実稼働ESAトラフィックを受け入れるためのベータESAの設定

はじめに

このドキュメントでは、メッセージフィルタ経由で実稼働ESAトラフィックを受け入れるために、ベータ版のCisco Eメールセキュリティアプライアンス(ESA)を設定する方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

ベータアプライアンスの設定

ベータESA用のリスナー設定

リスナーの初期設定は、ベータ版ESAで完了する必要があります。

1. GUIから、Network > Listenersの順に移動します。
2. Add Listener...をクリックします。
3. TCPポート25で稼働するパブリックリスナーに名前を付けて設定します。
4. Submitをクリックして、変更をパブリックリスナーに保存します。
5. 同じ手順を繰り返して、2番目のリスナーを追加します。
6. TCPポート26で実行されるプライベートリスナーに名前を付けて設定します（このリスナーはアウトバウンドメールに使用されます）。 ご使用の環境で使用可能で設定されている追加のインターフェイスがある場合は、ポート25を使用できます。CES Hosted Beta環境では、アウトバウンド用にポート587が予約されています。
7. 「Submit」を選択して、リスナーへの変更を保存します。
8. Commitを使用して、設定に対するすべての変更を保存します。

ベータESAの送信者グループ

リレーされたトラフィックまたは発信メッセージの場合は、実稼働ESAからのメッセージを受け入れてリレーするために、ベータESAの適切なIPアドレスを追加します。

1. GUIから、Mail Policies > HAT Overviewの順に移動します。
2. 適切な名前のリレー送信者グループを選択します。（通常はRELAYまたはRELAYLISTという名前です）。
3. Add Sender...をクリックします。
4. Senderには、実稼働ESAのIPアドレスを使用します。
5. 必要に応じて、管理に関するコメントを入力します。
6. 送信：リレー送信者グループへの変更を保存します。
7. Commitを使用して、設定に対するすべての変更を保存します。

ベータESA用のシンプルメール転送プロトコル(SMTP)ルート

ベータ版ESAで行う必要があるSMTPルートの変更は次のとおりです。

1. GUIで、Network > SMTP Routesの順に移動します。
2. 現在のSMTPルートが存在する場合は、それらを選択してDeleteしてから次に進む必要があります。（『ベータラボセットアップガイド』を必ず参照してください）。
3. [ルートを追加...（Add Route...）] をクリックします。
4. 受信側ドメインをcisco.comに、宛先をUSEDNSに設定します。
5. [Submit] をクリックします。
6. 同じ手順を繰り返して、2番目のSMTPルートを追加します。
7. ironport.comの受信ドメインとUSEDNSの宛先を設定します。
8. [Submit] をクリックします。
9. 最後に、Receiving DomainからAll Other Domainsを選択します。
10. 宛先を/dev/nullに設定します。（これにより、ベータアプライアンスから設定されていないドメインへのメールのルーティングが防止されます）。
11. [Submit] をクリックします。
12. Commitを使用して、設定に対するすべての変更を保存します。

現時点では、ベータアプライアンス上のSMTPルートは図のようになります。

注：必要に応じて、ドメインのエンドユーザをテストするために電子メールを配信する適切なルートを追加します。

ベータESAの着信リレー

着信リレー設定により、ベータは実稼働ESAのSBRSスコアを取得できます。

ほとんどの設定は、1つのホップで動作します。

1. GUIで、Network Incoming Relayに移動します。
2. 「有効」をクリックして白に変えます。
3. [リレーを追加]をクリックします。
4. [名前]名前を選択します。
5. ベータ版ESAに提供する実稼働ESAの「IPアドレス」値。複数のホストが配信している場合は、ホスト名の一部を使用できます。
6. 「ホップ：」 1
7. 変更を送信して確定します。

着信リレー：無効状態。

着信リレー：有効な状態、白色

着信リレー：サンプルテンプレート

受信リレー：送信後の概要ビュー。

サンプルメールログエントリ：

Mon Apr 8 12:48:28 2019情報： MID 2422822 IncomingRelay(PROD_hc2881-52): Header Received found, IP 54.240.35.22 being used, SBRS 3.5 country United States

