$Date: 2016/07/25 09:25:16 $
メールセキュリティーを使用する設定にすると、ポリシーフィルターでメールパケットがブロックされ、メールの送受信ができなくなることがあります。下記表の(※)のときは、メールセキュリティー用のポリシーフィルターの設定を追加する必要があります。
本ドキュメントでは、メールセキュリティーを使用するときに変更するポリシーフィルターの設定例とその解説をまとめています。[設定]の太字が変更するコマンドになります。
なお、使用しているファームウェアのリビジョンによって異なるので注意してください。
メールセキュリティーの使用 | メールセキュリティー用のポリシーフィルター | メール送受信 | 備考 | |
---|---|---|---|---|
ライセンス有効期間外、 またはYSCへのアクセスに失敗 (メールセキュリティーを利用できない) |
ライセンス有効期間内 (メールセキュリティーを利用できる) |
|||
使用しない | 設定なし | 送受信可能 | 送受信可能 | (メールセキュリティー使用前) |
使用する | 設定なし | 送受信可能 | 送受信できない (※) | コマンドからメールセキュリティーを使用する設定に変更した場合 (=メールセキュリティー用のポリシーフィルターが未設定) |
使用する | 設定あり | 送受信できない | 送受信可能 (セキュリティーチェックあり) |
かんたん設定ページからメールセキュリティーを使用する設定に変更した場合(※) (=メールセキュリティー用のポリシーフィルターは設定済) |
メールセキュリティーを利用できない場合の動作はmail security inactive transferコマンドの設定にしたがいます。
メールセキュリティーの使用 | メールセキュリティー用のポリシーフィルター | メール送受信 | 備考 | ||
---|---|---|---|---|---|
ライセンス有効期間外、 またはYSCへのアクセスに失敗 (メールセキュリティーを利用できない) |
ライセンス有効期間内 (メールセキュリティーを利用できる) |
||||
使用しない | 設定なし | 送受信可能 | 送受信可能 | (メールセキュリティー使用前) | |
使用する | 設定なし | 送受信できない | 送受信できない | コマンドからメールセキュリティーを使用する設定に変更した場合 (=メールセキュリティー用のポリシーフィルターが未設定) |
|
使用する | 設定あり | mail security inactive transferコマンドの設定値 | 送受信可能 (セキュリティーチェックあり) |
かんたん設定ページからメールセキュリティーを使用する設定に変更した場合 (=メールセキュリティー用のポリシーフィルターは設定済) |
|
reject(初期値) =送受信できない |
pass =送受信可能 |
ip policy service group 401 name=MailSec pop3 smtp submission # (1) ip policy filter 2200 reject-nolog lan1 * * * * ip policy filter 2210 pass-nolog * lan2 * * * ip policy filter 2220 static-pass-nolog * local * * * ip policy filter 2250 reject-nolog lan2 * * * * ip policy filter 2260 pass-nolog * lan1 * * * ip policy filter 2270 static-pass-nolog * local * * * ip policy filter 2300 static-pass-nolog local * * * * ip policy filter 3000 reject-nolog * * * * * ip policy filter 10000 static-pass-nolog * * * * 401 # (2) ip policy filter 10050 pass-nolog * * * * 401 # (3) ip policy filter set 101 name="Internet Access" 2200 [2210 [10000] 2220] 2250 [2260 2270] 2300 [10050] 3000 # (4) ip policy filter set enable 101
(1) |
メールセキュリティーでチェックするアプリケーションを指定します。 mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。 |
(2) | (1)で指定したアプリケーションの通信であった場合に静的に通過させます。 |
(3) | (1)で指定したアプリケーションの通信であった場合に通過させます。 |
(4) | FWX120のLAN1インターフェース配下にある端末からLAN2インターフェースを経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。 また、FWX120自身が送信元の(1)で指定したアプリケーションのコネクションを通過させるように変更します。 |
※ | LAN1インターフェース配下にメールサーバーを配置し、LAN2インターフェース配下にある端末からメールサーバーと通信する構成の場合は(4)の設定を以下に変更してください。 ip policy filter set 101 name="Internet Access" 2200 [2210 2220] 2250 [2260 [10000] 2270] 2300 [10050] 3000 |
ip policy interface group 101 name=Private local lan1 ip policy address group 101 name=Private 192.168.100.0/24 ip policy address group 102 name=Any * ip policy service group 101 name="Open Services" ip policy service group 102 name=General dns ip policy service group 103 name=Mail pop3 smtp submission ip policy service group 401 name=MailSec pop3 smtp submission # (1) ip policy filter 1100 reject-nolog lan1 * * * * ip policy filter 1110 pass-nolog * * * * 102 ip policy filter 1122 static-pass-nolog * lan1 * * * ip policy filter 1123 static-pass-nolog * local * * * ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http ip policy filter 1150 pass-nolog * pp1 * * * ip policy filter 1500 reject-nolog pp* * * * * ip policy filter 1520 pass-log * lan1 * * 101 ip policy filter 1700 pass-nolog local * * * * ip policy filter 1710 static-pass-nolog * lan1 * * * ip policy filter 3000 reject-nolog * * * * * ip policy filter 10100 static-pass-nolog * * * * 401 # (2) ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 [10100]] 1500 [1520] 1700 [1710] 3000 # (3) ip policy filter set enable 101
