ビュー:

まず始めに、TMEmS/V1ECS は一般的に次のようにメッセージの配送経路上に配置されます。

受信保護 (外部から内部宛)
送信者のメールサーバ → TMEmS/V1ECS → ユーザのメールサーバ → メールボックス
送信保護 (内部から外部宛)
メールクライアント → ユーザのメールサーバ → TMEmS/V1ECS → 受信者のメールサーバ

TMEmS/V1ECS のメールサーバは受信保護・送信保護の各トラフィックにおいて管理ドメインとその設定にしたがって リレーを制限 しているため、TMEmS/V1ECS を利用する上で管理ドメインの登録とその設定は非常に重要です。

ここでは管理ドメインやその設定に関連してサポートセンターに寄せられる質問に対してセクションごとに分け、説明します。

管理ドメインの登録

[管理ドメイン] 管理ドメインとして何を登録すればいいのですか。

管理ドメインとして登録するのは TMEmS/V1ECS で保護するユーザのドメイン (またはそのサブドメイン)、いわゆる内部ドメインです。受信保護であれば宛先に指定されているユーザのメールアドレスのドメイン、送信保護であれば送信者に指定するユーザのメールアドレスのドメインです。

gmail.com や yahoo.com, trendmicro.com など、ユーザが管理できない (DNS やメールサーバを設定できない) 外部のドメインまたは他社のドメインを管理ドメインとして登録しないでください。

[ドメインとサブドメイン] ドメインとそのサブドメインをまとめて管理ドメインとして登録できますか。

管理ドメインはサブドメインも含め、ひとつずつ登録する必要があります。*.example.com などワイルドカードを使用してサブドメインをまとめて登録することはできません。例えばユーザ環境でドメイン example.com 以外に sales.example.com, support.example.com のサブドメインを使用していれば、ドメイン example.com とサブドメイン sales.example.com, support.example.com のドメイン設定をひとつずつ 追加 します。

[管理ドメイン登録数の上限] 管理ドメインはいくつまで登録できますか。

管理ドメインの登録数に特に上限はありません。

[プロビジョニングウィザードにおけるドメインの追加] プロビジョニングウィザードでひとまず適当なドメインを登録できますか。

配送経路を変更 しない限り、管理ドメインの登録が既存の配送環境に影響することはありません。そのため、プロビジョニングウィザード では適当なドメインを登録するのではなく実際のユーザのドメインを登録してください。

[動作検証用ドメインの追加] プロビジョニングウィザードで動作検証用ドメインのみ登録できますか。

配送経路を変更 しない限り、管理ドメインの登録が既存の配送環境に影響することはありません。そのため、動作検証用のドメインで動作を検証した上で実際のドメインでの運用を始めるのであれば、まず プロビジョニングウィザード では実際のユーザのドメインを登録し、その上で [ドメイン] メニューの画面で動作検証用ドメインを管理ドメインとして 追加 して動作を検証してください。

[管理ドメインの登録エラー] ドメイン追加時に「管理対象ドメインを追加できません。このドメインは、すでにTrend Micro Email Security/Cloud Email Gateway Protectionで管理されています。」のエラーメッセージが表示され、追加できません。

こちら のヒントを参照してください。

[管理ドメインと DNS] 管理ドメインを登録する際に DNS 設定の変更作業は発生しますか。

こちら のヒントを参照してください。

管理ドメインの設定変更

[ドメイン設定の変更] 管理ドメインの設定を変更した場合、変更内容が反映されるまで時間がかかりますか。

[ドメイン] メニューにある管理ドメインの設定を変更した場合、5分以内 に変更内容は反映されます。

例えばユーザのメールサーバを現行のIPアドレスのメールサーバから新しいIPアドレスのメールサーバに切り替えるとします。TMEmS/V1ECS 側の設定ではドメイン設定の受信サーバのセクションにおいてユーザのメールサーバのIPアドレスを変更しますが、TMEmS/V1ECS のメールサーバは設定変更後 5分以内 に新しいIPアドレスのメールサーバにメッセージを配送するるようになります。

