メール通知のSMTPの設定

Deep Security Manager は、選択されたアラートがトリガーされたときにユーザにメールを送信できます(アラートの設定を参照)。メール通知を設定する前に、Deep Security Manager にシンプル メール トランスファー プロトコル (SMTP) メール サーバーへのアクセスを許可する必要があります

Deep Security 20.0から、Microsoft Exchange Online SMTPにOAuth 2.0認証を使用できます。これにより、基本認証やアプリケーション固有のパスワードを必要とせずに安全なメール配信が可能になります。Microsoft Exchange OnlineのOAuth 2.0を設定するを参照してください。

  1. [管理]→[システム設定]→[SMTP] の順に選択します。
  2. SMTPメールサーバのIPアドレスまたはホスト名を入力してください。デフォルトのポート番号と異なる場合はポート番号も含めてください。

    AWSは、SMTPのためのインターネット割り当て番号機関 (IANA) 標準ポート番号であるポート25でメールを制限 (レート制限) します。AWS Marketplaceを使用する場合、代わりにStartTLS (Start Transport Layer Security、SMTPの安全なタイプ) を使用すると、より迅速なアラートを受け取ることができます。詳細については、Amazon SES SMTPエンドポイントへの接続を参照してください。


  3. メールを送信するメールアドレスを入力するには、Fromフィールドを使用します。Amazon Simple Email Service (SES) を使用している場合、送信者のメールアドレスは確認済みである必要があります。Amazon SESでメールアドレスを確認する方法や、既に確認済みのアドレスのリストを表示する方法については、メールアドレスの確認を参照してください。
  4. オプションで、アラートメールを1人以上のユーザに配信できなかった場合に配信ステータス通知 (DSN) を送信するバウンスメールアドレスを入力します。
  5. SMTPサーバに基づいて認証を構成する:
    • Microsoft Exchange OnlineでOAuth 2.0を使用する場合、Microsoft Exchange OnlineのメールサーバはOAuth 2.0認証を必要としますを選択し、OAuth 2.0の資格情報を入力してください。Microsoft Exchange OnlineのOAuth 2.0を設定するを参照してください。
    • 標準SMTP認証の場合、メールサーバは認証を要求するを選択し、SMTPユーザ名とパスワードを入力してください。
  6. SMTPサーバがプロトコルをサポートしている場合は、STARTTLSを選択してください。Deep Security ManagerのFIPSモードは、Deep Security Manager 20 LTS Update 2022-03-22以降でStarTTLSをサポートしています。FIPS 140のサポートを参照してください。

    Microsoft Exchange OnlineでOAuth 2.0認証が有効になっている場合、STARTTLSは自動的に有効になり、OAuth 2.0の要件として無効にすることはできません。
  7. 必要な情報を入力したら、[SMTP設定のテスト] をクリックして接続をテストします。

Microsoft Exchange OnlineのOAuth 2.0を構成する

Deep Security 20.0から、Deep Security ManagerはSMTPのためのOAuth 2.0認証をサポートし、基本認証やアプリケーション固有のパスワードを必要とせずにMicrosoft Exchange Onlineを通じて安全なメール配信を可能にします。

前提条件

以下の項目を確認してください:

  • Exchange Onlineを含むMicrosoft 365サブスクリプション (ビジネスまたはエンタープライズライセンス)。Exchange Onlineを含まない基本的なOffice 365プランはサポートされていません。
  • 管理者ロール:
    • Azure AD構成のためのグローバル管理者またはアプリケーション管理者
    • Exchange管理者またはグローバル管理者 - Exchange Onlineの構成

    必要な管理者権限がない場合は、IT部門またはMicrosoft 365管理者と協力してAzure ADおよびExchange Onlineの構成を完了する必要があります。最終的なDSM構成は、設定更新権限を持つ任意のDSMユーザが実行できます。

