こんにちは、yagiです。
Cloudflare の Zero Trust 製品群には、Cloudflare Area1 というEメールセキュリティ強化の製品があります。
電子メールのセキュリティについて、その中でも悪意ある攻撃メールや業務に支障をきたす大量のスパムなどを検疫フォルダへ事前に隔離したり、メール内の怪しいURLのリンクをクリックできないように事前に書き換えるdefang機能が使えたりなど、セキュリティ強化のために非常に有用な機能がいくつかありますので、代表的な機能をご紹介したいと思います。
なおここではインライン方式と呼ばれる、Area1 を MX レコードに登録して、Office 365のメールボックスに受信メールが到達する前に中継させる方式で実装しています。
Deploy and configure Microsoft Office 365 with Area 1 as the MX Record
前提
Cloudflare Area1 については、これまでにも以下の記事にて紹介されています。
Cloudflare Area1 の実装方式には、インライン方式とAPI方式の2つがあります。
上記記事はいずれも、API方式と呼ばれる実装方法となっています。Area1 をMX レコードへ登録する必要がない方式となっているため、メールの転送経路への変更がなく設定による影響が比較的軽微で済むというメリットがあります。ただし、メールが受信ボックスに届く前にArea1 による評価をすることができません。
一方でインライン方式はArea1 を MX レコードに登録して、Office 365のメールボックスに受信メールが到達する前に中継させる方式となっているため、メールが受信ボックスへ届く前に評価できるというメリットがあります。
今回はこのインライン方式による実装で、Cloudflare Area1 を導入してどのように組織のEメールセキュリティが強化できるのかについて、ご紹介をしたいと思います。
Office 365 の設定
IP許可リストの登録
Area1 の IP アドレスを許可リストに追加するため、Office 365 の Microsoft 365 Defender メニューの「ポリシーとルール」から脅威ポリシー > スパム対策ポリシーを選択し、接続フィルターポリシーのIP許可一覧へ、Area1 の IP アドレスを登録します。
SPFの 「hard fail」の無効化
次に、Area1 の設定手順の推奨に従い、SPFの 「hard fail」 を無効にします。
この設定により Office 365 側でメール受信の際に、SPFレコード不一致による hard fail (受信時にメールが迷惑メールフォルダに入ったり、受信拒否したりする)を無効化しています。
受信コネクタの作成と、拡張フィルタリング構成の有効化
次に、Office 365 の Exchange 管理センター メニューに移動し、受信コネクタの作成と、拡張フィルタリング構成を有効にします。
この設定をすることで、Area1にてメッセージを受信した後に、Office 365側で元の接続IPを適切に把握することができるようになります。(Office 365側でのSPF分析のため)
Area1 の設定
検疫フォルダへの隔離ポリシーの設定
Area1側のEmail の Overview から、Eメール の Detection の状況を確認することができます。
検出されたEメールは以下のようにカテゴライズされます。
- Malicious
- SPAM
- BILK
- SUSPICIOUS
- SPOOF
上記のカテゴライズをもとに、Area1の推奨シナリオに基づいて、隔離ポリシーの設定を行います。
カテゴリはEmail Configuration の Domains の Edit Domain の Quarantine Policy から選択して設定可能となっています。
ここで設定された対象カテゴリのEメールは以下のように検疫フォルダへ隔離され、管理者から確認できます。ユーザーからは直接確認することができません。
Email の Admin Quarantine より確認ができます。
なお確認して必要であるメールについては受信ボックス宛へReleaseすることも可能です。
ここで設定対象外とした、BULK および SUSPICIOUS を含む隔離対象外のメールについて、 Office 365 側の設定でユーザーの Office 365 の Outlook の迷惑フォルダに入るように設定することができます。
そのため、明らかに受信を拒否したいメールである可能性が高い、Malicious、SPAM、SPOOF は、Area1 側の検疫フォルダへ隔離されユーザーの目に触れないようにしておき、もしかすると受信すべきメールが混じっている可能性のある BULK および SUSPICIOUS を含むメールについては、Outlook の迷惑フォルダからユーザー自身が必要なメールを拾えるように、Office 365 側で設定することが可能となっています。
Area1が X-Area1Security-Disposition: Value ヘッダをEメールに追加します。このヘッダの値には、先ほどのカテゴライズには含まれていなかった、UCE (unsolicited commercial emails) も追加されていますので、併せて追加して、 Office365 側の Exchange 管理センターのルールから設定するようにします。
以下のドキュメントに従い、spam confidencial level(SCL) を 5 に設定しています。
実際に迷惑メールフォルダへ入ったメールのヘッダを確認すると、X-Area1Security-Disposition (ここではBULKが設定されています)を確認することができます。
Allow リスト、Block リスト
上記の検疫フォルダに入らないよう、メールアドレスのパターンやドメイン単位でのAllowリストまたは、Blockリストの設定も可能です。
URLのDefang設定
設定したカテゴリに分類されたメールの URL は書き換えられ、ユーザーが直接リンクをクリックできないようにする機能です。
Area1 の EMAIL POLICIES の Link Actions の Disposition Actions で設定できます。
URL Rewrite Ignore Patterns より、書き換えを行わないURLのパターンを事前に登録しておくことで、書き換えを回避することもできます。
Business Email Compromise List
ビジネスEメール侵害 (BEC):組織内の人物になりすまして外部からメールを送る
対策についてもこちらで設定が可能となっています。
Business email compromise (BEC)
Microsoft 365側とディレクトリ統合し、組織内のユーザーやグループの情報を取得し自動的にリストに追加できる機能を利用して、組織内のメールアドレスになりすまして外部からメールを受信した場合に、検疫フォルダへ隔離されるように設定しています。
詳細については、以下のブログで手順が紹介されています。
Area1をMicrosoft 365とディレクトリ統合をしてビジネスメール侵害(BEC)対策構成を強化する
MXレコードの変更
ここまでの設定が完了したら、最後にDNSのMXレコードをCloudflare Area1に向けるように設定します。
これで、設定は完了となります。
感想
Cloudflare Area1 のインライン方式での導入手順と、組織のEメールセキュリティ強化対策としてできる機能についてご紹介しました。
ここに記載された機能は一部であり、まだ他にもご紹介できていない機能はありますが、怪しいメールの検疫フォルダへの隔離やURL Defang機能、BEC対策などセキュリティ強化に有用な機能が活用できる点が伝わっていましたら幸いです。
また、Office 365側の迷惑メールフォルダとも連携し、必要なメールはユーザー自身で拾えるようにすることができるなど、細部に配慮がある仕組みがとてもありがたいと感じました。
この記事がどなたかのArea1 活用の一助になればとてもうれしく思います。
6
