受信コネクタについて
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-11-28
受信コネクタは、Microsoft Exchange Server 2010 を実行しており、ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割がインストールされているコンピューター上で構成されます。受信コネクタは、すべての受信メッセージが受信される際に使用する論理ゲートウェイを表します。ここでは、受信コネクタの概要と、受信コネクタの構成が個々のメッセージの処理に与える影響について説明します。
受信コネクタの概要
Exchange 2010 トランスポート サーバーでインターネット、電子メール クライアント、および他の電子メール サーバーからメッセージを受信するには、受信コネクタが必要です。受信コネクタは、Exchange 組織に対する受信接続を制御します。既定では、内部のメール フローに必要な受信コネクタは、ハブ トランスポート サーバーの役割がインストールされるときに自動的に作成されます。インターネットとハブ トランスポート サーバーからメールを受信できる受信コネクタは、エッジ トランスポート サーバーの役割がインストールされるときに自動的に作成されます。ただし、エンド ツー エンドのメール フローが可能になるのは、エッジ サブスクリプション プロセスにより、Active Directory サイトがエッジ トランスポート サーバーを購読するようになった後だけです。インターネットに直接接続されたハブ トランスポート サーバーや、購読されていないエッジ トランスポート サーバーなどの場合は、エンド ツー エンドのメール フローを確立するコネクタを手動で構成する必要があります。
Exchange 2010 では、受信コネクタとは受信リスナーのことです。つまり、このコネクタは、受信コネクタの設定に一致する受信接続を待ちます。受信コネクタは、特定のローカル IP アドレスおよびポートを経由して、指定された IP アドレスの範囲から受信される接続を待ちます。受信コネクタは、特定の IP アドレスまたは IP アドレスの範囲からのメッセージをどのサーバーが受信するかを制御する場合に作成します。また、特定の IP アドレスから受信するメッセージのために、たとえば、メッセージ サイズを大きくしたり、メッセージあたりの受信者数や受信接続数を増やしたりして、特殊なコネクタ プロパティを構成する場合に作成します。
受信コネクタは、単一サーバーにスコープを制限して、その特定のサーバーが接続待ちをする方法を決定します。ハブ トランスポート サーバー上に受信コネクタを作成すると、受信コネクタは、コネクタが作成されたサーバーの子オブジェクトとして、Active Directory に格納されます。受信コネクタをエッジ トランスポート サーバー上で作成した場合、その受信コネクタは、 Active Directory Lightweight Directory Services (AD LDS) に格納されます。
特定のシナリオのために追加の受信コネクタが必要な場合は、Exchange 管理コンソール (EMC) または Exchange 管理シェルを使用して作成できます。各受信コネクタは、IP アドレスのバインド、ポート番号の割り当て、およびこのコネクタによって受け付けられるメールのリモート IP アドレスの範囲の一意の組み合わせを使用する必要があります。
セットアップ中に作成される既定の受信コネクタ
ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割のインストール時に、特定の受信コネクタが既定で作成されます。
ハブ トランスポート サーバー上で作成される既定の受信コネクタ
ハブ トランスポート サーバーの役割をインストールすると、2 つの受信コネクタが作成されます。通常の運用では追加の受信コネクタは不要です。ほとんどの場合、既定の受信コネクタの構成を変更する必要はありません。次の表に、これらのコネクタの使用法の種類と構成の説明を示します。
ハブ トランスポート サーバーでの既定の受信コネクタの構成
| コネクタの名前と使用法の種類 | 構成 |
|---|---|
[クライアント サーバー名] この受信コネクタは、POP や IMAP など、MAPI 以外のすべてのクライアントからの SMTP 接続を受け付けます。 |
|
[既定のサーバー名] この受信コネクタは、他のハブ トランスポート サーバーおよび所有する任意のエッジ トランスポート サーバーからの接続を受け付けます。 |
|
注意
エッジ トランスポート サーバーまたは他のハブ トランスポート サーバーからの接続を受け付ける受信コネクタには、Exchange Server 認証方法が割り当てられている必要があります。Exchange Server 認証方法は、受信コネクタを作成し、使用法の種類に [内部] を選択した場合の既定の認証方法です。
