FAQ
ユーザーFAQ
Q1: SHIELD Mailはどのようなソリューションですか?
SHIELD Mailは企業メールに添付される文書のセキュリティを管理するソリューションです。 DRM文書とMicrosoft AIP文書間の変換、暗号解除、文書アクセス制御など、さまざまなセキュリティ機能を提供します。
Q2: SHIELD Mailの主要機能は何ですか?
SHIELD Mailの主要機能は次のとおりです:
- 添付ファイル形式の変換 (DRM ↔ AIP)
- マルチドメインサポート
- 条件付きポリシーベースのセキュリティ管理
- 添付ファイルの暗号化解除
- ダッシュボードを通じたリアルタイム監視
Q3: SHIELD Mailのログをダウンロードできますか?
はい、可能です。
- 左側のメニューで**[ログ]**メニューを選択します。
- 上部で表示する期間(1週間、6ヶ月、1年、ユーザー指定期間)を設定します。
- 画面右上のギアアイコンをクリックすると、表示されるログカラム項目を選択できます。 (例:イベント名、処理結果、添付ファイル名など)
- 検索バーでは送信者/受信者基準でのみ検索できます。 (他の条件はカラム設定を通じ�て確認)
- 条件を設定した後**[ダウンロード] ボタンをクリックすると、選択した条件に合ったログがCSVファイル形式**に出力されます。
CSVファイルはExcelなどのスプレッドシートプログラムで開いて分析することができ、セキュリティ監査や障害原因分析に役立てることができます。
例示 :
- 「2025年8月1日に受信したメールリスト」を確認したい場合は、照会期間をその日付に指定してからCSVでダウンロードします。
- その後、Excelで受信日付列を基準にフィルタリングまたは、イベント名・処理結果を条件として設定必要なログだけを確認できます。
ドメイン設定およびメールリレー
Q4: SHIELD Mailで言う「リレー」とは何ですか?
SHIELD Mailにおける「リレー」とは、顧客のメールサーバーからSHIELD Mailを通じて外部にメールを送信するプロセスを指します。このプロセスでは、添付ファイルに対するセキュリティポリシーが適用されます。
Q5: リレーを設定するための前提条件は何ですか?
リレー設定には次の条件が必要です:
- 登録された顧客のドメイン使用
- SHIELD Mailでメールを転送するメールサーバーを事前登録
- 該当メールサーバーのIPまたはサーバー名(helo/ehlo)指定
Q6: メールサーバー登録時にワイルドカード形式を使用できますか?
はい、メールサーバーの登録時にワイルドカード形式をサポートしています。 例えば、Microsoft 365サーバーを登録する場合、*.outbound.protection.outlook.comのような形式で指定できます。
Q7: ドメイン情報はどこに登録しますか?
ドメイン情報は S365 Built-in プロフィールの domainInfo 設定に登録します。次のような JSON 形式で設定します。
[
{
"domain": "domain.com",
"from": [
"*.outbound.protection.outlook.com"
],
"to": [],
"alias": [],
"desc": "도메인에 대한 메일 라우팅 설정"
}
]
Q8: 変換するメール送信サーバーの "from" フィールドには何を入力すればよいですか?
"from" フィールドには SHIELD Mail にメールを転送する送信メールサーバーの情報を入力します。 IP アドレスやサーバー名(ワイルドカード形式対応)を指定できます。
Q9: 変換後のメール送信サーバーの "to" フィールドはどのような用途ですか?
"to" フィール��ドは、SHIELD Mail が処理したメールを転送する受信メールサーバーを指定します。ドメインと受信メールサーバーは 1:1 マッピングが必須です。
Q10: 複数のドメインを設定できますか?
SHIELD Mailはマルチドメインをサポートしています。ドメインごとに独立したメールルーティングとポリシー設定が可能です。
セキュリティポリシーの設定
Q11: 特定の受信者にのみセキュリティポリシーを適用できますか?
条件付きポリシーの「条件」設定で特定のドメインやメールアドレスを指定して、選択的にポリシーを適用できます。
Q12: 添付ファイルの種類に応じて異なるポリシーを適用できますか?
条件付きポリシーでは、添付ファイルの種類(一般文書、DRM暗号化文書、AIP文書など)に応じて異なる実行ポリシーを設定できます。
Q13: 外部に送信するメールの添付ファイルを自動的に暗号化できますか?
実行ポリシーの「文書変換後送信」オプションを使用して、特定の条件(例:外部ドメイン受信者)に合ったメールの添付ファイルを自動的にDRMまたはAIPで暗号化できます。
問題解決
Q14: リレー設定後にメールが送信されません。どうすればよいですか?
次の事項を確認してください:
- domainInfoに登録したドメイン情報が正確か確認します。
- フィールドに指定したサーバー情報が実際のメールサーバーと一致しているか確認します。
- SHIELD Mailログでエラーメッセージを確認します。
- ファイアウォールやネットワーク設定でSHIELD Mailへの接続が許可されているか確認します。
Q15: ポリシーが設定通りに適用されません。どうすればよいですか?
次の事項を確認してください:
- 政策の優先順位設定を確認します。(複数の政策が衝突する場合、優先順位の高い政策が適用されます)
- 条件設定が正しいか確認します。
- ダッシュボードで処理状況とログを確認します。
- 必要に応じて管理者にお問い合わせください。
Q16: ワイルドカードドメイン設定時�の注意事項はありますか?