変更が反映されるまでのあいだ、メッセージは旧IPアドレスのメールサーバに配送されますが、メールサーバの切り替えで設定の変更が反映されるまでに旧メールサーバが停止したとしても、メッセージはいったん TMEmS/V1ECS のキューに保存され、TMEmS/V1ECS の 再送設定 にしたがって再送が試みられます。

最初に再送が試みられるのはキューに保存されてから 5分後 であるため、再送時には変更は反映されており、新しいIPアドレスのメールサーバにメッセージは配送されます。したがって、メッセージが TMEmS/V1ECS のキューにそのまま滞留したり、ロストしたりすることはありません。

[別ドメインの登録] 新たに別のドメインを管理ドメインとして登録するにはどうすればいいですか。

既存の管理ドメインに加え、新たに別のドメイン (サブドメイン) を登録する場合、[ドメイン] メニュー を開き、[追加] ボタンから管理ドメインを登録します。Step 1-3 以降の手順を参考にドメインの追加と設定、各種設定、そして配送経路の切り替えを実施してください。

[Exchange Online への移行] 現在1台のメールサーバで運用していますが、そのメールサーバを Exchange Online に移行する予定です。TMEmS/V1ECS に関連してどのような作業が必要ですか。

ユーザのメールサーバを既存のメールサーバから Exchange Online (Office 365) に変更する場合、以下の作業を順に実施してください。なお、送信保護を利用していない場合は こちら を参照してください。

  1. まず管理コンソールの [ドメイン] メニューの画面で管理ドメインをクリックしてドメイン設定を開き、送信サーバのセクションにある「Office 365」にチェックを入れて [保存] ボタンで設定を保存します。これにより、TMEmS/V1ECS の送信保護のメールサーバは既存のメールサーバに加え、Exchange Online (Office 365) から送信される内部から外部宛のメッセージを受け付けるようになります。

  2. 次に Exchange Online (Office 365) 側でオンラインヘルプ(TMEmS / V1ECS) を参考に受信コネクタを事前に用意します。

  3. 実際にユーザのメールサーバを切り替えるタイミングで再度管理コンソールの [ドメイン] メニューの画面で管理ドメインをクリックし、ドメイン設定を開きます。受信サーバのセクションにおいて、現在設定されている既存のメールサーバのホストまたはIPアドレスを Exchange Online (Office 365) 側で MX レコードに設定するよう指定されているホストに変更します。

    Exchange Online (Office 365) 側で MX レコードに設定するよう指定されているホストが何になるかは事前に Exchange Online (Office 365) 側で確認してください。

    念のために「詳細な設定」をクリックして表示される [接続テスト] ボタンをクリックし、「正常に接続されました。」と表示されることを確認した上で [保存] ボタンで設定を保存します。

    設定が保存されると、外部から内部宛の受信保護のメッセージは Exchange Online (Office 365) のメールサーバに配送されるようになります。

    なんらかの理由で Exchange Online (Office 365) から既存のメールサーバに戻す場合、受信サーバのホストを既存のメールサーバに変更し、設定を保存してください。

  4. 最後に Exchange Online (Office 365) 側でオンラインヘルプ(TMEmS / V1ECS) を参考に送信コネクタを追加し、内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストに配送するよう設定します。

    ユーザのメールサーバの Exchange Online (Office 365) への移行が完了し、既存のメールサーバが内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストに配送することがなければ、管理コンソールの [ドメイン] メニューの画面で管理ドメインをクリックしてドメイン設定を開き、送信サーバのセクションにある「ユーザ指定のメールサーバ」のチェックを外し、設定を保存してください。

[管理ドメインの削除] 現在 TMEmS/V1ECS を利用していますが、利用を停止する場合にはどのような作業が必要ですか。

まず、受信保護を利用している場合には管理ドメインの MX レコードを TMEmS/V1ECS の受信保護のホストから元のホストに変更してください。

また、送信保護を利用している場合にはユーザのメールサーバ側で内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストにリレーしないよう適切に配送設定を変更してください。ユーザのメールサーバとして Office 365 (Microsoft 365) を利用しているのであれば TMEmS/V1ECS 用の送信コネクタは無効化し、送信コネクタを適切に設定してください。