エッジ トランスポート サーバー上で作成される既定の受信コネクタ
インストール時に、1 つの受信コネクタが作成されます。この受信コネクタは、すべての IP アドレス範囲からの SMTP 通信を受け付けるように構成され、ローカル サーバーのすべての IP アドレスにバインドされます。使用法の種類はインターネットとして構成されます。したがって、コネクタは匿名接続を受け付けます。一般的なインストールでは、さらに受信コネクタを追加する必要はありません。EdgeSync を使用している場合、エッジ サブスクリプション プロセスが、アクセス許可と認証機構を自動的に構成するため、構成の変更は不要です。匿名セッションと認証されたセッションでは、付与されるアクセス許可セットが異なります。
EdgeSync を使用しない場合は、この受信コネクタの設定を変更し、使用法の種類がインターネットの受信コネクタを追加して作成することをお勧めします。受信コネクタの構成を行うには、以下の手順を実行します。
既定の受信コネクタの設定を変更する ローカル ネットワークのバインディングを、インターネットに直接接続されたネットワーク アダプターのみの IP アドレスに設定します。
受信コネクタを作成する コネクタの使用法の種類として [内部] を選択します。ローカル ネットワーク バインディングを、組織に向いているネットワーク アダプターのみの IP アドレスに設定します。ハブ トランスポート サーバーに割り当てられているリモート IP アドレスからメールを受信するように、リモート ネットワークの設定を構成します。
注意
エッジ トランスポート サーバーまたは他のハブ トランスポート サーバーからの接続を受け付ける受信コネクタには、Exchange Server 認証方法が割り当てられている必要があります。Exchange Server 認証方法は、受信コネクタを作成し、使用法の種類に [内部] を選択した場合の既定の認証方法です。
基本認証が必要かどうかを決定する 基本認証をサポートする場合は、ローカル ユーザー アカウントを作成し、Add-ADPermission コマンドレットを使用して必要なアクセス許可を付与します。
詳細については、「EdgeSync を使用しないエッジ トランスポート サーバーとハブ トランスポート サーバー間のメール フローを構成する」を参照してください。
受信コネクタの使用法の種類
使用法の種類によって、コネクタの既定のセキュリティ設定が決定されます。
受信コネクタのセキュリティ設定によって、この受信コネクタに接続するセッションに付与されるアクセス許可や、サポートされる認証機構が指定されます。
EMC を使用して受信コネクタを構成する場合は、SMTP 受信コネクタの新規作成ウィザードによって、コネクタの使用法の種類を選択するよう求められます。2 つの方法によって使用法の種類を指定できます。
Usage
Customのように、Usage パラメーターを目的の値と共に使用します。指定する使用法の種類に基づく必須パラメーターは他にもあります。New-ReceiveConnector コマンドに必須パラメーターを指定しないと、コマンドは失敗します。Custom など、目的とする使用法の種類のスイッチ パラメーターを使用します。指定する使用法の種類に基づく必須パラメーターは他にもあります。New-ReceiveConnector コマンドに必須パラメーターを指定しないと、コマンドを続行するために必要なパラメーター値を入力するように求められます。
許可グループ
許可グループは、既知のセキュリティ プリンシパルに付与され、受信コネクタに割り当てられる定義済みのアクセス許可のセットです。セキュリティ プリンシパルには、ユーザー、コンピューター、およびセキュリティ グループが含まれます。セキュリティ プリンシパルは、セキュリティ識別子 (SID) で表されます。許可グループは受信コネクタでのみ使用できます。許可グループを使用すると、受信コネクタでのアクセス許可の構成が簡略化されます。PermissionGroups プロパティは、受信コネクタにメッセージを送信できるグループまたは役割と、それらのグループに割り当てられるアクセス許可を定義します。許可グループのセットは、Exchange 2010 であらかじめ定義されています。つまり、追加の許可グループを作成することはできません。また、許可グループのメンバーや、関連付けられたアクセス許可を変更することもできません。
次の表は、利用可能な許可グループと、その許可グループが受信コネクタに対して構成されている場合に付与されるセキュリティ プリンシパルとアクセス許可の一覧です。
受信コネクタの許可グループ
| 許可グループの名前 | 関連付けられたセキュリティ プリンシパル (SID) | 付与されるアクセス許可 |
|---|---|---|
Anonymous |
匿名ユーザー アカウント |
|
ExchangeUsers |
