ビュー:

Trend Micro Email Security (TMEmS) と Trend Vision One Email and Collaboration Security - Cloud Email Gateway Protection (V1ECS) は、送信者と受信者のメールサーバ間に配置され、その間の SMTP トラフィックを保護対象とするクラウド型 (SaaS) のメールセキュリティ製品です。

TMEmS/V1ECS では外部から内部宛の受信メッセージに対してセキュリティ対策を提供する受信保護(TMEmS / V1ECS)と、内部から外部宛の送信メッセージに対してセキュリティ対策を提供する送信保護(TMEmS / V1ECS) に分かれており、ユーザ環境における既存のメールゲートウェイに代わり、一般的には次のような配送経路上に TMEmS/V1ECS は配置されます。

受信保護 (外部から内部宛)
送信者のメールサーバ → TMEmS/V1ECS → ユーザのメールサーバ → メールボックス
送信保護 (内部から外部宛)
メールクライアント → ユーザのメールサーバ → TMEmS/V1ECS → 受信者のメールサーバ

TMEmS/V1ECS では管理コンソールやメールサーバ等、製品で使用するコンポーネントはすべてトレンドマイクロのデータセンターに配置されており、オンプレミス型の製品のようにユーザがサーバを用意して製品をインストールする必要はありません。

以下の条件を満たした環境であれば、原則 TMEmS/V1ECS を利用できます。

  • Office 365 (Microsoft 365) と Google G Suite (Google Workspace) などのクラウドベースのメールサービスも含め、SMTP およびインターネットメールの仕様に準拠しているメールサーバ (SMTP サーバ) がドメインに用意されており、ユーザがそのメールサーバを設定可能である
  • ユーザがドメインの DNS リソースレコード (MX や TXT レコード) を設定可能である
  • ユーザのクライアントマシン上でシステム要件(TMEmS / V1ECS)を満たしたブラウザを使用している

配送経路を変更 しない限り、TMEmS/V1ECS がメッセージを処理することはなく既存の配送に影響することはありません。TMEmS/V1ECS のライセンス取得後、まずプロビジョニングや各種設定を実施し、設定が完了したタイミングで最終的に配送経路を切り替えてください。

TMEmS/V1ECS を導入するにあたり、ユーザドメインの DNS において以下の設定が必要となります。

"tmes=<32桁の英数字>" の TXT レコード と SPF レコードはドメイン設定時に DNS に設定します。一方、MX レコードはポリシールール等の設定が完了し、外部から内部のメッセージが TMEmS/V1ECS を経由するよう配送経路を切り替えるタイミングで DNS に設定します。

通常、各サイトの DNS サーバ (キャッシュサーバ) は DNS のリソースレコードに設定された TTL (Time To Live) の時間、クエリ結果をキャッシュしています。例えば MX レコードの TTL に 86400 秒 (24時間) が設定されている場合、配送経路を切り替える際 (あるいはなんらかの理由で元の配送経路に切り戻す際) に MX レコードを変更してもインターネットに反映されるには最長 24時間 かかります。

そのため、ドメイン設定時における DNS の設定作業のタイミングで MX レコードの TTL を 300 秒 (5分) など小さい値に設定しておくことを推奨します。

Step 1 プロビジョニングとドメインの追加

まず TMEmS/V1ECS の管理コンソールにログインし、プロビジョニングウィザードでプロビジョニング(TMEmS / V1ECS) を実施後、管理ドメインを追加(TMEmS / V1ECS) します。TMEmS の管理コンソールのURLについては こちらのオンラインヘルプ でご紹介しております。V1ECS の管理コンソールは、Trend Vision Oneコンソール になります。ログイン後、 [Email and Collaboration Security] > [Cloud Email Gateway Protection] から設定いただくことになります。

Step 1-1 管理コンソールへのログイン

Customer Licensing Portal または Licensing Management Platform を利用した初回ログイン(TMEmSのみ)

管理コンソールにログインするにはライセンス発行後、Customer Licensing Portal (CLP) または Licensing Management Platform (LMP) にログインし、「キーを入力」からレジストレーションキーを入力して TMEmS のライセンスをアクティベートします。ライセンスのアクティベート後、「コンソールを開く」をクリックすると TMEmS の管理コンソールが開きます。

