TLS を使用した電子メールセキュリティの設定の概要

外部ドメインからのインバウンド TLS を設定するためのワークフローの例を次に示します。TLS インバウンドを設定するときは、最も弱い検証から始めて、より厳しい設定の検証を繰り返して、設定が期待どおりに機能することを確認してください。

便宜的 TLS から始める

1. 便宜的 TLS を設定します。「TLS 通信の有効化」手順に従って、グローバルに有効にする必要があります。以前にアウトバウンド TLS 設定を設定していた場合は、それ以上の変更は必要ありません。
2. 適切な署名とクライアント証明書を設定します。必要な TLS 証明書とキーの詳細については、「必要な TLS 証明書とキー」を参照してください。
3. メッセージを送信し、メッセージ > メッセージのトラッキングを行ってし、メッセージが正しく受信されたかどうか、および TLS が使用されたかどうかを確認します。
4. 便宜的な TLS 接続が失敗した場合は、使用している証明書について報告するために外部ドメインの管理者に連絡する要があります。

強制的 TLS への移行

上記の手順に引き続き、以下の手順を行います。

1. 新規にコネクションプロファイルを作成する方法については、「コネクションプロファイルを作成するには」を参照してくさい。
2. クライアントホストまたは送信者ドメイン名のリストを設定します。操作方法の詳細については、「コネクションプロファイルを作成するには」または「 送信者ドメインを追加するには」を参照してください。IP アドレスのリストがわかっている内部通信の場合、クライアントホストの設定は特に難しくありません。外部通信の場合、送信者ドメインを使用すると設定が簡単になる場合があります。
3. コネクションプロファイルに、クライアントホストまたは送信者ドメインを設定している場合は、強制的 TLS コネクションプロファイルを有効にします。暗号強度とクライアント証明書の検証方法を設定します。設定の詳細については、「 TLS 設定をインバウンドのコネクションに適用するには 」を参照してください。
4. 最初に最も弱い構成を使用して、これらの設定を試してみてください。メッセージが正常に受信された場合は、TLS の設定の強度に満足するまで、手順 3 の設定を必要に応じて調整します。

コモンネーム（CN）の一致を使用してクライアントの証明書の検証を調整するには、外部ドメインの管理者とのネゴシエーションが必要になる場合があります。例: ワイルドカードマッチング を参照してください。

外部ドメインへのアウトバンド TLS を設定するためのワークフローの例を次に示します。TLS アウトバンドを設定するときは、最も弱い検証から始めて、より厳しい設定の検証を繰り返して、設定が期待どおりに機能することを確認してください。

便宜的 TLS から始める

1. 便宜的 TLS を設定します。「TLS 通信の有効化」手順に従って、グローバルに有効にする必要があります。以前にインバウンド TLS 設定を設定していた場合は、それ以上の変更は必要ありません。
2. 適切な署名とクライアント証明書を設定します。必要な TLS 証明書とキーの詳細については、「必要な TLS 証明書とキー」を参照してください。
3. メッセージを送信し、メッセージ > メッセージのトラッキングをして、メッセージが正しく配信されたかどうかや TLS が使用されたかどうかを確認します。
4. メッセージが通過した場合は、TLS の設定を強化するために強制的 TLS に切り替えることができます。

強制的 TLS への移行

上記の手順に引き続き、以下の手順を行います。

1. 新規にコネクションプロファイルを作成する方法については、「コネクションプロファイルを作成するには」を参照してくさい。
2. 強制的 TLS コネクションプロファイルを有効にし、暗号強度のレベルを選択し、証明書の検証方法を設定します。設定の詳細については、「TLS 設定をアウトバンドのコネクションに適用するには」を参照してください。
3. 最初に最も弱い構成を使用して、これらの設定を試します。メッセージが正常に配信された場合は、TLS の設定の強度に満足するまで、手順 2 の設定を必要に応じて調整します。
4. [ システム ] > [ SMTP 設定]> [ メールドメインとルーティング ] に移動して、TLS の設定用に作成したコネクションプロファイルを使用してメールルートを設定します。設定の詳細については、「電子メールのルーティングの指定」を参照してください。