接続フィルタの構成

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-07-06

ここでは、接続フィルタを構成する方法の概要について説明します。カスタマイズされた構成や高度な構成については、このトピックの各セクションにあるリンクを参照してください。接続フィルタの動作の詳細については、「接続フィルタ」を参照してください。

note注 :
エッジ トランスポート サーバーの役割がインストールされているコンピュータで構成可能なコンポーネントという観点から見た場合、接続フィルタ機能とは、IP 禁止一覧、IP 許可一覧、IP 禁止一覧プロバイダ、および IP 許可一覧プロバイダの集合を意味します。接続フィルタは、サーバーを拡張するために使用されます。

接続フィルタを構成するときは、以下の手順を実行する必要があります。

  1. 接続フィルタ コンポーネントを有効にする。
  2. IP アドレスを IP 許可一覧および IP 禁止一覧に追加する。
  3. IP 許可一覧プロバイダおよび IP 禁止一覧プロバイダを構成する。
  4. 最初の SMTP (簡易メール転送プロトコル) エントリ ポイントではないエッジ トランスポート サーバー用に接続フィルタを構成する。
  5. IP 禁止および IP 許可機能をテストする。
important重要 :
Exchange 管理コンソールまたは Exchange 管理シェルを使用して接続フィルタに加えた構成の変更は、エッジ トランスポート サーバーの役割がインストールされているローカル コンピュータにのみ適用されます。組織でエッジ トランスポート サーバーの役割のインスタンスが複数実行されている場合は、接続フィルタの構成変更を各コンピュータに適用する必要があります。

接続フィルタ コンポーネントの有効化

既定では、接続フィルタは、インターネットから入ってくるが認証されていない受信メッセージ用のエッジ トランスポート サーバーで有効になっています。これらのメッセージは外部メッセージとして処理されます。Exchange 管理コンソールまたは Exchange 管理シェルを使用して、各コンピュータの構成でフィルタを無効にすることができます。

接続フィルタがコンピュータで有効になっている場合、接続フィルタ エージェントは、そのコンピュータのすべての受信コネクタを介して入ってくるメッセージをすべてフィルタ処理します。このトピックで述べたように、外部ソースから送信されたメッセージのみがフィルタ処理されます。外部ソースは、認証されていないソースと定義されます。これらは、匿名のインターネット ソースと見なされます。

受信コネクタを構成する方法、およびメッセージ ソースのカテゴリを特定する方法の詳細については、「受信コネクタ」を参照してください。

信頼のおけるパートナーや組織内からのメッセージをフィルタ処理しないようにお勧めします。スパム対策フィルタを実行する際には、正当なメッセージを誤ってフィルタ処理する可能性が常に存在します。正当な電子メール メッセージを誤って処理する可能性を低減するには、信頼されていないソースや未知のソースから送信された可能性のあるメッセージに対してのみ、スパム対策エージェントが機能するように設定する必要があります。Exchange 管理シェルを使用して、任意のソースからのメッセージに対する接続フィルタを有効または無効にすることができます。

接続フィルタを有効にする方法の詳細については、「接続フィルタを有効にする方法」を参照してください。

禁止一覧および許可一覧への IP アドレスの追加

接続フィルタ」で説明されているように、IP 禁止一覧と IP 許可一覧は、接続フィルタの対象となる IP アドレスと IP アドレスの範囲を指定する管理者定義の一覧です。発信元 IP アドレスが、IP 禁止一覧にある IP アドレスまたは IP アドレスの範囲と一致した場合、接続フィルタ エージェントはメッセージ内のすべての RCPT TO: ヘッダーを処理した後、MAIL FROM コマンドの後のメッセージを拒否します。発信元 IP アドレスが、IP 許可一覧にある IP アドレスまたは IP アドレスの範囲と一致した場合、接続フィルタ エージェントは送信先へメッセージを送信します。他のスパム対策エージェントによる処理は行われません。スパム対策エージェントが連携して動作する方法、およびスパム対策エージェントが適用される順序の詳細については、「スパム対策およびウイルス対策向けの機能」を参照してください。