CLP アカウントのユーザはここで TMEmS で使用する データセンター (提供元サイト) を選択できます。通常、日本のデータセンターを選択しますが、詳しくは こちら を参照してください。

Customer Licensing Portal (CLP) と Licensing Management Platform (LMP)、のどちらを利用するかはライセンスの発行元によって異なります。トレンドマイクロが発行するライセンスを購入している場合には CLP を使用し、サービスプロバイダが発行するライセンスを購入している場合には LMP を使用します。

あるいは、直接 TMEmS 管理コンソールの URL をブラウザに指定し、CLP または LMP アカウントのユーザ名とパスワードを使用してログインすることも可能です。管理コンソールの URL は CLP と LMP で異なります。

アクティベーションリンクを利用した初回ログイン

管理コンソールにログインするにはライセンス購入後に電子納品される「証書」に記載されたアクティベーションリンクをクリックして TMEmS/V1ECS のライセンスをアクティベートします。ライセンスのアクティベート後、Trend Vision One コンソールにログインいたします。TMEmS をご利用の場合、その後、Trend Vision One コンソールの [Administration] > [License Information] から TMEmS のライセンス情報欄にあります 「コンソールを開く」をクリックすることで、 TMEmS の管理コンソールへ移動いたします。

アクティベーションリンクを利用した初回ログイン方法について、詳しくは こちら を参照してください。

Step 1-2 プロビジョニング

次にプロビジョニングウィザードへの情報登録を行います。プロビジョニング(TMEmS / V1ECS)では以下を登録します。

管理者プロファイルの登録(TMEmSのみ)

管理者プロファイルでは TMEmS の管理者の名前とメールアドレスを入力します。

メールアドレスが正しいことを確認するため、入力したメールアドレスには確認のメールが送信されます。確認メールが届いたら本文にある確認のリンクをクリックしてください。

管理者プロファイルに指定したメールアドレスはポリシー通知に使用されます。管理コンソールの [管理] > [ポリシーオブジェクト] > [通知] の通知設定において宛先に「管理者」が指定されており、ポリシールールの処理設定でその通知設定が選択されたポリシールールによりメッセージが検出されると、管理者プロファイルに指定したメールアドレス宛に通知が送信されます。

管理者プロファイルの情報はプロビジョニング後、管理コンソール右上にあるユーザ名 (アカウント名) をクリックして表示される「プロファイル」の画面からいつでも変更できます。

会社 ID の登録

会社 ID にはユニークな (一意の) 文字列を入力します。入力した会社 ID がすでに他のユーザに使用されている場合、登録できません。

また、会社 ID はドメインの MX レコードに指定する受信保護のメールサーバ、およびユーザのメールサーバ側でリレー先として指定する送信保護のメールサーバ、それぞれのホスト名の一部となります。そのため、会社 ID に指定する文字列はインターネットのホスト名に準拠した、3文字 から 63文字 以内、数字とアルファベット、そして "-" (ハイフン) で構成されている必要があります。

  • 一度登録した会社 ID を変更できません。
  • オンラインヘルプでは会社 ID がホスト名の一部として使用される場合、"<company_identifier>" と代替して表記されます。例えば MX レコードに指定する受信保護のメールサーバのホスト名は、オンラインヘルプでは <company_identifier>.in.tmems-jp.trendmicro.com と表記されます。もし会社 ID が "example" であれば MX レコードに指定するホスト名は example.in.tmems-jp.trendmicro.com となります。
  • 登録した会社 ID は管理ドメインの追加後ドメイン メニューにあるドメイン設定で確認できます。例えば 受信サーバ のセクションにある「詳細な設定」をクリックし、MX レコードに指定する受信保護のメールサーバのホスト名が example.in.tmems-jp.trendmicro.com と表示されていれば、あるいは 送信サーバのセクションにある「詳細な設定」をクリックし、送信保護のメールサーバのホスト名が example.relay.tmems-jp.trendmicro.com と表示されていれば、会社 ID は "example" であることがわかります。