認証されたユーザー アカウント |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Exchange Legacy Interop セキュリティ グループ |
|
パートナー |
パートナー サーバー アカウント |
|
受信コネクタの使用法の種類
使用法の種類によって、受信コネクタに割り当てられる既定の許可グループと、セッションの認証に使用できる既定の認証機構が決定されます。受信コネクタは常に、送信者からの TLS の使用要求に応答します。次の表は、使用可能な使用法の種類と既定の設定を示しています。
受信コネクタの使用法の種類
| 使用法の種類 | 既定の許可グループ | 既定の認証機構 |
|---|---|---|
クライアント (エッジ トランスポート サーバーでは使用できません) |
ExchangeUsers |
TLS TLS 経由の基本認証 統合 Windows 認証 |
カスタム |
なし |
なし |
内部 |
ExchangeServers ExchangeLegacyServers (この許可グループは、エッジ トランスポート サーバーでは使用できません) |
Exchange Server 認証 |
インターネット |
AnonymousUsers パートナー |
なし、または外部的にセキュリティで保護 |
パートナー |
パートナー |
該当なし。この使用法の種類は、リモート ドメインとの相互 TLS を確立したときに選択されます。 |
受信コネクタのアクセス許可と認証機構については後で説明します。
受信コネクタの使用シナリオ
使用法の各種類は、特定の接続シナリオに適しています。目的の構成に最も適している既定の設定を備えた使用法の種類を選択してください。アクセス許可は、Add-ADPermission コマンドレットおよび Remove-ADPermission コマンドレットを使用して変更できます。詳細については、以下のトピックを参照してください。
次の表に、一般的な接続シナリオと、各シナリオに適した使用法の種類を示します。
受信コネクタの使用シナリオ
| コネクタのシナリオ | 使用法の種類 | コメント |
|---|---|---|
インターネットからの電子メールを受信するエッジ トランスポート サーバー |
インターネット |
エッジ トランスポート サーバーの役割がインストールされるときに、すべてのドメインからの電子メールを受け付けるように構成された受信コネクタが自動的に作成されます。 |
インターネットからの電子メールを受信するハブ トランスポート サーバー |
インターネット |
これは推奨構成ではありません。詳細については、「ハブ トランスポート サーバーを直接介したインターネット メール フローを構成する」を参照してください。 |
Exchange Server 2003 ブリッジヘッド サーバーからの電子メールを受信するエッジ トランスポート サーバー |
内部 |
このシナリオでは、Exchange 2003 ブリッジヘッド サーバーは、エッジ トランスポート サーバーを送信コネクタのスマート ホストとして使用するように構成されます。 |
POP3 または IMAP4 を使用するクライアント アプリケーションからの電子メール発信を受信するハブ トランスポート サーバー |
クライアント |
ハブ トランスポート サーバーの役割がインストールされるときに、すべてのハブ トランスポート サーバーにこの受信コネクタが自動的に作成されます。既定では、この受信コネクタは、TCP ポート 587 経由で電子メールを受信するように構成されます。 |
ハブ トランスポート サーバーからの電子メールを受信するハブ トランスポート サーバー |
内部 |
同じ組織内のハブ トランスポート サーバー間で受信コネクタを構成する必要はありません。この使用法の種類は、フォレスト間の受信コネクタを構成する場合に使用できます。 |
同じフォレスト内の Exchange 2003 ブリッジヘッド サーバーからの電子メールを受信するハブ トランスポート サーバー |
内部 |
これはオプションの構成です。Exchange 2010 と以前のバージョンの Exchange の間のトランスポートは、双方向ルーティング グループ コネクタを通じて実行されます。Exchange 2003 ルーティング グループへの SMTP コネクタを作成する場合は、ルーティング グループ コネクタも存在している必要があります。詳細については、「Exchange 2010 から Exchange 2003 への追加のルーティング グループ コネクタを作成する」を参照してください。 |
ハブ トランスポート サーバーからの電子メールを受信するエッジ トランスポート サーバー |
内部 |
エッジ トランスポート サーバーの役割がインストールされるときに、すべてのドメインからの電子メールを受け付けるように構成された受信コネクタが自動的に作成されます。別のコネクタを作成し、Exchange 組織からの電子メールだけを受信するようにそのコネクタを構成することができます。 |