管理ドメインを削除すると隔離されていたメッセージは削除され、ログを確認できなくなります。また、ポリシールールなど、その管理ドメインに関連する設定も削除されます。

そのため、管理ドメインを削除する前に [隔離] > [クエリ] の画面で検索し、[配信] ボタンから必要なメッセージをすべて配送してください。必要な隔離メッセージが配信され、ログや設定等、確認する必要がなければ、最後に [ドメイン] メニューの画面で [削除] ボタンから管理ドメインを削除してください。

管理ドメインを削除した場合、登録時に ドメイン確認 のために DNS に設定した "tmes=<32桁の英数字>" の TXT レコードを削除してください。

  • 管理ドメインの削除後、受信保護のメールサーバに配送される管理ドメイン宛のメッセージおよび送信保護のメールサーバに配送される管理ドメインからのメッセージには "554 5.7.1 ... Recipient address rejected: NO-DOMAIN." の応答が返され、メッセージの受信が拒否 されます。

  • TMEmS/V1ECS のサービス自体を利用しない場合、ディレクトリ同期ツール(TMEmS / V1ECS)をインストールしてユーザディレクトリを同期している環境では、ディレクトリ同期ツール ユーザガイドを参照し、ローカルの Windows サーバにインストールしているディレクトリ同期ツールをアンインストールしてください。

    また、送信保護を利用するなど管理ドメインの SPF レコードに TMEmS/V1ECS の SPF レコードをインクルードしていた場合にはインクルードした TMEmS/V1ECS の SPF レコードを削除してください。

ドメイン設定 (全般)

[ドメイン確認] ドメインの設定画面に「ドメインが確認されていません。 ドメインを所有していることを証明するには、次の手順に従ってください。」のメッセージが表示されています。何が必要でしょうか。

Step 2-1 を参照してください。

"tmes=<32桁の英数字>" の文字列を管理ドメインの DNS に TXT レコードとして追加する以外に、管理ドメインの MX レコードを TMEmS/V1ECS の受信保護のホストである <会社 ID>.in.tmems-jp.trendmicro.com に設定することでドメインの確認が行えますが、MX レコードを変更 するのは最後に 配送経路を切り替える ときです。そのため、DNS に "tmes=<32桁の英数字>" の TXT レコードを用意し、ドメインを確認してください。

[ドメイン確認用の TXT レコード] ドメインが確認されれば DNS に追加した "tmes=<32桁の英数字>" の TXT レコードを削除しても問題ありませんか。

ドメインが確認されれば "tmes=<32桁の英数字>" の TXT レコードを削除しても問題はありませんが、その TXT レコードが存在することの影響は一切ないため、特に削除する必要はありません。

ドメイン設定 (受信サーバ)

[受信サーバの登録] 受信サーバには何を登録するのですか。

こちら を参照してください。

[受信サーバへの接続エラー] ドメイン設定の画面に「受信サーバに接続できません。Trend Micro Email Security/Cloud Email Gateway Protectionを使用してメールメッセージを受信するには、次の手順に従ってください。」のメッセージが表示されています。何が必要ですか。

Step 2-2 を参照してください。

複数の受信サーバが登録されている場合、ひとつでも接続できなければ「受信サーバに接続できません。」と表示されます。

[接続テスト] ドメイン設定の画面にある接続テストでは何が確認できるのですか。

TMEmS/V1ECS のメールサーバから受信サーバに登録されているホストとポートへの TCP 接続の可否を確認できます。

[接続テスト] ボタンをクリックすると、TMEmS/V1ECS は受信サーバに登録されているホストとポートに TCP 接続を試みます。TCP 接続が成功した場合、「正常に接続されました。」と表示され、失敗した場合には「受信サーバに接続できません。」と表示されます。

誤って受信サーバのポートにサブミッションポート (587/tcp) や POP3 ポート (110/tcp) などを設定した場合でも、TCP 接続に成功すればエラーは表示されません。そのため、[接続テスト] ボタンだけでなく「テストメッセージの送信先」に管理ドメインの任意のメールアドレスを入力して [テスト] ボタンをクリックし、テストメールが届くことを念のために確認してください。