ワイルドカードドメイン設定時には、次の事項に注意してください:
- ワイルドカード(*)は1つのレベルのみを置き換えます。(例: *.example.comはsub.example.comにマッチしますが、sub.sub.example.comにはマッチしません)
- 広範囲なワイルドカード設定はセキュリティリスクを引き起こす可能性があるため、必要な範囲に制限してください。
- ワイルドカード設定後、テストを通じて意図した通りに動作するか確認します。
Q17: Spamhaus(スパムハウス)に登録されてメールの配信が失敗します。どう対処すればよいですか?
以下の順序で**確認 → 例外登録 → 身元整合性 → 認証(SPF/DKIM/DMARC)**を点検してください。
1) Spamhaus 登録の有無確�認および解除リクエスト
- 登録確認:https://check.spamhaus.org/
- 解除ガイド(参考):https://nem0.tistory.com/86
2) 受信メールサーバーのスパム例外(Allow)登録
- Microsoft 365: https://sender.office.com
3) SHIELD Mail の EHLO/HELO 関連設定の確認
-
EHLO/HELOメールサーバー情報管理を通じて
- 送信するメールサーバー名をDNSを通じてIPを照会し、接続したIPと同じかどうかを判断して送信するメールサーバーの有効性を検証します。
-
SHIELD Mail に送信するメールサーバー情報の登録
- SHIELD Mail config map 設定時
- キー名: SENDER_HOSTNAME
SENDER_HOSTNAME=shieldmail-sender.security365.com
- キー名: SENDER_HOSTNAME
- SHIELD Mail config.yaml 設定時
- sender.hostname
sender:
hostname: shieldmail-sender.security365.com
- sender.hostname
- SHIELD Mail config map 設定時
-
DNS設定の確認
- SENDER_HOSTNAME に登録されたドメインの DNS に外部に出るときに使用される SHIELD Mail サーバーの IP を登録します。
> nslookup shieldmail-sender.security365.com
서버: xxx.xxx.xxx.xxx
Address: yyy.yyy.yyy.yyy
권한 없는 응답:
이름: shieldmail-sender.security365.com
Address: 52.141.61.195 -
SMTPプロトコルを通じた確認(デバッグモードの時のみ表示)
- SHIELD Mail SMTPサービスログを通じてEHLO情報を確認します。
connected to mx=MX-SERVER:25
220 OSA0EPF000000CA.mail.protection.outlook.com Microsoft ESMTP MAIL Service ready at Tue, 26 Aug 2025
EHLO shieldmail-sender.security365.com
...
4) 顧客のSPF(Sender Policy Framework)にSHIELD Mailサーバーを登録
-
SPFとは?
- **SPF(Sender Policy Framework)**はスパム/フィッシングメールを防ぐために、送信ドメインで許可されたメールサーバー(IPまたはホスト)だけを認証する技術です。
- 受信サーバーは、送信者のDNSレコードに登録されたSPFポリシーを確認し、該当メールが許可されたサーバーから送信されたものであるかを判別します。
-
登録手続き
-
DNS管理コンソールへのアクセス
- 顧客が使用しているドメインのDNS管理ページ(例: ドメイン登録業者、クラウドDNSなど)にアクセスします。
-
SPFレコードの確認
- すでに
TXTタイプのSPFレコードが登録されているか確認します。 v=spf1で始まるレコードがある場合、既存のレコードに追加しなければなりません。- ない場合は新しく登録する必要があります。
- すでに
-
-
SPFレコードの追加 / 修正
-
主要要素の説明:
v=spf1: SPFバージョン表示include:: 許可するメール送信サーバーのドメインip4:またはip6:: サーバーIPを直接登録する際に使用~all: その他のサーバーから送信されたメールは「SoftFail」(拒否可能)として処理されます。
-
作成例:
-
Google Workspaceと自社メールサーバーを同時に使用する場合:
v=spf1 include:_spf.google.com include:mail.softcamp.co.kr ~all -
特定のIPのみを許可する場合:
v=spf1 ip4:203.0.113.10 ip4:203.0.113.11 ~all
-
-
-
適用確認
-
DNS伝播時間(通常数分〜数時間後)以降、次のツールでSPFの適用状況を確認します。
- MXToolbox SPF チェック
nslookup -type=txt yourdomain.comコマンド
-
-
注意事項
- **SPFレコードはドメインごとに1つだけ登録します。**可能です。
- 重複登録時に認証エラーが発生するため、必ずすべてのレコードを統合するしなければなりません。
- SPFレコードの文字列の長さは最大255文字であるため、長すぎると管理が難しくなります。
-all(ハードフェイル) 代わりに~all(ソフトフェイル)を推奨します。あまり厳しく設定��すると、正常なメールもブロックされる可能性があります。
- **SPFレコードはドメインごとに1つだけ登録します。**可能です。
Q18: メール送信時に"NDR"が発生しました。NDRとは何ですか?
NDR(Non-Delivery Report, 配達不能報告)とは、送信したメールが受信者に正常に配信されなかった場合に、送信者に返信されるエラーメッセージを意味します。
通常、次のような場合にNDRが生成されます:
- 受取人アドレスエラー– 存在しないメールアドレスの場合
- メールサーバーの問題– 対象サーバーがダウンしているか、アクセスが制限されている場合
- スパム/セキュリティポリシーのブロック– SPF、DKIM、DMARCポリシー違反、または受信サーバーのセキュリティポリシーにより拒否された場合
- メールボックスの容量超過– 受信者のメールボックスがいっぱいのとき
対応方法
- NDRメッセージのエラーコードを確認して原因を特定します。
- 住所エラーの場合は、受信者のメールアドレスを再確認してください。
- ポリシーブロックの場合、SPF/DKIM/DMARCの設定および受信サーバーのセキュリティポリシーを確認します。
- サーバー障害の場合は、再送信するか管理者にお問い合わせくださ�い。