(1) |
メールセキュリティーでチェックするアプリケーションを指定します。 mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。 |
(2) | (1)で指定したアプリケーションの通信であった場合に静的に通過させます。 |
(3) | FWX120のLANの配下にある端末からWAN(PP1)を経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。 |
ip policy interface group 101 name=Private local lan1 ip policy address group 101 name=Private 192.168.100.0/24 ip policy address group 102 name=Any * ip policy service group 101 name="Open Services" ip policy service group 102 name=General dns ip policy service group 103 name=Mail pop3 smtp submission ip policy service group 401 name=MailSec pop3 smtp submission # (1) ip policy filter 1100 reject-nolog lan1 * * * * ip policy filter 1110 pass-nolog * * * * 102 ip policy filter 1122 static-pass-nolog * lan1 * * * ip policy filter 1123 static-pass-nolog * local * * * ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http ip policy filter 1460 pass-nolog * lan2 * * * ip policy filter 1700 pass-nolog local * * * * ip policy filter 1710 static-pass-nolog * lan1 * * * ip policy filter 1900 reject-nolog lan2 * * * * ip policy filter 1920 pass-log * lan1 * * 101 ip policy filter 3000 reject-nolog * * * * * ip policy filter 10010 static-pass-nolog * * * * 401 # (2) ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1460 [10010]] 1900 [1920] 1700 [1710] 3000 # (3) ip policy filter set enable 101
(1) |
メールセキュリティーでチェックするアプリケーションを指定します。 mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。 |
(2) | (1)で指定したアプリケーションの通信であった場合に静的に通過させます。 |
(3) | FWX120のLANの配下にある端末からWAN(LAN2)を経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。 |
ip policy interface group 101 name=Private local lan1 ip policy address group 101 name=Private 192.168.100.0/24 ip policy address group 102 name=Any * ip policy service group 101 name="Open Services" ip policy service group 102 name=General dns ip policy service group 103 name=Mail pop3 smtp submission ip policy service group 401 name=MailSec pop3 smtp submission # (1) ip policy filter 1100 reject-nolog lan1 * * * * ip policy filter 1110 pass-nolog * * * * 102 ip policy filter 1122 static-pass-nolog * lan1 * * * ip policy filter 1123 static-pass-nolog * local * * * ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http ip policy filter 1150 pass-nolog * pp1 * * * ip policy filter 1470 pass-nolog * wan1 * * * ip policy filter 1500 reject-nolog pp* * * * * ip policy filter 1520 pass-log * lan1 * * 101 ip policy filter 1700 pass-nolog local * * * * ip policy filter 1710 static-pass-nolog * lan1 * * * ip policy filter 2000 reject-nolog wan1 * * * * ip policy filter 2020 pass-log * lan1 * * 101 ip policy filter 3000 reject-nolog * * * * * ip policy filter 10020 static-pass-nolog * * * * 401 # (2) ip policy filter 10100 static-pass-nolog * * * * 401 # (2) ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 [10100] 1470 [10020]] 2000 [2020] 1500 [1520] 1700 [1710] 3000 # (3) ip policy filter set enable 101