[テストメッセージの送信先] 受信サーバの設定を変更し、「テストメッセージの送信先」からテストメールを送信しましたが、変更前の設定でテストメールが届きます。

テストメールは現行の受信サーバの設定にしたがって配送されます。例えば受信サーバのホストを変更して [テスト] ボタンをクリックしたとしても、[保存] ボタンをクリックしない限り、その設定変更は反映されておらず、変更した設定にしたがってテストメールは配送されません。[保存] ボタンをクリックした上で [テスト] ボタンでテストメールを送信する必要があります。

[受信サーバの複数ホストの登録] 受信サーバに複数のホストまたはIPアドレスを登録できますか。

複数のホストまたはIPアドレスを登録できます。こちら の 製品Q&A には複数のホストを登録する例も記載されているので参考として参照してください。

配送時に同時に複数のホストにメッセージを配送することはできません。

[受信サーバのプリファレンス値] プリファレンス値とは何ですか。

プリファレンス値とは優先度です。プリファレンス値が小さいほど優先度は高くなります。逆にプリファレンス値が大きいほど優先度は低くなります。

複数のホストを登録していなければプリファレンス値は関係ありません。10 など適当な値を設定してください。

[プリファレンス値が同一の場合] プリファレンス値が同じ場合、メッセージはどのように配送されますか。

受信サーバに複数のホストが登録されており、そのプリファレンス値が同一の場合、ラウンドロビンで配送先が決定されます。

例えば受信サーバに mail1.example.com と mail2.example.com のホストが登録され、どちらもプリファレンス値が同じである場合、1通目 は mail1.example.com、2通目 は mail2.example.com、3通目 は mail1.example.com、4通目 は mail2.example.com、... のように配送されます。

[プリファレンス値が異なる場合] プリファレンス値が異なる場合、メッセージはどのように配送されますか。

受信サーバに複数のホストが登録されており、そのプリファレンス値が異なる場合、優先度が高い (プリファレンス値が小さい) ホストに優先して配送します。

例えば受信サーバに mail1.example.com (プリファレンス値: 10) と mail2.example.com (プリファレンス値: 20)、mail3.example.com (プリファレンス値: 30) の 3台 のホストが登録されている場合、TMEmS/V1ECS のメールサーバはすべてのメッセージに対して優先度が高い mail1.example.com のホストにまず配送を試みます。

もし mail1.example.com のメールサーバが停止しており、メッセージの配送に失敗した場合、TMEmS/V1ECS のメールサーバは即座に次に優先度の高い mail2.example.com に配送を試みます。mail2.example.com のメールサーバも停止していれば、TMEmS/V1ECS のメールサーバは即座に mail3.example.com に配送を試みます。

すべてのホストが停止しておりメッセージの配送に失敗すれば、メッセージはいったんキューに保存され、最長 10日間 再送 が試みられます。

[複雑な設定] 個別のメールアドレスごとに受信サーバを設定できるようですが、メッセージはどのように配送されますか。

受信サーバの設定では以下の条件で配送先が決定されます。

  • メッセージの宛先と設定の受信者の合致
  • 優先度 (プリファレンス値)

例えば受信サーバが以下のように設定されているとします。

 IPアドレスまたはFQDNポートプリファレンス値
*@example.com192.0.2.12520
john@example.com203.0.113.12510
sophie@example.com203.0.113.22520
taro@example.com198.51.100.12550

まず、メッセージの宛先が john@example.com の場合、*@example.comjohn@example.com の受信サーバの設定が宛先と合致しますが、john@example.com の優先度 (プリファレンス値: 10) の方が *@example.com の優先度 (プリファレンス値: 20) より高いため、メッセージは 203.0.113.1 に配送されます。また、203.0.113.1 に接続できない場合、192.0.2.1 に配送されます。