Microsoft Entra IDを構成する

Microsoft Entra IDの構成は複数の手順を含むプロセスです。

手順1: Microsoft Entra IDでアプリケーションを登録する

  1. Azureポータルにサインインします。
  2. Microsoft Entra ID (以前のAzure Active Directory) に移動します。
  3. 左側のメニューからアプリ登録を選択します。
  4. 新規登録をクリックします。
  5. 次の項目を定義してアプリケーションを設定します。
    • 名前: Deep Security Manager SMTPまたはお好みの名前を入力してください。
    • サポートされているアカウントの種類: この組織ディレクトリ内のアカウントのみを選択してください。
    • リダイレクトURI: このフィールドは空白のままにしてください。
  6. 登録をクリックしてください。
  7. 登録後、概要ページでアプリケーション (クライアント) IDディレクトリ (テナント) IDの値をメモしておいてください。後で必要になります。

手順2: クライアントシークレットを作成する

  1. アプリケーション登録で、左側のメニューから証明書とシークレットを選択してください。
  2. クライアントシークレットの下で、新しいクライアントシークレットをクリックします。
  3. 次の項目を定義して秘密を設定してください:
    • 説明: DSM SMTPシークレットまたは希望する説明を入力してください。
    • 有効期限: 適切な有効期限を設定してください (例: 24か月)。
  4. 追加をクリックします。
  5. をすぐにコピーして安全な場所に保存してください。これはクライアントシークレットであり、一度しか表示されません。DSMを構成するために必要です。

手順3: APIの権限を構成する

  1. アプリケーション登録で、左側のメニューからAPI のアクセス許可を選択します。
  2. 権限を追加をクリックします。
  3. 組織が使用するAPIを選択してください。
  4. Office 365 Exchange Onlineを検索して選択します。
  5. アプリケーションのアクセス許可(委任されたアクセス許可ではありません) を選択してください。
  6. SMTPセクションを展開し、SMTP.SendAsAppを選択してs権限を追加します。
  7. 権限を追加をクリックします。
  8. グローバル管理者である場合は、[Your Organization]に管理者の同意を付与をクリックし、次にはいをクリックしてください。
  9. ステータスが[Your Organization]に付与済みで緑のチェックマークが付いていることを確認してください。

Office 365 Exchange Online APIをMicrosoft Graphではなく選択することが重要です。APIの権限リストでの権限はSMTP.SendAsAppである必要があります。

Exchange Onlineを構成する

手順4: テナントのSMTP AUTHを有効にする

SMTP AUTHはデフォルトでテナントで無効になっている可能性があります。これを確認し、無効になっている場合は、次の手順で有効にしてください。

  1. Exchange管理センターにサインインしてください。
  2. 設定 > メールフロー > 受け入れドメイン に移動します。
  3. ドメインを選択し、SMTPが有効になっていることを確認してください。

    SMTP AUTHが無効になっているというエラーが発生した場合:

    • Exchange管理センターで、設定 > メールフローに移動します。
    • SMTP AUTH設定をクリックします。
    • 組織のために認証済みSMTP (SMTP AUTH)を有効にします。

手順5: メールボックスのSMTP AUTHを有効にする

DSMで使用される特定のメールボックスに対してSMTP AUTHを有効にする必要があります。

オプションA: Exchange Online PowerShellを使用して有効化 (大量操作に推奨)

  1. 次のコマンドを実行してExchange Online PowerShellに接続します。 
    Connect-ExchangeOnline -UserPrincipalName admin@yourcompany.com
  2. 次のコマンドを実行して、メールボックスのSMTP AUTHを有効にします。 
    Set-CASMailbox -Identity "dsm-notifications@yourcompany.com" -SmtpClientAuthenticationDisabled $false
  3. 次のコマンドを実行して設定を確認してください。 
    Get-CASMailbox -Identity "dsm-notifications@yourcompany.com" | Select-Object SmtpClientAuthenticationDisabled
    値はFalseである必要があります。

オプションB: Exchange管理センターを使用して有効化

  1. 受信者 > メールボックスに移動します。
  2. メールボックスを選択し、メールアプリ設定を管理をクリックします。
  3. 認証済みSMTPが有効になっていることを確認してください。
  4. 保存をクリック。

手順6: Exchange Onlineでサービスプリンシパルを登録する

アプリケーションはExchange Onlineでサービスプリンシパルとして登録されている必要があります。

登録するには、PowerShellを使用して次の手順を実行してください (UIオプションは利用できません):