ログヘッダーを有効にして、メールログ内のスパム判定をキャプチャする

• WebUI >システム管理>ログサブスクリプション>グローバル設定（下） >ヘッダー>（追加）   X-Ironport-Anti-Spam-Result

迷惑メールヘッダーをメールログに記録

ベータ版側の構成が終了しました。

実稼働アプライアンスの設定

注意：実稼働ESAを変更しようとしています。現在の設定をバックアップしていることを確認します。

1. GUIから、System Administration > Configuration Fileの順に移動します。
2. 「現在の構成」セクションから、現在の構成をファイルとしてバックアップするためのオプションを1つ選択します。 
   • 表示または保存に使用するローカルコンピュータにファイルをダウンロード.
   • 電子メールファイル： <your_email_address@domain.com>
3. [Submit] をクリックします。

実稼働ESAのSMTPルート

SMTPルートを追加して、実稼働ESAからベータESAへのすべての着信および発信EメールのBCCを許可する必要があります。この例では、inbound.beta.comおよびoutbound.beta.comが使用されます。

1. GUIで、Network > SMTP Routesの順に移動します。
2. [ルートを追加...（Add Route...）] をクリックします。
3. 受信ドメインをinbound.beta.comとして設定し、ベータ版アプライアンスの前の手順で作成したパブリックリスナーのIPアドレスをDestinationとして設定し、ポートを25に設定します。
4. Submitをクリックして、この新しいSMTPルートへの変更を保存します。
5. 同じ手順「ルートの追加…」を繰り返します。
6. 受信側ドメインをoutbound.beta.comに、宛先ホストをベータ版アプライアンスプライベートリスナーのIPアドレスに、ポートを26に設定します。
7. Submitを選択して、この新しいSMTPルートへの変更を保存します。
8. Commitを使用して、設定に対するすべての変更を保存します。

この時点で、図に示すように、実稼働ESAのSMTPルートは次のようになります。

バウンスプロファイルの作成

バウンスプロファイルと宛先制御プロファイルを組み合わせることで、ベータホストへのメッセージ配信の遅延や失敗に関連する複雑さから本番メールフローを保護します。この設定は、ベータメッセージにのみ適用されます。

1. GUIから、Network > Bounce Profiles > Add Bounce Profileの順に移動します。
2. 最大再試行回数：15
3. キュー内最大時間：130
4. メッセージあたりの初期待機時間：60
5. メッセージあたりの最大待ち時間：60
6. ハードバウンスメッセージの送信：いいえ
7. 遅延警告メッセージの送信：いいえ
8. バウンスおよび遅延メッセージにドメインキー署名を使用する：NO
9. Submitを選択して、この新しいバウンスプロファイルへの変更を保存します。
10. 設定に対するすべての変更を保存します。 

バウンスプロファイルの作成

注：上記の番号は、ベータホストへの配信が中断された場合に配信キューのバックアップを防止するために積極的に設定されています。値はプリファレンスに合わせて変更できます。通知設定を意図的にNOに設定して、BCCフィルタからユーザ通知が配信されないようにする。 

宛先制御プロファイルの作成

1. GUIから、Mail Policies > Destination Controls > Add Destinationに移動します。
2. 宛先：inbound.beta.com
3. バウンス検証： >アドレスタギングの実行：NO >またはデフォルト(NO)
4. バウンスプロファイル： BETA_BOUNCE
5. その他の値は、管理者の設定に基づいて設定できます。
6. Submitを選択して、この新しい宛先制御プロファイルへの変更を保存します。
7. 宛先outbound.beta.comを使用して、手順2 ～ 6を繰り返します。
8. Submitを選択して、この新しい宛先制御プロファイルへの変更を保存します。
9. Commitを使用して、設定に対するすべての変更を保存します。

宛先制御プロファイルの追加新しい宛先制御プロファイルの概要ビュー。

実稼働ESAのメッセージフィルタの構築

実稼働ESAのCLIから、ベータESAの適切なリスナーに電子メールをBCC送信できるメッセージフィルタを作成します。

1. Filters > NEWの順に移動します。
2. このメッセージフィルタの例をコピーして貼り付け、必要に応じて変更します。

   bcc-EFT: if sendergroup == "RELAY" {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "outbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
    } else {
    bcc ("$enveloperecipients", "$Subject", "$EnvelopeFrom", "inbound.beta.com");
    log-entry("<=====BCC COPY TO BETA ESA=====>");
   }
   .