別のフォレスト内のハブ トランスポート サーバーからの電子メールを受信する、あるフォレスト内のハブ トランスポート サーバーのためのフォレスト間受信コネクタ |
カスタム |
詳細な構成手順については、「フォレスト間コネクタを構成する」を参照してください。 |
別のフォレスト内のExchange 2003 ブリッジヘッド サーバーからの電子メールを受信する、あるフォレスト内のハブ トランスポート サーバーのためのフォレスト間受信コネクタ |
カスタム |
詳細な構成手順については、「フォレスト間コネクタを構成する」を参照してください。 |
サード パーティのメッセージ転送エージェント (MTA) からの電子メールを受信するハブ トランスポート サーバー |
内部 |
受け付けるメッセージの IP アドレスの範囲を指定し、認証機構を [基本認証] または [外部的にセキュリティで保護] のどちらかに設定します。 |
サード パーティの MTA からの電子メールを受信するエッジ トランスポート サーバー |
カスタム |
Add-ADPermission コマンドレットを使用して、拡張された権利を設定します。受け付けるメッセージの IP アドレスの範囲を指定し、認証機構を [基本認証] に設定します。また、使用法の種類として [内部] を選択し、認証方法として [外部的にセキュリティで保護] を設定することもできます。このオプションを選択した場合は、追加のアクセス許可を構成する必要はありません。 |
外部の中継ドメインからの電子メールを受信するエッジ トランスポート サーバー |
カスタム |
エッジ トランスポート サーバーは、外部の中継ドメインからの電子メールを受け付け、それを送信先の受信者ドメインに中継することができます。受け付けるメッセージの IP アドレスの範囲を指定し、適切な認証機構を設定して、Add-ADPermission コマンドレットを使用して、拡張された権利を設定します。 |
相互 TLS 認証を確立した相手のドメインからの電子メールを受信するエッジ トランスポート サーバー |
パートナー |
相互 TLS 認証は、以下の条件が満たされている場合にのみ正しく機能します。
詳細については、「Set-ReceiveConnector」を参照してください。 |
Microsoft Exchange Hosted Services サーバーからの接続を受け付けるエッジ トランスポート サーバー |
カスタム |
Exchange Hosted Services サーバーは、外部的に権限のあるサーバーとして機能することができます。[外部的にセキュリティで保護] の認証機構を使用するには、Set-ReceiveConnector コマンドレットを使用して、PermissionGroup パラメーターを |
Exchange Hosted Services サーバーからの接続を受け付けるハブ トランスポート サーバー |
カスタム |
Exchange Hosted Services サーバーは、外部的に権限のあるサーバーとして機能することができます。[外部的にセキュリティで保護] の認証機構を使用するには、Set-ReceiveConnector コマンドレットを使用して、PermissionGroup パラメーターを |
受信コネクタのアクセス許可
受信コネクタのアクセス許可は、そのコネクタの許可グループを指定したときにセキュリティ プリンシパルに割り当てられます。セキュリティ プリンシパルが受信コネクタとのセッションを確立するときに、受信コネクタのアクセス許可によって、そのセッションが受け付けられるかどうかと、受信されるメッセージの処理方法が決定されます。次の表は、受信コネクタでセキュリティ プリンシパルに割り当てることのできるアクセス許可を示しています。受信コネクタのアクセス許可は、EMC を使用するか、またはシェルで Set-ReceiveConnector コマンドレットに PermissionGroups パラメーターを使用することにより設定できます。また、受信コネクタの既定のアクセス許可を変更するには、Add-ADPermission コマンドレットを使用できます。
受信コネクタのアクセス許可
| 受信コネクタのアクセス許可 | 説明 |
|---|---|
ms-Exch-SMTP-Submit |
セッションにはこのアクセス許可を与える必要があります。そうしないと、セッションはこの受信コネクタにメッセージを送信できません。セッションがこのアクセス許可を持っていない場合、MAIL FROM および AUTH コマンドは失敗します。 |
ms-Exch-SMTP-Accept-Any-Recipient |
このアクセス許可によって、セッションはこのコネクタを介してメッセージを中継できます。このアクセス許可が与えられていない場合、このコネクタでは、承認済みドメイン内の受信者宛てのメッセージのみが受け付けられます。 |
