接続フィルタ

Email Security は、ユーザに送信されたメールがブロックされるのを防ぐために、接続フィルタを作成します。

接続フィルタ名: 接続フィルタポリシー (デフォルト)

  • 3.101.216.128/28

  • 3.101.216.144/28

  • 3.214.204.181

  • 18.97.17.224/28

  • 35.174.145.124

  • 44.211.178.96/28

  • 44.211.178.112/28

  • 3.40.131.0/28

  • 3.252.108.160/28

  • 3.252.108.176/28

  • 13.39.103.0/28

  • 13.39.103.16/28

  • 52.17.62.50

  • 52.212.19.177

  • 3.27.51.160/28

  • 3.27.51.176/28

  • 3.27.51.178/28

  • 3.105.224.60

  • 13.211.69.231

  • 18.98.196.176/28

  • 18.143.136.64/28

  • 18.143.136.80/28

  • 18.99.4.64/28

  • 18.96.227.0/28

  • 3.41.0.160/28

  • 3.29.194.128/28

  • 3.29.194.144/28

  • 18.96.97.192/28

  • 3.44.1.224/28

Journal ルール

Email Security は、Microsoft 365 がスコープ対象のすべてのメールのコピーを、Email Security が検査に使用するジャーナリングメールボックスに送信するよう構成する Journal ルールを作成します。

Email Security は、この Journal ルールを Detect および Detect and Remediate 保護モードのポリシーに対してのみ使用します。

Journal ルール名:Check Point- モニタ

ジャーナルレポート

Email Security は、Journal ルールを構成して、ジャーナルレポートを [portal]@[portal]-mail.checkpointcloudsec.com に送信します。

また、メールボックスがまだ構成されていない場合は、次のCheck Point Portalテナント用に配信不能ジャーナルレポートのメールボックスも構成します。

Email Security は、ジャーナルルールで指定されたメールアドレスに配信できない場合、配信不能ジャーナルレポートを次のメールボックスに送信します。

Check Point Portalテナントリージョン

配信不能ジャーナルレポートメールボックス

米国

[portal name]@mt-prod-cp-us-2-journal-error.checkpointcloudsec.com

ヨーロッパ

[portal name]@mt-prod-cp-eu-1-journal-error.checkpointcloudsec.com

オーストラリア

[portal name]@mt-prod-cp-au-4-journal-error.checkpointcloudsec.com

カナダ

[portal name]@mt-prod-cp-ca-1-journal-error.checkpointcloudsec.com

グループ

Email Security は、Prevent (Inline) 保護モードのポリシーで選択された特定のユーザおよびグループを保護するために、グループを作成します。

管理者が Scope 保護モードのポリシーに対して Prevent (Inline) を構成すると、関連するグループに更新されるため、それらの特定のユーザのみがインラインで保護されます。

Email Security は、次のグループを作成します。

  • checkpoint_inline_incoming

  • checkpoint_inline_outgoing

Check Pointインライン受信グループ

このグループにより、Email Security は、Prevent (Inline) 保護モードの受信ポリシーによって保護されるユーザに送信された受信メールのみを保護できます。

グループ名:checkpoint_inline_incoming

グループメールアドレス:checkpoint_inline_incoming@[portal domain]

Check Pointインライン送信グループ

このグループにより、Email Security は、Prevent (Inline) 保護モードの送信ポリシーによって保護されるユーザが送信した送信メールのみを保護できます。

グループ名:checkpoint_inline_outcoming

グループメールアドレス:checkpoint_inline_outcoming@[portal domain]

配布リスト

Email Securityは、Prevent (Inline) 保護モードのポリシーにおけるグループメールボックスの保護をサポートするために、配布リストを作成します。

配布リスト名:checkpoint_inline_groups

なりすまし送信者許可リスト

保護されたユーザからのメールをルーティングし、保護対象ドメインを代理してメールを送信するために、Email SecurityはTenant Allow/Block List in Microsoft 365になりすまし送信者の例外を追加します。

たとえば、Email Securityは次のインフラストラクチャ値を追加しますCheck Point Portal米国リージョンに存在するテナント向けです。

ユーザ

送信 インフラストラクチャ

なりすまし タイプ

アクション

*

us.cloud-sec-av.com

内部

許可

*

us.cloud-sec-av.com

外部のトラフィック

許可

次の送信インフラストラクチャCheck Point Portal異なるリージョンに存在するテナント:

地域

送信 インフラストラクチャ

米州

米国

カナダ

EMEA(ヨーロッパ、中東、アフリカ)

アイルランド

アラブ首長国連邦

APAC(アジア太平洋)

 

オーストラリア

インド

シンガポール

英国

-

信頼されたARCシーラー

メールのルーティング後もメール認証が有効なままであることを確保するために、Email SecurityはCheck PointドメインをAuthentication Received Chain(ARC)の信頼されたシーラーのリストに追加します。

Check Pointは、これを信頼されたARCシーラーのリストに追加します: checkpointcloudsec.com

報告されたフィッシングメール

エンドユーザから報告されたすべてのフィッシングメールを、Microsoft Report Message アドインを使用して表示するには、レポートがMicrosoftおよび内部のフィッシング報告メールボックスに送信されるよう設定する必要があります。

Microsoft 365アカウントが、報告されたメールを内部メールボックスに送信するよう設定されている場合、Email Securityはその内部メールボックスでフィッシングレポートをモニタするため、構成は変更されません。

Microsoft 365アカウントがメールを内部メールボックスに送信するよう設定されていない場合、システムはreport-phishing-checkpoint@<your domain>メール アドレスを持つ共有メールボックスを作成し、これらのレポートを受信するよう設定します。

- システムは共有メールボックスのみを作成し、お客様のアカウントのMicrosoftライセンスを消費しません。

委任トークン

自動オンボーディング中に、グループの作成やGlobal Admin ロールの割り当てなどの必要なアクションを完了するために、Check PointアプリケーションであるEmail Securityは、権限を承認した認可ユーザから委任トークンを使用します。

Email SecurityをMicrosoft 365から切断することを選択した場合、Email Securityは、グループの削除やロールの関連付け解除を含む逆のアクションを実行します。これを行うには、Check PointAzure アプリケーションは、有効な委任トークンを定期的に更新して維持する必要があります。

システムは認可ユーザに代わって更新アクションを開始し、これらのアクティビティはMicrosoft 365の監査ログでobservableです:

  • ユーザに代わってCheck Pointアプリケーションが、トークンを更新するためにユーザに代わって実行する定期的なログイン。

  • ユーザが存在しなくなった場合、またはパスワードが変更された場合のログイン失敗試行。

    - これらのログイン失敗は、セキュリティやメール配信には影響しません。ただし、Email SecurityをMicrosoft 365から切断する際には、その痕跡を完全に取り除くために手動アクションが必要です。

    この問題を解決するには、同じMicrosoft管理者の認証情報または別のMicrosoft管理者の認証情報で、Microsoft 365アプリケーションを再認可してください。

    1. Security Settings >SaaS Applications をクリックします。

    2. Office 365 Mail については Configure をクリックします。

    3. Re-Authorize Check Point Office 365 Email Appをクリックします。

    4. 画面上の指示に従い、Microsoft 365 アプリケーションを承認します。

PowerShellスクリプト

Email Securityは、Microsoft 365環境で次のようなさまざまなタスクを実行するためにPowerShellスクリプトを使用します:

  • メール フロー ルール、コネクタ、ジャーナル ルール、接続フィルタ、配布リストの作成 / 編集 / 削除。

  • 配信不能なジャーナルレポート用のメールボックスの設定(そのメールボックスがテナント用にまだ設定されていない場合)。

    このメールボックスは、ジャーナルレポートがジャーナル ルールで指定されたメールアドレスに配信できない場合に、それを受信するために使用されます。

  • テナントのポリシーアクションを取得するためのHosted Content Filter Policyの読み取り。

  • Email Securityドメインを許可して、Email Securityのセキュリティエンジンを通過する際にメールがブロックされないようにします。

  • Microsoft Encryptionをトリガするポリシーが作成された場合、スクリプトはIRM Encryptionを読み取って暗号化ルールを設定します。

  • 新しい共有メールボックスを作成し、Microsoft Report Message アドイン.

    - Microsoftアカウントが、報告されたフィッシングメールを内部メールボックスに転送するようにすでに設定されている場合、この設定は実行されません。