中継の制限の設定

中継は、自分のドメイン以外の他のドメインにメールを転送する機能です。具体的には、中継は、SMTP サーバーへの受信接続が外部ドメインに電子メール メッセージを送信するために使用される場合に発生します。既定では、Exchange サーバーは、内部および認証されたユーザーによって発信されたメールを受け付け、外部ドメインに送信します。サーバーで中継が許可されている場合、またはサーバーで中継がセキュリティで保護されていない場合は、権限のないユーザーがサーバーを使用して、不要な商用メール (スパム) を送信できるようになります。つまり、SMTP 仮想サーバーのセキュリティを保護するには、中継の制限を設定することが重要になります。

以下の、認証された中継と匿名、または許可された中継の違いを理解することが重要です。

• 認証された中継   認証された中継を使用することで、内部ユーザーは、Exchange 組織の外部のドメインにメールを送信できるようになります。ただし、メールを送信する前に認証が必要になります。既定では、Exchange は、認証された中継のみを許可します。
• 匿名の中継   匿名の中継を使用することで、すべてのユーザーが Exchange サーバーに接続して、Exchange 組織の外部にメールを送信できるようになります。

Exchange Server 2003 が、認証された中継を使用して、メールの受け付けと中継を実行する方法について、以下に例を示します。

• 匿名ユーザーが SMTP 仮想サーバーに接続し、Exchange 組織の内部ユーザーにメールを配信しようとします。
  この場合、メールが内部ドメイン宛てであり、Active Directory にもこのユーザーが存在するため、SMTP 仮想サーバーがメッセージを受け付けます。
• 匿名ユーザーが SMTP 仮想サーバーに接続して、外部ドメインの外部ユーザーにメールを配信しようとします。
  この場合、メールが Exchange サーバーの管理下にない外部ドメイン宛てであるため、SMTP 仮想サーバーはメールを拒否します。ユーザーが認証されないため、SMTP 仮想サーバーは、このメールを Exchange 組織の外部に中継しません。
• ユーザーが POP (Post Office Protocol) または IMAP (Internet Message Access Protocol) クライアント (Microsoft Outlook® Express など) を使用して SMTP 仮想サーバーに接続し、認証を受けてから、外部ドメインのユーザーにメッセージを送信しようとします。
  この場合は、電子メール クライアントが SMTP 仮想サーバーに直接接続し、ユーザーを認証します。メッセージはリモート ドメイン宛てですが、ユーザーが認証されるため、SMTP 仮想サーバーがこのメールを受け付けて中継します。

Exchange Server 2003 における中継の制御の機能を使うと、自分のサーバーを経由して第三者がメールを中継することを防止できます。中継の制御により、自分のサーバーを経由したメールの中継に対するアクセス権を持つ受信リモート IP アドレスとサブネット マスクの組み合わせの一覧を指定できます。Exchange は、受信 SMTP クライアントの IP アドレスをメールの中継が許可されている IP ネットワークの一覧と照らし合わせて確認します。クライアントがメールの中継を許可されていない場合は、ローカルの受信者に対して送信されたメールのみが許可されます。また、ドメインごとに中継の制御を実装できます。ただし、この方法には、SMTP 仮想サーバー レベルで制御される、DNS 逆引き参照による解決の実装が必要となります。

既定の中継の制限を構成する

既定では、SMTP 仮想サーバーは、認証されたユーザーからのみ、中継を許可します。この構成は、権限のないユーザーが Exchange サーバーを使用してメールを中継することを防止するために設計されています。仮想サーバーの既定の構成を使うと、認証されたコンピュータにのみメールの中継が許可されます。

一般に、不要な商用メールは、スプーフィングまたは偽造されたアドレスから発信され、中継がセキュリティで保護されていないサーバーを使用して中継されます。このため、Exchange 2003 Server は、既定で認証されたユーザーにのみ中継を許可します。多くのインターネット プロバイダでは、中継を許可しているサーバーをブロックするため、この設定を変更する場合には注意が必要です。