ms-Exch-SMTP-Accept-Any-Sender |
このアクセス許可によって、セッションは送信者アドレスのスプーフィング チェックを省略できます。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
このアクセス許可によって、権限のあるドメインに電子メール アドレスを持つ送信者はこの受信コネクタとのセッションを確立できます。 |
ms-Exch-SMTP-Accept-Authentication-Flag |
このアクセス許可によって、Exchange 2003 サーバーは内部の送信者からのメッセージを送信できます。Exchange 2010 は、このメッセージが内部のメッセージであると認識します。送信者はメッセージを "信頼できる" と宣言することができます。匿名の発信を通じて Exchange システムに入ってきたメッセージは、このフラグが信頼されていない状態に設定されて、Exchange 組織経由で中継されます。 |
ms-Exch-Accept-Headers-Routing |
このアクセス許可によって、セッションは、すべての受信ヘッダーが変更されていないメッセージを送信できます。このアクセス許可が与えられていない場合、サーバーはすべての受信ヘッダーを削除します。 |
ms-Exch-Accept-Headers-Organization |
このアクセス許可によって、セッションは、すべての組織ヘッダーが変更されていないメッセージを送信できます。組織ヘッダーはすべて、X-MS-Exchange-Organization- で始まります。このアクセス許可が与えられていない場合、受信側のサーバーはすべての組織ヘッダーを削除します。 |
ms-Exch-Accept-Headers-Forest |
このアクセス許可によって、セッションは、すべてのフォレスト ヘッダーが変更されていないメッセージを送信できます。フォレスト ヘッダーはすべて、X-MS-Exchange-Forest- で始まります。このアクセス許可が与えられていない場合、受信側のサーバーはすべてのフォレスト ヘッダーを削除します。 |
ms-Exch-Accept-Exch50 |
このアクセス許可によって、セッションは XEXCH50 コマンドが含まれたメッセージを送信できます。このコマンドは、Exchange 2003 との相互運用に必要です。XEXCH50 コマンドは、メッセージの SCL (Spam Confidence Level) などのデータを提供します。 |
ms-Exch-Bypass-Message-Size-Limit |
このアクセス許可によって、セッションは、コネクタで構成されているメッセージのサイズ制限を超えるメッセージを送信できます。 |
Ms-Exch-Bypass-Anti-Spam |
このアクセス許可によって、セッションはスパム対策フィルターをバイパスできます。 |
ローカル ネットワーク設定
EMC では、受信コネクタのローカル ネットワーク設定を使用して、トランスポート サーバーが接続を受け付けるときに使用する IP アドレスとポートを指定します。シェルでは、Bindings パラメーターを使用して、受信コネクタが接続を受け付けるときに使用するトランスポート サーバーのローカル IP アドレスおよびポートを指定します。これらの設定によって、受信コネクタが、トランスポート サーバー上の特定のネットワーク アダプターと TCP ポートにバインドされます。
既定では、受信コネクタは、使用可能なすべてのネットワーク アダプターと TCP ポート 25 を使用するように構成されます。トランスポート サーバーに複数のネットワーク アダプターがある場合は、受信コネクタを特定のネットワーク アダプターにバインドしたり、別のポート経由で接続を受け付けたりすることができます。たとえば、エッジ トランスポート サーバー上の 1 つの受信コネクタを、外部ネットワーク アダプター経由で匿名接続を受け付けるように構成することができます。2 番目の受信コネクタを、内部ネットワーク アダプター経由でハブ トランスポート サーバーからの接続のみを受け付けるように構成することができます。
注意
受信コネクタを特定のローカル IP アドレスにバインドすることを選択する場合、その IP アドレスは、受信コネクタが配置されているハブ トランスポート サーバーまたはエッジ トランスポート サーバーの有効な IP アドレスである必要があります。無効なローカル IP アドレスを指定すると、Microsoft Exchange Transport サービスはサービスを再開するときに失敗する可能性があります。受信コネクタを特定の IP アドレスにバインドするのではなく、ハブ トランスポート サーバーまたはエッジ トランスポート サーバー上のすべての使用可能な IP アドレスにバインドすることができます。