Step 1-3 管理ドメインの追加

TMEmS/V1ECS では受信者に管理ドメインとして登録されたドメインのメールアドレスが指定されていること (受信保護) や送信者に管理ドメインとして登録されたドメインのメールアドレスが指定されていること (送信保護) などが、TMEmS/V1ECS がメッセージを受信して処理する 条件 となります。

そのため、ユーザドメイン (内部ドメイン) を管理ドメインとして登録します。ユーザ環境で複数のドメインやサブドメインを運用している場合、まずひとつドメインを登録してください。

プロビジョニング 完了後や ドメイン メニュー の画面で [追加] ボタンをクリックすると、「ドメインを追加」の画面が表示されます。

ドメイン設定の画面は以下のセクションに分かれていますので順に設定します。

全般

全般 のセクションでは管理ドメインのドメイン名を入力します。

「初期設定のドメインレベルのポリシーの作成をスキップする」のチェックボックスは初期設定でチェックされています。通常チェックを外す必要はありません。自動的に組織レベルの 初期設定のポリシールール が作成されます。

受信サーバ

次に 受信サーバ のセクションでは受信保護のメッセージ (外部から内部宛のメッセージ) の配送先 (ユーザのメールサーバあるいはメールゲートウェイ) をホスト名 (FQDN) またはグローバルIPアドレスで指定します。

通常、ドメインの現行の MX レコードに指定されているホストを入力します。これにより、TMEmS/V1ECS の受信保護方向でメールがスキャンされた後、MXレコードに指定されているホストにメールが配送されるようになります。

例えば以下のようにユーザのドメイン example.com の MX レコードがひとつだけ設定されているとします。

example.com.	300	IN	MX	10 mail.example.com.

 

その場合、受信サーバは次のように設定します。

 

 IPアドレスまたはFQDNポートプリファレンス値
*@example.commail.example.com2510

あるいは、ユーザ環境によってはメールサーバに冗長性を持たせるため、以下のように複数の MX レコードを登録している場合があります。

example.com.	300	IN	MX	10 mail1.example.com.
example.com.	300	IN	MX	20 mail2.example.com.

 

この場合、[+] ボタンをクリックし、次のように mail1.example.com と mail2.example.com を入力します。

 

 IPアドレスまたはFQDNポートプリファレンス値
*@example.commail1.example.com2510
*@example.commail2.example.com2520

  • TMEmS/V1ECS は SMTP トラフィックを対象にセキュリティを提供する製品です。原則、ポート番号には SMTP ポートである 25 を指定します。

    SMTP では宛先のドメインのメールサーバ (ユーザのメールサーバ) にメッセージを配送する際、サブミッションポート (587/tcp) が使用されることはありません。ポートにサブミッションポートを指定しないでください。

    また、POP3 サーバや IMAP サーバのホストとポート (110/tcp や 143/tcp) など、SMTP サーバ以外のホストとポートを指定しないでください。

  • 複数のホストまたはIPアドレスを設定した場合、プリファレンスの値が小さいほど優先度は高くなります。上記例では mail1.example.com (プリファレンス値 10) が mail2.example.com (プリファレンス値 20) のホストより優先されてメッセージが配送されます。

    プリファレンス (優先度) が同一の場合、ラウンドロビンでメッセージは各ホストに交互に配送されます。

  • ドメインの現行の MX レコードに「他のクラウド型メールサービスのホスト名」を指定している場合、当該クラウド型メールサービスから TMEmS/V1ECS へ切り替えられる前提であれば、受信サーバには「本来のユーザのメールサーバのホストまたはIPアドレス」を指定いただくことになります。受信サーバに何を設定するかはお客様環境のメール配送経路のご要件に依存いたします。メール配送経路のご要件をご確認のうえ、適切な受信サーバの設定をお願いいたします。

送信サーバ

送信サーバ のセクションでは送信保護の有無 (有効化するか無効化するか) と、送信保護を有効化した場合には内部から外部宛のメッセージをユーザのメールサーバから TMEmS/V1ECSの送信保護のホストに配送する際に接続元となるユーザのメールサーバまたはメールゲートウェイのグローバルIPアドレスをすべて登録します。

送信保護を利用する場合、まず「送信保護を有効にする」にチェックを入れ、送信保護を有効化します。

次に、ユーザのメールサーバが Office 365 (Microsoft 365) であれば「Office 365」、Google Workspace (Google G Suite) であれば「Google Workspace」を選択します。