3. メインCLIプロンプトに戻るまでreturnします。
4. Commitを使用して、設定に対するすべての変更を保存します。

注：送信者グループ、recv-listener、mail-from、またはその他の使用可能なルールと構文に基づいて、メッセージフィルタにコピーされるトラフィックを制限します。完全なメッセージフィルタルールとフィルタルールの概要については、『ESA User Guide』を参照してください。

バウンスプロファイルの作成

宛先制御プロファイルの作成

確認

ここでは、設定が正常に機能しているかどうかを確認します。

この時点で、ベータアプライアンスは実稼働アプライアンスからの電子メールトラフィックを受け入れます。ベータアプライアンスのCLIで確認するには、tail mail_logsを実行します。

Wed Mar 23 17:28:43 2016 Info: New SMTP ICID 2 interface Management (172.18.250.222) address 172.18.250.224 reverse dns host dhcp-172-18-250-224.cisco.com verified yes
Wed Mar 23 17:28:43 2016 Info: ICID 2 RELAY SG RELAY match 172.18.250.1/24 SBRS not enabled
Wed Mar 23 17:28:43 2016 Info: Start MID 2 ICID 2
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 From: <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 ICID 2 RID 0 To: <robsherw@ironport.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 Message-ID '<a033ed$2@9.9.5-038.local>'
Wed Mar 23 17:28:43 2016 Info: MID 2 Subject 'TEST 2'
Wed Mar 23 17:28:43 2016 Info: MID 2 ready 320 bytes from <test@test.com>
Wed Mar 23 17:28:43 2016 Info: MID 2 matched all recipients for per-recipient policy DEFAULT in the outbound table
Wed Mar 23 17:28:43 2016 Info: MID 2 queued for delivery
Wed Mar 23 17:28:43 2016 Info: New SMTP DCID 3 interface 172.18.250.222 address 173.37.93.161 port 25
Wed Mar 23 17:28:43 2016 Info: Delivery start DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: Message done DCID 3 MID 2 to RID [0]
Wed Mar 23 17:28:44 2016 Info: MID 2 RID [0] Response '2.0.0 u2NHSipG018673 Message accepted for delivery'
Wed Mar 23 17:28:44 2016 Info: Message finished MID 2 done
Wed Mar 23 17:28:48 2016 Info: ICID 2 close
Wed Mar 23 17:28:49 2016 Info: DCID 3 close

SMTP通信は172.18.250.222（ベータアプライアンス）で確立されます。トラフィックの送信元アドレスは172.18.250.224（実稼働アプライアンス）です。

通信を受信する送信者グループはRELAYで、172.18.250.1/24ネットワークからトラフィックをリレーします。

残りは、TEST 2メッセージの通信です。

実稼働アプライアンスで、tail mail_logsを確認して実行します。  実稼働環境で処理されたMIDには次のように表示されます。

Wed Mar 23 14:50:10 2016 Info: MID 242 was generated based on MID 241 by bcc filter 'bcc-EFT'

これは、受信した電子メールメッセージを明確に分割し、受信の意図に従ってベータアプライアンスとテストエンドユーザにBCC送信します。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

追加情報

テスト用エンドユーザの実稼働EメールトラフィックとベータEメールトラフィックを区別するために、コンテンツフィルタを検討できます。

1. ベータESAのGUIから、Mail Policies > Incoming Content Filters またはMail Policies > Outgoing Content Filtersに移動します。
2. ヘッダーの追加/編集のアクションを実行するために、基本的なコンテンツフィルタを作成します。
3. 作成したコンテンツフィルタの変更を保存するには、Submitをクリックします。
4. Mail Policies > Incoming Mail PoliciesまたはMail Policies > Outgoing Mail Policiesの順に選択し、ポリシー名に新しいコンテンツフィルタを有効にして追加します。
5. Submitをクリックして、コンテンツフィルタをそのポリシーに保存します。
6. Commitをクリックして、設定へのすべての変更を保存します。

現時点では、ベータESAのコンテンツフィルタは図のとおりです。

ベータESAで電子メールメッセージを受信すると、図のように、一度処理された電子メールの件名の行に次のように表示されます。

関連情報

• ステージング更新のためのESA/SMAの設定方法

• テクニカル サポートとドキュメント - Cisco Systems