  1. 次のコマンドを実行して、Exchange Online PowerShellに接続します (まだ接続されていない場合): 
    Connect-ExchangeOnline -UserPrincipalName admin@yourcompany.com
  2. 次のコマンドを実行してサービスプリンシパルを登録してください。 
    New-ServicePrincipal -AppId <Application (client) ID> -ServiceId <Object ID> -DisplayName "Deep Security Manager SMTP"
    以下の値を置き換えてください。
    • <Application (client) ID>: 手順1のアプリケーション (クライアント) ID。
    • <Object ID>: Azureポータル > アプリ登録 > あなたのアプリ > 概要 > オブジェクトIDのオブジェクトID
  3. 次のコマンドを実行して、サービスプリンシパルにメールボックスとしてメールを送信する権限を付与します。 
    Add-MailboxPermission -Identity "dsm-notifications@yourcompany.com" -User <Application (client) ID> -AccessRights FullAccess

Deep Security Managerを構成する

手順 7: DSMでSMTP設定を構成する

  1. Deep Security Managerコンソールにログインしてください。
  2. 管理 > システム設定 > SMTP タブに移動します。
  3. 以下を設定してください。
    • SMTPメールサーバアドレス: smtp://smtp.office365.com:587に設定してください
    • 送信元メールアドレス: dsm-notifications@yourcompany.comに設定します。これは手順5で設定したメールボックスです。
    • バウンスメールアドレス: dsm-notifications@yourcompany.comに設定してください
  4. メールサーバーはMicrosoft Exchange OnlineのOAuth 2.0認証を必要としますを選択してください。
  5. OAuth 2.0の認証情報を入力してください:
    • ディレクトリ (テナント) ID: 手順1の値を入力してください。
    • アプリケーション (クライアント) ID: 手順1の値を入力してください。
    • クライアントシークレット: 手順2からの値を入力してください。
  6. SMTP設定をテストをクリックして、構成を確認します。
  7. テストが成功した場合は、保存をクリックしてください。

メールサーバーがMicrosoft Exchange OnlineのOAuth 2.0認証を必要とするを選択した場合、以下が適用されます。

  • 標準SMTP認証フィールドのSMTPユーザー名とSMTPパスワードは利用できません。
  • STARTTLSは自動的に有効化されており、OAuth 2.0に必要なため無効化することはできません。

トラブルシューティング

以下は、Microsoft Exchange OnlineでOAuth 2.0を使用する際の一般的なエラーとその解決策です。

エラー: "535 5.7.139 認証に失敗しました。SmtpClientAuthenticationが無効です"

原因: テナントまたはメールボックスレベルでSMTP AUTHが無効になっています。

解決策:

  1. テナントのSMTP AUTHを有効にする (手順4を参照)。
  2. メールボックスのSMTP AUTHを有効にする (手順5を参照)。
  3. 変更が反映されるまで5~10分お待ちください。

エラー: "535 5.7.3 認証に失敗しました"

原因: 次のいずれかが考えられます:

  • アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、またはクライアントシークレットが正しくありません。
  • Exchange Onlineにサービスプリンシパルが登録されていません。
  • API の権限が不足しているか、管理者の同意が得られていません。
  • クライアントシークレットの有効期限が切れました。

解決策:

  1. DSMですべての認証情報が正しく入力されていることを確認してください。
  2. サービスプリンシパルが登録されていることを確認してください (手順6を参照)。
  3. SMTP.SendAsAppの権限が管理者の同意を得て付与されていることを確認してください (手順3を参照)。
  4. Azureポータルでクライアントシークレットが期限切れになっていないことを確認してください。

エラー: "430 4.2.0 STOREDRV; メールボックスログオン失敗"

原因: サービスプリンシパルがメールボックスにアクセスする権限を持っていません。

解決策:

  1. サービスプリンシパルにメールボックスへのFullAccess権限を付与します (手順6を参照)。
  2. 権限の変更が反映されるまで15~30分お待ちください。

詳細については、以下を参照してください。