次に、メッセージの宛先が sophie@example.com の場合、*@example.comsophie@example.com の受信サーバの設定が宛先と合致しますが、いずれの優先度もプリファレンス値が 20 で同一のため、メッセージは 192.0.2.1 と 203.0.113.2 にラウンドロビンで配送されます。1通目 が 192.0.2.1 に配送されたのであれば 2通目 は 203.0.113.2 に配送され、3通目は 192.0.2.1 にふたたび配送されます。また、203.0.113.2 に接続できない場合、常に 192.0.2.1 に配送されます。

メッセージの宛先が taro@example.com の場合、*@example.comtaro@example.com の受信サーバの設定が宛先と合致しますが、*@example.com の優先度 (プリファレンス値: 20) の方が taro@example.com の優先度 (プリファレンス値: 50) より高いため、メッセージは 192.0.2.1 に配送されます。また、192.0.2.1 に接続できない場合、198.51.100.1 に配送されます。

メッセージの宛先が hanako@example.com の場合、*@example.com の受信サーバの設定のみ宛先と合致するため、メッセージは常に 192.0.2.1 に配送されます。

[受信サーバの Exchange Online への移行] 現在1台のメールサーバで運用していますが、そのメールサーバを Exchange Online に移行する予定です。送信保護は利用していませんが、TMEmS/V1ECS に関連してどのような作業が必要ですか。

送信保護を利用しておらず受信保護のみ利用している環境でユーザのメールサーバを既存のメールサーバから Exchange Online (Office 365) に変更する場合、以下の作業を順に実施してください。

  1. まず Exchange Online (Office 365) 側でオンラインヘルプ(TMEmS / V1ECS)を参考に受信コネクタを事前に用意します。

  2. 次に、実際にユーザのメールサーバを切り替えるタイミングで再度管理コンソールの [ドメイン] メニューの画面で管理ドメインをクリックし、ドメイン設定を開きます。受信サーバのセクションにおいて、現在設定されている既存のメールサーバのホストまたはIPアドレスを Exchange Online (Office 365) 側で MX レコードに設定するよう指定されているホストに変更します。

    Exchange Online (Office 365) 側で MX レコードに設定するよう指定されているホストが何になるかは事前に Exchange Online (Office 365) 側で確認してください。

    念のために「詳細な設定」をクリックして表示される [接続テスト] ボタンをクリックし、「正常に接続されました。」と表示されることを確認した上で [保存] ボタンで設定を保存します。

    設定が保存されると、外部から内部宛の受信保護のメッセージは Exchange Online (Office 365) のメールサーバに配送されるようになります。

    なんらかの理由で Exchange Online (Office 365) から既存のメールサーバに戻す場合、受信サーバのホストを既存のメールサーバに変更し、設定を保存してください。

ドメイン設定 (送信サーバ)

[送信サーバの設定] 送信サーバはどのような場合に設定するのですか。

外部から内部宛のメッセージだけでなく (受信保護)、内部から外部宛のメッセージも TMEmS/V1ECS で保護したい場合、つまり 送信保護を利用する場合 に送信サーバを設定します。受信保護のみ利用するのであれば送信サーバの設定は必要ありません。

[Office 365] どのような場合に送信サーバに「Office 365」を選択しますか。

ユーザのメールサーバとして Exchange Online も含めて Office 365 (Microsoft 365) を利用している場合に選択します。

[Google Workspace] どのような場合に送信サーバに「Google Workspace」を選択しますか。

ユーザのメールサーバとして Google Workspace (Google G Suite) を利用している場合に選択します。

[ユーザ指定のメールサーバ] どのような場合に送信サーバに「ユーザ指定のメールサーバ」を選択しますか。

ユーザ自身またはサービスプロバイダが提供するホスティングサービスを利用してメールサーバを運用している場合、あるいはユーザのメールサーバとしてサービスプロバイダが提供するメールサービス (Office 365 および Google Workspace 以外) を利用している場合、「ユーザ指定のメールサーバ」を選択し、送信元となるメールゲートウェイのIPアドレスをすべて登録します。

[複数の送信サーバ] 自身で運用しているメールサーバのほかに Office 365 も利用しています。送信サーバに「Office 365」と「ユーザ指定のメールサーバ」の両方を選択することは可能ですか。