ユーザのメールサーバが Office 365 (Microsoft 365), Google Workspace (Google G Suite) 以外のサービスや独自に構築されたメールサーバの場合、「ユーザ指定のメールサーバ」を選択し、ユーザのメールサーバまたはメールゲートウェイのグローバルIPアドレスをひとつずつ [+] ボタンで追加します。最大 100個 までIPアドレスを登録できます。

各リージョン (各データセンター) でひとつのドメインを管理ドメインとして登録できるのはひとつのアカウントのみです。複数のアカウントで同じドメインを管理することはできません。あるアカウントですでに登録されているドメインを別のアカウントで登録しようとすると、以下のメッセージが表示されて登録することはできません。

管理対象ドメインを追加できません。このドメインは、すでにTrend Micro Email Security/Cloud Email Gateway Protectionで管理されています。

ドメイン登録時に上記メッセージが表示される場合には以下の情報とともにサポートセンターまで連絡ください。

  • 登録を試みたドメインのドメイン名
  • 登録を試みたアカウントのログイン ID (Customer Licensing Portal / Licensing Management Platform のアカウント名, または Trend Vision One コンソールの Master Administrator のアカウント名)
  • 過去に体験版など別のライセンスを利用したことがあれば、そのアカウントのログイン ID (Customer Licensing Portal / Licensing Management Platform のアカウント名, または Trend Vision One コンソールの Master Administrator のアカウント名)

Step 2 管理ドメインの設定

ドメインが追加されると ドメイン メニューに管理ドメインが表示されます。

ドメイン設定では以下をチェックしており、そのチェックに失敗した場合、ドメイン名であれば「ドメイン名」、接続性と MX レコードであれば「受信サーバ」、そして SPF レコードであれば「送信サーバ」に赤色で (!) のマークが表示され、「ステータス」に 設定が必要 と表示されます。

ドメインをクリックして設定画面を開き、それぞれ必要な作業を実施します。

MX レコードは最終的にポリシールール等、すべての設定完了後に配送経路を切り替える際に変更するため、それまで MX レコードが確認できなくても問題ありません。

Step 2-1 ドメインの確認

登録したドメインのステータスが確認されていない場合、全般 のセクションには次のように表示されます。

ドメインが確認されていません。 ドメインを所有していることを証明するには、次の手順に従ってください。

ドメインを確認するには「➊ ドメインのDNS設定に次のTXTレコードを追加します。」に記載されている "tmes=<32桁の英数字>" の文字列を管理ドメインの DNS に TXT レコードとして追加します。

TXT レコード追加後に [確認] ボタンをクリックすると、「ドメインが確認されました。」というメッセージが表示されます。

ドメインステータスが確認されていない場合、ポリシールールの受信者と送信者の設定においてドメインを設定できなかったり、InterScan MSS/IMSVA から設定が移行されない可能性があります。

    Step 2-2 受信サーバとの接続性の確認

    TMEmS/V1ECS から 受信サーバ に登録したユーザのメールサーバとなるホストまたはIPアドレスのポートに接続できない場合、受信サーバのセクションには次のように表示されます。

    受信サーバに接続できません。
    ...
    Trend Micro Email Security/Cloud Email Gateway Protectionを使用してメールメッセージを受信するには、次の手順に従ってください。

    受信サーバ に指定したユーザのメールサーバのホストまたはIPアドレスに間違いがないか、ポートに 25 以外が設定されていないか、確認してください。

    また、ユーザのメールサーバやメールゲートウェイのファイアウォールで接続元を制限している場合、「➊ 次のTrend Micro Email Security/Cloud Email Gateway Protectionサーバのメールメッセージを受け取るようファイアウォールを設定します。」に記載されている TMEmS/V1ECS のIPアドレス (IPアドレスの範囲) をユーザのメールサーバやファイアウォールで許可してください。