note注 :
IPv6 (Internet Protocol Version 6) アドレスおよび IP アドレスの範囲は、Windows Server 2008 を実行しているコンピュータに Microsoft Exchange Server 2007 Service Pack 1 (SP1) が展開されており、そのコンピュータで IPv6 と IPv4 (Internet Protocol Version 4) の両方が有効化されており、ネットワークで両方の IP アドレス バージョンがサポートされている場合にのみ使用できます。Exchange 2007 SP1 がこの構成で展開されている場合、すべてのサーバーの役割が、IPv6 アドレスを使用しているデバイス、サーバー、およびクライアントとデータを送受信できます。Windows Server 2008 の既定のインストールでは、IPv4 と IPv6 がサポートされています。Exchange 2007 SP1 が Windows Server 2003 にインストールされている場合、IPv6 アドレスはサポートされません。Exchange 2007 SP1 での IPv6 アドレスのサポートの詳細については、「Exchange 2007 SP1 および SP2 での IPv6 サポート」を参照してください。

IP 禁止一覧および IP 許可一覧に IP アドレスを追加する方法の詳細については、「IP アドレスを IP 許可一覧および IP 禁止一覧に追加する方法」を参照してください。

IP 禁止一覧プロバイダおよび IP 許可一覧プロバイダの構成

IP 禁止一覧プロバイダ サービスおよび IP 許可一覧プロバイダ サービスは、エッジ トランスポート サーバーでのスパムの減少と全体的なメッセージ処理の向上に役立ちます。複数の IP 禁止一覧プロバイダ サービスおよび IP 許可一覧プロバイダ サービスを構成することを検討する必要があります。

note注 :
複数の IP 禁止一覧プロバイダ サービスは、リアルタイム ブロック リスト (RBL) サービスと呼ばれることもあります。IP 許可一覧プロバイダ サービスは、セーフ リスト サービスと呼ばれることもあります。

送信者 IP アドレスが IP 禁止一覧プロバイダ サービスと一致し、接続フィルタ エージェントによってブロックされた場合、送信者に返される SMTP 550 エラーは、構成する IP 禁止一覧プロバイダ サービスごとにカスタマイズできます。ブロックする IP アドレスとして送信者を区別する IP 禁止一覧プロバイダ サービスを識別できるように SMTP 550 エラーをカスタマイズすることをお勧めします。この方法を使用すれば、正当な送信者が IP 禁止一覧プロバイダ サービスに連絡して、IP 禁止一覧プロバイダ サービスの IP 禁止一覧から削除してもらうことができます。

IP 禁止一覧プロバイダ サービスが異なれば、メッセージを送信しているリモート サーバーの IP アドレスが IP 禁止一覧プロバイダ サービスの IP 禁止一覧の IP アドレスと一致するときに返されるコードも異なります。大部分の IP 禁止一覧プロバイダ サービスは次の種類のデータの 1 つを返します。それは、ビットマスクまたは絶対値です。送信された IP アドレスを記載した一覧の種類を示す複数の値が、これらのデータの種類内に存在する場合があります。

ビットマスクの例

ここでは、ほとんどの禁止一覧プロバイダが返す状態コードの例を示します。プロバイダが返す状態コードについては、特定のプロバイダから提供されるドキュメントを参照してください。

ビットマスクの種類のデータの場合、IP 禁止一覧プロバイダ サービスは、127.0.0.x の状態コードを返します。ここで、x は、以下の表に示すいずれかの値になります。

ビットマスクの種類のデータの値と状態コード

状態コード

1

IP アドレスは IP 禁止一覧に記載されています。

2

SMTP サーバーは第三者中継として機能するように構成されています。

4

IP アドレスはダイヤル アップ IP アドレスをサポートします。

絶対値の種類の場合、IP 禁止一覧プロバイダ サービスは、IP アドレスがブロックされた原因に基づいて明示的な応答を返します。以下の表は、絶対値と明示的な応答の例を示しています。