(1) |
メールセキュリティーでチェックするアプリケーションを指定します。 mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。 |
(2) | (1)で指定したアプリケーションの通信であった場合に静的に通過させます。 |
(3) | FWX120のLANの配下にある端末からPP1またはWAN1インターフェースを経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。 |
ip policy interface group 101 name=Private local lan1 ip policy address group 101 name=Private 192.168.100.0/24 ip policy address group 102 name=Any * ip policy service group 101 name="Open Services" ip policy service group 102 name=General dns ip policy service group 103 name=Mail pop3 smtp submission ip policy service group 104 name=IPsec ike esp ip policy service group 401 name=MailSec pop3 smtp submission # (1) ip policy filter 1100 reject-nolog lan1 * * * * ip policy filter 1110 pass-nolog * * * * 102 ip policy filter 1122 static-pass-nolog * lan1 * * * ip policy filter 1123 static-pass-nolog * local * * * ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http ip policy filter 1150 pass-nolog * pp1 * * * ip policy filter 1500 reject-nolog pp* * * * * ip policy filter 1520 pass-log * lan1 * * 101 ip policy filter 1530 static-pass-nolog * local * * 104 ip policy filter 1600 reject-nolog tunnel* * * * * ip policy filter 1610 pass-nolog * 101 * * * ip policy filter 1630 pass-nolog * tunnel* * * * ip policy filter 1660 pass-log * pp* * * * ip policy filter 1700 pass-nolog local * * * * ip policy filter 1710 static-pass-nolog * lan1 * * * ip policy filter 1720 static-pass-nolog * pp* * * 104 ip policy filter 1711 static-pass-nolog * tunnel* * * * # (2) ip policy filter 3000 reject-nolog * * * * * ip policy filter 10100 static-pass-nolog * * * * 401 # (3) ip policy filter 10101 static-pass-nolog * * * * 401 # (3) ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 [10100]] 1600 [10101 1630 1610 1660] 1500 [1520 1530] 1700 [1710 1711 1720] 3000 # (4) ip policy filter set enable 101
(1) |
メールセキュリティーでチェックするアプリケーションを指定します。 mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。 |
(2) | トンネルインターフェースに対して(1)で指定したアプリケーションの通信であった場合に静的に通過させます。 |
(3) | (1)で指定したアプリケーションの通信であった場合に静的に通過させます。 |
(4) | VPN先の機器のLAN配下にある端末からトンネルインターフェースを経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。 |
ip policy interface group 101 name=Private local lan1 ip policy address group 101 name=Private 192.168.100.0/24 ip policy address group 102 name=Any * ip policy service group 101 name="Open Services" ip policy service group 102 name=General dns ip policy service group 103 name=Mail pop3 smtp submission ip policy service group 104 name=IPsec ike esp ip policy service group 401 name=MailSec pop3 smtp submission # (1) ip policy filter 1100 reject-nolog lan1 * * * * ip policy filter 1110 pass-nolog * * * * 102 ip policy filter 1122 static-pass-nolog * lan1 * * * ip policy filter 1123 static-pass-nolog * local * * * ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http ip policy filter 1130 pass-nolog * tunnel* * * * ip policy filter 1150 pass-nolog * pp1 * * * ip policy filter 1500 reject-nolog pp* * * * * ip policy filter 1520 pass-log * lan1 * * 101 ip policy filter 1530 static-pass-nolog * local * * 104 ip policy filter 1600 reject-nolog tunnel* * * * * ip policy filter 1610 pass-nolog * 101 * * * ip policy filter 1630 pass-nolog * tunnel* * * * ip policy filter 1660 reject-nolog * pp* * * * ip policy filter 1700 pass-nolog local * * * * ip policy filter 1710 static-pass-nolog * lan1 * * * ip policy filter 1720 static-pass-nolog * pp* * * 104 ip policy filter 3000 reject-nolog * * * * * ip policy filter 10001 static-pass-nolog * * * * 401 # (2) ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 1130 [10001]] 1600 [1630 1610 1660] 1500 [1520 1530] 1700 [1710 1720] 3000 # (3) ip policy filter set enable 101
(1) |
メールセキュリティーでチェックするアプリケーションを指定します。 mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。 |
(2) | (1)で指定したアプリケーションの通信だった場合、静的に通過させます。 |
(3) | FWX120のLANの配下にある端末からトンネルインターフェース経由する通信で、その通信が(1)で指定したアプリケーションの通信の場合、静的に通過させるように変更します。 |
ip policy interface group 101 name=Private local lan1 ip policy address group 101 name=Private 192.168.100.0/24 ip policy address group 102 name=Any * ip policy service 400 Mailsec tcp 110 * #(1) ip policy service group 101 name="Open Services" ip policy service group 102 name=General dns ip policy service group 103 name=Mail pop3 smtp submission ip policy service group 111 name=L2TP-NAT-T ike esp l2tp ipsec-nat-t ip policy service group 401 name=MailSec pop3 smtp submission # (2) ip policy filter 1100 reject-nolog lan1 * * * * ip policy filter 1110 pass-nolog * * * * 102 ip policy filter 1122 static-pass-nolog * lan1 * * * ip policy filter 1123 static-pass-nolog * local * * * ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http ip policy filter 1130 pass-nolog * tunnel* * * * ip policy filter 1140 pass-nolog * ppanonymous * * * ip policy filter 1150 pass-nolog * pp1 * * * ip policy filter 1500 reject-nolog pp* * * * * ip policy filter 1520 pass-log * lan1 * * 101 ip policy filter 1560 static-pass-nolog * local * * 111 ip policy filter 1600 reject-nolog tunnel* * * * * ip policy filter 1610 pass-nolog * 101 * * * ip policy filter 1630 pass-nolog * tunnel* * * * ip policy filter 1660 reject-nolog * pp* * * * ip policy filter 1700 pass-nolog local * * * * ip policy filter 1710 static-pass-nolog * lan1 * * * ip policy filter 1750 static-pass-nolog * pp* * * 111 ip policy filter 3000 reject-nolog * * * * * ip policy filter 9300 reject-nolog ppanonymous * * * * ip policy filter 9301 pass-nolog * 101 * * * ip policy filter 10001 static-pass-nolog * lan1 * * 401 # (3) ip policy filter 10002 pass-nolog * lan1 * * 401 # (4) ip policy filter 10003 static-pass-nolog * ppanonymous * * Mailsec # (5) ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 1140 1130] 1600 [1630 1610 1660] 1500 [1520 9300 [9301 [10001]] 1560] 1700 [1710 [10002] 1750 10003] 3000 # (6) ip policy filter set enable 101
(1) | (2)で指定するアプリケーションの応答パケットを指定します。 |
(2) |
メールセキュリティーでチェックするアプリケーションを指定します。 mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。 |
(3) | (1)で指定したアプリケーションの通信だった場合、静的に通過させます。 |
(4) | FWX120のLAN配下への通信が(2)で指定したアプリケーションの通信だった場合、通過させます。 |
(5) | PPインターフェースを経由するパケットが(2)で指定したアプリケーションの応答パケットだった場合、静的に通過させます。 |
(6) |
外部からL2TP/IPsecで使用しているPPインターフェースを経由する、FWX120のLAN配下の端末への通信が(2)で指定したアプリケーションだった場合、静的に通過させるように変更します。(10001番) 次にFWX120発のパケットで、FWX120のLAN1配下の端末との通信が(2)で指定したアプリケーションだった場合、通過させるようにします。(10002番) FWX120からメールクライアントへメールセキュリティーでチェックしたメールを静的に通過させます(10003番) |