受信コネクタのバインドを構成する場合は、ネットワーク アダプターの IP アドレスを指定します。受信コネクタが既定のポート以外のポート経由で接続を受け付けるように構成されている場合は、送信側のクライアントまたはサーバーがそのポートに送信するように構成されている必要があります。また、メッセージの送信者と受信側のサーバーの間のすべてのファイアウォールで、そのポートを経由したネットワーク トラフィックが許可されている必要があります。
EMC の SMTP 受信コネクタの新規作成ウィザードの [ローカル ネットワーク設定] ページには、[HELO または EHLO に応答してこのコネクタが提供する FQDN を指定する] というオプションがあります。シェルでは、このプロパティは、Set-ReceiveConnector コマンドレットで Fqdn パラメーターを使用することにより設定されます。SMTP セッションが確立されると、送信側の電子メール サーバーと受信側の電子メール サーバーとの間で SMTP プロトコル通信が開始されます。送信側の電子メール サーバーまたはクライアントは、EHLO または HELO SMTP コマンドとその FQDN を受信側のサーバーに送信します。それに応答して、受信側のサーバーは成功コードを送信し、自身の FQDN を提供します。Exchange 2010 では、受信コネクタでこのプロパティを構成する場合、受信側のサーバーによって提供される FQDN をカスタマイズすることができます。送信先のサーバー名が必須である場合は常に、接続されたメッセージング サーバーに対して FQDN の値が表示されます。以下にその例を示します。
受信コネクタの既定の SMTP バナー内
メッセージがハブ トランスポート サーバーまたはエッジ トランスポート サーバーに到着したときの受信メッセージの最新の
Received:ヘッダー フィールド内TLS 認証中
注意
ハブ トランスポート サーバー上に自動的に作成される、"既定の <サーバー名>" という名前の既定の受信コネクタ上では、FQDN 値を変更しないでください。Exchange 組織内に複数のハブ トランスポート サーバーがあり、"既定の <サーバー名>" 受信コネクタの FQDN 値を変更した場合、ハブ トランスポート サーバー間の内部メール フローが失敗します。
リモート ネットワーク設定
EMC では、受信コネクタのリモート ネットワーク設定を使用して、この受信コネクタが接続を受け付ける IP アドレスの範囲を指定します。シェルでは、RemoteIPRanges パラメーターを使用して、この受信コネクタが接続を受け付ける IP アドレスの範囲を指定します。ハブ トランスポート サーバーおよびエッジ トランスポート サーバー上に作成される受信コネクタは、既定では 0.0.0.0-255,255,255,255 (つまりすべての IP アドレス) からの接続を許可します。
注意
Exchange 2010 では、ハブ トランスポート サーバー上の既定の受信コネクタには IPv6 アドレスの範囲 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 もあります。
特定のシナリオ用に受信コネクタを構成する場合は、リモート ネットワーク設定を、受信コネクタに対するアクセス許可と構成設定を許可するサーバーの IP アドレスのみに設定します。一方の範囲がもう一方の範囲に完全に重複しているのであれば、複数の受信コネクタでリモート IP アドレスの範囲が重複していてもかまいません。リモート IP アドレスの範囲が重複している場合は、接続元サーバーの IP アドレスに一致する最も限定的な範囲が使用されます。
受信コネクタが受信接続を受け付けるリモート サーバーの IP アドレスまたは IP アドレスの範囲は、次のいずれかの形式で入力します。
IP アドレス 192.168.1.1
IP アドレスの範囲 192.168.1.10 ~ 192.168.1.20
IP アドレスとサブネット マスク 192.168.1.0 (255.255.255.0)
IP アドレスと CIDR (Classless Interdomain Routing) 表記法を使用したサブネット マスク 192.168.1.0/24
受信コネクタの認証設定
EMC では、受信コネクタの認証設定を使用して、Exchange 2010 トランスポート サーバーによってサポートされている認証機構を指定します。シェルでは、AuthMechanisms パラメーターを使用して、サポートされている認証機構を指定します。受信コネクタに対して複数の認証機構を構成できます。使用法の種類ごとに自動的に構成される認証機構については、このトピックの表「受信コネクタの使用法の種類」を参照してください。次の表は、受信コネクタで使用できる認証機構を示しています。
受信コネクタの認証機構
| 認証機構 | 説明 |
|---|---|
なし |
認証はありません。 |
TLS |
STARTTLS を通知します。TLS を提供するには、サーバー証明書を使用できる必要があります。 |