可能です。

[ユーザ指定のメールサーバに登録するIPアドレス] 送信サーバに「ユーザ指定のメールサーバ」を選択した場合、どのようなIPアドレスを登録すればいいのですか。

「ユーザ指定のメールサーバ」にはユーザのメールゲートウェイとなるグローバルIPアドレス (TMEmS/V1ECS から見て送信元となるIPアドレス) を登録します。ユーザ環境から配送先のメールサーバにメッセージを配送した場合にメールゲートウェイのIPアドレスか何になるかはネットワークの管理者やサービスプロバイダに確認してください。

[ユーザ指定のメールサーバに登録するIPアドレスの上限] メールサーバとしてサービスプロバイダが提供するメールサービスを利用しており、複数のIPアドレスからメッセージは配送されますが、「ユーザ指定のメールサーバ」にいくつまでIPアドレスを登録できるのですか。

「ユーザ指定のメールサーバ」に登録可能なIPアドレス数の上限は 100 です。

IPアドレスはひとつずつ追加する必要があり、IPアドレスの範囲では登録できません。

[SPF レコードのエラー] ドメイン設定の画面に「Trend Micro Email Security/Cloud Email Gateway ProtectionサーバがSPFレコード内にありません。 Trend Micro Email Securityを使用してメールメッセージを送信するには、次の手順に従ってください。」のメッセージが表示されています。何が必要ですか。

Step 2-3 を参照してください。

[送信保護の有効化] これまで受信保護のみ利用してきましたが、送信保護も利用したいと考えています。その場合、TMEmS/V1ECS に関連してどのような作業が必要ですか。

送信保護を利用する場合、以下の作業を順に実施してください。

  1. まず管理コンソールの [ドメイン] メニューの画面で管理ドメインをクリックしてドメイン設定を開き、こちら を参考に送信保護を有効化し、送信サーバを設定します。

  2. 次に Step 2-3 を参考に管理ドメインの DNS に適切な SPF レコードを用意してください。

  3. [送信保護設定] にあるポリシールール等の各種設定を設定します。

  4. 最後に Step 4-2 を参考にユーザのメールサーバにおいて内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストにリレーするよう設定します。

[送信保護の無効化] これまで受信保護と送信保護を利用してきましたが、今後、受信保護のみ利用したいと考えています。その場合、TMEmS/V1ECS に関連してどのような作業が必要ですか。

まず、ユーザのメールサーバにおいて内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストにリレーしないよう設定してください。一時的に送信保護を利用しないのであれば、この作業だけで十分です。

ユーザのメールサーバが Office 365 (Microsoft 365) の場合、Office 365 側で TMEmS/V1ECS 用の送信コネクタを無効化し、送信コネクタを適切に設定してください。

ユーザのメールサーバが Google Workspace (Google G Suite) や sendmail や Postfix などの MTA で構築された一般のメールサーバの場合、Google Workspace や MTA 側で内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストにリレーしないよう適切に配送設定を変更してください。

一時的ではなく恒久的に送信保護を利用しないのであれば、さらに管理コンソールの [ドメイン] メニューの画面で管理ドメインをクリックしてドメイン設定を開き、「送信保護を有効にする」のチェックを外して送信保護を無効化して設定を保存します。また、管理ドメインの SPF レコードからインクルードした TMEmS/V1ECS の SPF レコードを削除してください。

[送信保護のみ利用] 受信保護は利用せず送信保護のみ利用したいと考えています。送信保護のみ利用することは可能ですか。

可能です。

管理ドメインの MX レコードを TMEmS/V1ECS の受信保護のホストに設定しなければ、外部から内部宛のメッセージが受信保護で取り扱われることはありません。したがって送信保護のみ利用するのであれば、ドメイン設定を適切に設定した上で、MX レコードは TMEmS/V1ECS に変更せず、ユーザのメールサーバ側で内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストにリレーするよう設定します。

管理ドメインには MX レコード または A レコード (AAAA レコード) が DNS に設定されている必要があります。詳しくは こちら を参照してください。

キーワード: Trend Micro Email Security TMEmS