    なお、TMEmS/V1ECS のIPアドレスはオンラインヘルプ( TMEmS / V1ECS)の 手順2 にも記載されています。

    設定等を見直した上で [接続テスト] ボタンをクリックします。接続性に問題がなければ「正常に接続されました。」と表示されます。

    接続性が確認されたら、「テストメッセージの送信先」に管理ドメインの任意のメールアドレスを入力して [テスト] ボタンをクリックすることでテストメールを送信できます。テストメールが届くか、確認してください。テストメールの配送状況は ログ > メール追跡 の画面で 検索 して確認できます。

    Step 2-3 SPF レコードの確認

    送信保護が有効な場合 (送信保護を利用する場合)、既存の SPF レコードに TMEmS/V1ECS の SPF レコードがインクルードされていなければ 送信サーバ のセクションには次のように表示されます。

    Trend Micro Email Security/Cloud Email Gateway ProtectionサーバがSPFレコード内にありません。 Trend Micro Email Security/Cloud Email Gateway Protectionを使用してメールメッセージを送信するには、次の手順に従ってください。

    送信保護を利用する場合、オンラインヘルプ(TMEmS / V1ECS)を参考に管理ドメインの DNS に適切な SPF レコードを用意してください。

    インクルードする TMEmS/V1ECS の SPF レコードは「➊ ドメインにSPFレコードがある場合は、次のレコードが含まれていることを確認してください。」に記載されていますが、通常 spf.tmems-jp.trendmicro.com です。

    ドメインに既存の SPF レコードが存在する場合、次のように既存の SPF レコード に TMEmS の SPF レコードをインクルードする記述 (include:spf.tmems-jp.trendmicro.com) を追加します。

    "v=spf1 ip4:203.0.113.100 include:spf.tmems-jp.trendmicro.com include:spf.protection.outlook.com ~all"

    ドメインに SPF レコードが用意されていない場合、「SPFレコードが確認されました。 詳細な設定をチェックします。」と表示され、エラーメッセージは表示されません。

    その場合には管理ドメインの DNS に新規に SPF レコードを設定してください。例えばメールゲートウェイのIPアドレスが 203.0.113.1 であれば、以下のように 203.0.113.1 と TMEmS/V1ECS の SPF レコードをインクルードした TXT レコードをドメインの DNS に設定します。

    "v=spf1 ip4:203.0.113.1 include:spf.tmems-jp.trendmicro.com ~all"

    SPF レコード追加後に [確認] ボタンをクリックすると、「正常に確認されました。」というメッセージが表示されます。

    • 送信保護を利用しない場合でも 不達メール継続管理 の機能を利用してメッセージを外部に送信する場合、SPF レコードを用意する必要があります。

    • SPF レコード末尾の修飾子によって SPF の判定結果は異なります。

      例えば末尾に "-all" が設定されていれば SPF の検証に失敗した場合、"Fail" と判定されます。一方、末尾に "~all" が設定されていれば SPF の検証に失敗した場合、"Softfail" と判定されます。SPF に関する詳細は参考情報として 製品Q&A やWebのリソースを参照してください。

    • 従来 SPF レコードとして spf.tmes.trendmicro.com が用意されていましたが、2024/2/22 に実施されたメンテナンス以降、日本のデータセンターを利用するユーザ向けに新しい SPF レコード spf.tmems-jp.trendmicro.com が用意されました。

    Step 3 各種設定

    ドメインの設定がいったん完了したら、ユーザ環境に合わせてポリシールール等、以下の主な設定を行います。

    InterScan MSS/IMSVA を利用しているユーザであれば、TMEmSへの移行  または V1ECSへの移行 への準備を進め、必要な作業を実施してください。

    Step 4 配送経路の切り替え

    設定が完了したら、内部から外部宛のメッセージ (受信保護) と外部から内部宛のメッセージ (送信保護) が TMEmS/V1ECS のメールサーバを経由して配送されるよう配送経路を切り替えます。

    Step 4-1 受信保護 (MX レコードの変更)

    受信保護では管理ドメインの MX レコードを TMEmS/V1ECS の受信保護のホストである <会社 ID>.in.tmems-jp.trendmicro.com に変更し、配送経路を切り替えます。

    まず、管理ドメインの MX レコードに TMEmS/V1ECS の受信保護のホストが設定されていない状況では管理コンソールの ドメイン メニューにある管理ドメインをクリックすると、受信サーバ のセクションに以下のメッセージが表示されています。