統合 |
NTLM および Kerberos (統合 Windows 認証) |
BasicAuth |
基本認証。認証されたログオンが必要です。 |
BasicAuthRequireTLS |
TLS 経由の基本認証。サーバー証明書が必要です。 |
ExchangeServer |
Exchange Server 認証 (GSS-API (Generic Security Services application programming interface) および相互 GSS-API) |
ExternalAuthoritative |
接続は、Exchange の外部のセキュリティ機構を使用して、外部的にセキュリティで保護されていると見なされます。この接続は、インターネット プロトコル セキュリティ (IPsec) アソシエーションまたは仮想プライベート ネットワーク (VPN) になります。または、このサーバーは信頼できる物理的に制御されたネットワークに属している場合があります。 |
その他の受信コネクタのプロパティ
受信コネクタのプロパティ構成によって、そのコネクタ経由で電子メールを受信する方法が定義されます。EMC ですべてのプロパティを使用できるわけではありません。シェルを使用して構成できるプロパティの詳細については、「Set-ReceiveConnector」を参照してください。
匿名の中継に受信コネクタを使用する
インターネット SMTP メッセージング サーバー上での匿名の中継は深刻なセキュリティ上の欠陥になります。つまり、匿名の中継は、迷惑な商用電子メールの送信者つまりスパム発信者によって、メッセージの送信元を隠すために利用される可能性があります。このため、権限のない送信先に中継できないように、インターネットに直接接続されたメッセージング サーバーには制限が設定されます。
Exchange 2010 では、通常、承認済みドメインを使用して中継を処理します。承認済みドメインは、エッジ トランスポート サーバーまたはハブ トランスポート サーバー上で構成されます。承認済みドメインは、内部の中継ドメインまたは外部の中継ドメインとしてさらに分類されます。承認済みドメインの詳細については、「承認済みドメインについて」を参照してください。
受信メッセージの発信元に基づいて、匿名の中継を制限することもできます。この方法は、認証されていないアプリケーションまたはメッセージング サーバーで、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーを中継サーバーとして使用する必要がある場合に役立ちます。
匿名の中継を許可するように構成される受信コネクタを作成する場合、受信コネクタに次の制限を設定する必要があります。
ローカル ネットワーク設定 ハブ トランスポート サーバーまたはエッジ トランスポート サーバー上にある適切なネットワーク アダプターでのみ待機するように、受信コネクタを制限します。
リモート ネットワーク設定 指定されたサーバー (複数可) からの接続のみを受け付けるように、受信コネクタを制限します。この制限が必要になるのは、匿名ユーザーからの中継を受け付けるように受信コネクタが構成されているためです。IP アドレスによって接続元のサーバーを制限しても、この受信コネクタで許可される程度の保護しか実現できません。
受信コネクタで匿名ユーザーに中継アクセス許可を付与するには、後で説明する戦略のどちらかを使用できます。それぞれの戦略には利点と欠点があります。両方の方法の詳しい手順については、「受信コネクタの匿名の中継を許可する」を参照してください。
匿名接続での中継アクセス許可の付与
この戦略では次の作業を行う必要があります。
使用法の種類を
Customに設定して受信コネクタを作成します。Anonymous 許可グループを受信コネクタに追加します。
受信コネクタ上の匿名ログオン セキュリティ プリンシパルに中継アクセス許可を割り当てます。
Anonymous 許可グループは、受信コネクタで匿名ログオン セキュリティ プリンシパルに次のアクセス許可を与えます。
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
ただし、この受信コネクタで匿名の中継を許可するには、受信コネクタ上の匿名ログオン セキュリティ プリンシパルに次のアクセス許可も付与する必要があります。
- Ms-Exch-SMTP-Accept-Any-Recipient
この戦略の利点は、特定のリモート IP アドレスに中継するために必要な最小限のアクセス許可を付与できることです。
この戦略の欠点は次のとおりです。
必要なアクセス許可を付与するための追加の構成手順が必要です。
指定された IP アドレスから発信されたメッセージは、匿名メッセージとして扱われます。したがって、このメッセージでは、スパム対策の確認とメッセージ サイズの制限の確認が省略されず、匿名の送信者を解決することはできません。匿名の送信者の解決処理では、匿名の送信者の電子メール アドレスと、グローバル アドレス一覧 (GAL) 内の対応する表示名とを強制的に一致させようとします。