絶対値の種類のデータの値と状態コード

明示的な応答

127.0.0.2

IP アドレスは直接のスパムの送信元です。

127.0.0.4

IP アドレスは大容量メーラーです。

127.0.0.5

メッセージを送信しているリモート サーバーは多段階第三者中継をサポートすることがわかっています。

IP 許可一覧プロバイダおよび IP 禁止一覧プロバイダを構成する方法の詳細については、「IP 許可一覧プロバイダおよび IP 禁止一覧プロバイダを構成する方法」を参照してください。

最初の SMTP エントリ ポイントではないエッジ トランスポート サーバー用の接続フィルタの構成

組織によっては、エッジ トランスポート サーバーの役割が、SMTP 要求をインターネット上で直接処理しないコンピュータにインストールされている場合があります。このシナリオでは、エッジ トランスポート サーバーは、インターネットから直接受け取る受信メッセージを処理する別のフロントエンド SMTP サーバーの背後に置かれています。さらに、このシナリオでは、接続フィルタ エージェントがメッセージから正しい発信元 IP アドレスを抽出できる必要があります。発信元 IP アドレスを抽出および評価するには、接続フィルタ エージェントがメッセージの受信ヘッダーを解析し、これらのヘッダーを境界ネットワーク内の既知の SMTP サーバーと比較する必要があります。

RFC 準拠の SMTP サーバーは、メッセージを受信すると、送信者のドメイン名と IP アドレスでメッセージの受信ヘッダーを更新します。したがって、発信元である送信者とエッジ トランスポート サーバーの間にある SMTP サーバーごとに、受信ヘッダー エントリが追加されます。

Microsoft Exchange Server 2007 をサポートするように境界ネットワークを構成する際、境界ネットワーク内の SMTP サーバーに対する IP アドレスをすべて指定する必要があります。IP アドレス データは EdgeSync によりエッジ トランスポート サーバーにレプリケートされます。接続フィルタ エージェントを実行するコンピュータがメッセージを受信する際、境界ネットワーク内の SMTP サーバー IP アドレスと一致しない受信ヘッダーの IP アドレスは、発信元 IP アドレスであると想定されます。

接続フィルタを実行する前に、Active Directory フォレスト内のトランスポート構成オブジェクトで、すべての内部 SMTP サーバーを指定する必要があります。内部 SMTP サーバーを指定するには、Set-TransportConfig コマンドレットの InternalSMTPServers パラメータを使用します。

IP 禁止一覧および IP 許可一覧の機能のテスト

IP 禁止一覧プロバイダ サービスまたは IP 許可一覧プロバイダ サービスの構成が終わったら、接続フィルタが特定のサービスに対して正しく構成されているかどうかを確認するためのテストを実行します。ほとんどの IP 禁止一覧プロバイダ サービスまたは IP 許可一覧プロバイダ サービスには、サービスのテストに使用できるテスト用の IP アドレスが用意されています。IP 禁止一覧プロバイダ サービスまたは IP 許可一覧プロバイダ サービスに対しテストを実行すると、接続フィルタ エージェントは、特定の応答が返されるはずのリアルタイム ブロック リスト (RBL) IP アドレスに基づいてドメイン ネーム システム (DNS) クエリを発行します。RBL サービスの詳細については、「接続フィルタ」を参照してください。IP 禁止一覧プロバイダ サービスまたは IP 許可一覧プロバイダ サービスに対して IP アドレスをテストする方法の詳細については、「Test-IPAllowListProvider」および「Test-IPBlockListProvider」を参照してください。

詳細情報

Exchange 管理コンソールを使用して接続フィルタを構成する方法の詳細については、以下のトピックを参照してください。

Exchange 管理シェルを使用して接続フィルタを構成する方法の詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。