    MXレコードがTrend Micro Email Security/Cloud Email Gateway Protectionサーバを指すように設定されていません。
    Trend Micro Email Security/Cloud Email Gateway Protectionを使用してメールメッセージを受信するには、次の手順に従ってください。

    MX レコードに設定する TMEmS/V1ECS の受信保護のホストは「➌ 次のTrend Micro Email Security/Cloud Email Gateway Protectionサーバを、プリファレンス値が最小のドメイン内のMXレコードとして設定します。」に記載されており、通常 <会社 ID>.in.tmems-jp.trendmicro.com です。

    管理ドメインの DNS において管理ドメインの MX レコードを <会社 ID>.in.tmems-jp.trendmicro.com に変更してください。例えば管理ドメインが example.com、会社 ID が "example" であれば以下のような MX レコードを設定します。

    example.com.	300	IN	MX	10 example.in.tmems-jp.trendmicro.com.

    MX レコードを設定後、ドメイン設定において 受信サーバのセクションにある [確認] ボタンをクリックすると、「正常に確認されました。」と表示されます。

    MX レコードが TMEmS/V1ECS のホストに変更されると、外部から内部宛のメッセージは送信者のメールサーバから TMEmS/V1ECS の受信保護のホストに配送されるようになります。TMEmS/V1ECS が受信したメッセージは受信保護の各設定にしたがって検索され、メッセージが隔離されたり削除されなければユーザのメールサーバに配送されます。

    処理されたメッセージは管理コンソールの ログ > メール追跡 の画面で方向に「受信」を選択して 検索 できます。

    • ユーザのメールサーバが Office 365 (Microsoft 365) の場合、MX レコードの変更に加え、オンラインヘルプ(TMEmS / V1ECS) を参考に必ず受信コネクタを追加します。受信コネクタが用意されていない場合、Office 365 のグレーリストに登録され、メッセージの遅延を引き起こす可能性があります。

    • 外部から内部宛のメッセージに対して接続元を TMEmS/V1ECS のメールサーバに制限するのであれば、ユーザのメールサーバまたはメールゲートウェイのファイアウォールで TMEmS/V1ECS のIPアドレスのみから接続を許可するよう設定してください。

      日本のユーザ向けのIPアドレス (IPアドレスの範囲) は、オンラインヘルプ(TMEmS / V1ECS)にある 手順2 の「日本」に記載されています。

    Step 4-2 送信保護 (ユーザのメールサーバの設定変更)

    送信保護を利用する場合、ユーザのメールサーバにおいて内部から外部宛のメッセージが TMEmS/V1ECS の送信保護のホストとなる <会社 ID>.relay.tmems-jp.trendmicro.com にリレーするよう設定し、配送経路を切り替えます。

    TMEmS/V1ECS の送信保護のホストは管理コンソールの ドメイン メニューにある管理ドメインの設定画面において 送信サーバ のセクションに記載されています。「詳細な設定」のリンクをクリックし、「➌ 送信メールサーバを次のTrend Micro Email Security/Cloud Email Gateway Protectionサーバにルーティングします。」に記載されているホストを確認してください。通常 <会社 ID>.relay.tmems-jp.trendmicro.com です。

    ユーザのメールサーバが Office 365 (Microsoft 365) の場合、Office 365 側でオンラインヘルプ(TMEmS / V1ECS) を参考に送信コネクタを追加し、内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストに配送するよう設定します。

    ユーザのメールサーバが Google Workspace (Google G Suite) の場合、Google Workspace 側で内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストに配送するよう設定します。

    ユーザのメールサーバが sendmail や Postfix などの MTA で構築された一般のメールサーバの場合、MTA 側で内部から外部宛のメッセージを TMEmS/V1ECS の送信保護のホストに配送するよう設定します。

    設定変更後、内部から外部宛のメッセージは TMEmS/V1ECS のホストに配送され、TMEmS/V1ECS は送信保護設定にしたがってメッセージを検索し、宛先のメールサーバに配送します。

    処理されたメッセージは管理コンソールの ログ > メール追跡 の画面で方向に「送信」を選択して 検索 できます。

    キーワード: Trend Micro Email Security TMEmS