外部的にセキュリティで保護としての受信コネクタの構成
この戦略では次の作業を行う必要があります。
使用法の種類を
Customに設定して受信コネクタを作成します。ExchangeServers 許可グループを受信コネクタに追加します。
ExternalAuthoritative認証機構を受信コネクタに追加します。
ExternalAuthoritative 認証機構を選択する場合は、ExchangeServers 許可グループが必要です。認証方法と許可グループのこの組み合わせにより、受信コネクタで許可されるすべての受信接続に次のアクセス許可が付与されます。
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
この戦略の利点は次のとおりです。
簡単な構成。
指定した IP アドレスから発信されたメッセージは、認証されたメッセージとして扱われます。このメッセージでは、スパム対策の確認とメッセージ サイズの制限の確認が省略され、匿名の送信者を解決できます。
この戦略の欠点は、リモート IP アドレスが完全に信頼できると見なされることです。リモート IP アドレスに付与されるアクセス許可では、リモート メッセージング サーバーによって Exchange 組織の内部の送信者から発信されたようにメッセージを送信できます。
Exchange 2010 Service Pack 1 の新機能
Exchange Server 2010 の Service Pack 1 (SP1) では、受信コネクタに新機能が追加されました。ここでは、これらの新しい機能の概要について説明します。
ベア ライン フィード制御
メール サーバーが SMTP セッションを確立すると、SMTP コマンドを発行してメッセージを送信します。送信者と受信者の情報を指定した後、送信側のサーバーが DATA コマンドを使用してメッセージのコンテンツを送信します。DATA コマンドの発行後に送信されるコンテンツは、データ ストリームと呼ばれます。データ ストリームは、特別な文字のシーケンス (キャリッジ リターン/ライン フィード (CR/LF)、ピリオド、別の CR/LF の順) で終結します。
キャリッジ リターン (CR) 文字の直後にライン フィード (LF) 文字が続かない場合、ベア ライン フィードと呼ばれます。ベア ライン フィードは、SMTP 通信では許可されません。ベア ライン フィードを含むメッセージを正常に配信することもできますが、このようなメッセージは SMTP プロトコルに従っていないため、メッセージング サーバーで問題が発生する可能性があります。
Exchange 2010 SP1 では、受信コネクタを構成して、データ ストリームにベア ライン フィードを含むメッセージを拒否するようにできます。この動作は、Set-ReceiveConnector コマンドレットの BareLineFeedRejectionEnabled パラメーターで制御されます。既定では、下位互換性を確保するために、この設定は無効になっています。このパラメーターの構成の詳細については、「Set-ReceiveConnector」を参照してください。
拡張保護機能
Windows は、暗号化されたチャネル経由の NTLM 認証を認証中継攻撃から保護するチャネル バインドを備えています。Exchange 2010 では、認証の拡張保護をサポートするように Exchange が提供するすべてのサービスが更新されました。トランスポートでこの機能をサポートするように受信コネクタが更新されました。受信コネクタの認証の拡張保護機能を有効、必須、無効にすることができます。
Set-ReceiveConnector コマンドレットの ExtendedProtectionPolicy パラメーターと ExtendedProtectionTlsTerminatedAtProxy パラメーターを使用すると、トランスポート サーバーによる拡張保護の処理方法を制御できます。受信コネクタを構成して、拡張保護を許可または必要とするようにできます。拡張保護を必要とするように受信コネクタを構成すると、拡張保護をサポートしていないホストからの受信接続は拒否されます。下位互換性を確保するために、拡張保護は既定で無効になっています。受信コネクタの拡張保護の構成の詳細については、「Set-ReceiveConnector」を参照してください。
拡張保護の詳細については、次のリソースを参照してください。
マイクロソフト サポート技術情報文書番号 973811「マイクロソフト セキュリティ アドバイザリ:認証に対する保護の強化」
MSDN ライブラリ トピック「拡張保護を使用した統合 Windows 認証」
© 2010 Microsoft Corporation.All rights reserved.