドレスではなくホスト名を使用することをお勧めします。これにより、Barracuda Email Security Serviceの構成を変更せずに、DNSレコードを更新することで宛先メールサーバを移動できます。 このアドレスは、Barracuda Email SecurityServiceがインターネットから Microsoft365 Exchange Onlineサーバに受信メールを送信する場所を示します。 たとえば、ドメインはインターネットに次のように表示されます:bess-domain.mail.protection.outlook.com
1: 管理者として BarracudaCloudControlにログインします。 左メニューから、「Email Security」をクリックします。 「Domains」タブを選択し、「Add Domain」をクリックします。
2: Microsoft365アカウントから取得したドメイン名と宛先メールサーバのホスト名を入力して、「Add Domain」をクリックします。
3: 「Domain Settings」ページが表示され、新しいドメインの設定画面が表示されます。
4: ドメインが正しいことを確認します。 「Test」をクリックしてドメインが正常に検証されたことを確認します。
次の手順に進む前に、必要なドメインを追加するためにこれらの手順を繰り返してください。
Step3:スパムフィルタリングをバイパスするトランスポートルールの作成
1: Microsoft 365管理センターにログインし、「管理センター」>「Exchange」に移動します。
2: 左メニューから、「メールフロー」を選択して、「ルール」をクリックします。
3:「+」をクリックし、「スパム対策フィルターをバイパスする」をクリックします。
4: ルールの新規作成ページで、ルールを表す「名前」を入力します。
5:「このルールを適用する条件」のドロップダウンメニューから、「送信者」>「IPアドレスが次の範囲内にあるか、完全に一致する」を選択します。
6: 「IPアドレス範囲の指定」ページで、送信者(Barracuda Email Security Service)のIPアドレス/範囲を入力します。 たとえば、オーストラリアリージョンを選択した場合は、3.24.133.128/25と入力して、「+」をします。
その他の地域については、Barracuda Email Security ServiceのIP範囲に記載されているIPアドレスを参照してください。 お住まいの地域のIPアドレス範囲が1つしかない場合は、「OK」をクリックして手順8に進みます。
7: 複数のIPアドレスまたは範囲がある場合は、追加するIPアドレスまたは範囲を入力して「+」記号をクリックして追加後に「OK」をクリックします。
8: 「保存」をクリックしてから、トランスポートルールの作成に移ります。
9: ルールの鉛筆の形をした「編集」アイコンをクリックし、「このルールのプロパティ」セクションまでスクロールして、「優先度」フィールドに「0」と入力します。
10: 「保存」をクリックします。
Step4:受信メールをBarracudaEmail SecurityServiceのIP範囲に制限
この手順を実施する前に、MXレコードを更新してから少なくとも通常 24〜48時間待つ必要があります。 メールが拒否されないように、変更されたDNSレコードが伝播するためにです。事前に TTLを変更しておくことで待ち時間を短縮することも可能です。
ここでは、Barracuda Email SecurityServiceと Microosft365の間のセキュリティを強化します。これにより、Barracudaシステムからの受信メールのみが許可されるようにます。
1: いずれかのオプションを使用して、Exchange OnlinePowershellに接続します。
ベーシック認証を使用している場合は、Exchange Online PowerShellへの接続を参照してください。
多要素認証(MFA)などの最新の認証を使用している場合は、多要素認証を使用したExchange Online PowerShellへの接続を参照してください。
2: Barracuda Email Security Serviceインスタンスのセットアップ時に選択したリージョンに基づいて、正しいIP範囲を見つけます。 対応するIP範囲については、Barracuda Email SecurityServiceのIP範囲を参照してください。
3: Exchange Online PowerShellに接続した後、選択した接続設定に基づいて適切なスクリプトを展開して実行します。
ベーシック認証を使用している場合:
オーストラリアリージョンの場合以下の Exchange Online PowerShellで次のコマンドを実行します。その他のリージョンについてはこちらの Step4を参照ください。
Set-ExecutionPolicy unrestricted
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
New-InboundConnector -Name "Barracuda Inbound Connector" -RequireTls $true -SenderDomains * -SenderIPAddresses 3.24.133.128/25 -RestrictDomainstoIPAddresses $true
多要素認証(MFA)を使用している場合:
注:<your-UPN>をMicrosoft365アカウントに置き換えます。
オーストラリアリージョンの場合以下の Exchange Online PowerShellで次のコマンドを実行します。その他のリージョンについてはこちらの Step4を参照ください。
Connect-EXPOSSession -UserPrincipalName <your-UPN>
New-InboundConnector -Name "Barracuda Inbound Connector" -RequireTls $true -SenderDomains * -SenderIPAddresses 3.24.133.128/25 -RestrictDomainstoIPAddresses $true
4: 以上で受信設定は完了です。