ヘッダー ファイアウォールについて

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

Microsoft Exchange Server 2010 のヘッダー ファイアウォールは、受信および送信メッセージから特定のヘッダー フィールドを削除するメカニズムです。ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割がインストールされた Exchange 2010 を実行しているコンピューターでは、メッセージ ヘッダーに独自の X-Header フィールドが挿入されます。X-Header は、メッセージ ヘッダー内に存在するユーザー定義の非公式なヘッダー フィールドです。X-Header は、RFC 2822 では特に言及されていませんが、先頭に X- が付く未定義のヘッダー フィールドの使用は、メッセージに非公式のヘッダー フィールドを追加する方法として許容されるようになりました。メッセージング アプリケーション (スパム対策、ウイルス対策、およびメッセージング サーバー アプリケーションなど) は、メッセージに独自の X-Header を追加することができます。X-Header フィールドは通常は保持されますが、それらを使用しないメッセージング サーバーおよびクライアントでは無視されます。

X-Header フィールドには、SCL (Spam Confidence Level)、コンテンツ フィルターの結果、ルールの処理状態など、トランスポート サーバーがメッセージに対して実行する処理についての詳細が含まれます。権限のない送信元にこの情報が漏れると、セキュリティ上のリスクを抱える可能性があります。

ヘッダー ファイアウォールは、信頼できない送信元から Exchange 組織に送られてきた受信メッセージから X-Header を削除することによって、X ヘッダーを利用したスプーフィングを防止します。Exchange 組織外部の信頼できない送信先への送信メッセージから X-Header を削除することによって、X-Header が公開されるのを防止することができます。また、ヘッダー ファイアウォールによって、メッセージのルーティング履歴を追跡するために使用される標準のルーティング ヘッダーのスプーフィングも防止することができます。

トランスポート サーバーの管理に関連する管理タスクについては、「トランスポート サーバーの管理」を参照してください。

目次

Exchange 2010 で使用される独自の組織 X-Header およびフォレスト X-Header

組織 X-Header およびフォレスト X ヘッダーに対するヘッダー ファイアウォール

ルーティング ヘッダーに対するヘッダー ファイアウォール

ヘッダー ファイアウォールと以前のバージョンの Exchange

Exchange 2010 で使用される独自の組織 X-Header およびフォレスト X-Header

組織 X-Header はすべて X-MS-Exchange-Organization- で始まります。フォレスト X-Header はすべて X-MS-Exchange-Forest- で始まります。

次の表は、Exchange 2010 組織内のメッセージで使用される組織 X-Header およびフォレスト X-Header の一部を示します。

Exchange 2010 組織内のメッセージで使用される組織 X-Header およびフォレスト X-Header (一部)

X-Header 説明

X-MS-Exchange-Forest-RulesExecuted

この X-Header には、メッセージに対して実行されたトランスポート ルールの一覧が記述されます。

X-MS-Exchange-Organization-Antispam-Report

この X-Header は、コンテンツ フィルター エージェントによってメッセージに適用されたスパム対策フィルター結果の要約レポートです。

X-MS-Exchange-Organization-AuthAs

この X-Header は、メッセージのセキュリティが評価されている場合は常に存在します。この X-Header には認証のソースを指定します。指定できる値は、AnonymousInternalExternal、または Partner です。

X-MS-Exchange-Organization-AuthDomain

この X-Header は、ドメインのセキュリティで保護されている認証中に作成されます。値は、リモート認証されたドメインの完全修飾ドメイン名 (FQDN) です。

X-MS-Exchange-Organization-AuthMechanism

この X-Header には、メッセージ送信の際の認証機構を指定します。値は、2 桁の 16 進数です。

X-MS-Exchange-Organization-AuthSource

この X-Header には、組織の代理でメッセージの認証を評価したサーバー コンピューターの FQDN を指定します。

X-MS-Exchange-Organization-Journal-Report

この X-Header は、トランスポート時のジャーナル レポートを識別します。トランスポート サーバーからメッセージが送信されるとすぐに、ヘッダーは X-MS-Journal-Report になります。

X-MS-Exchange-Organization-OriginalArrivalTime

この X-Header は、メッセージが最初に Exchange 組織に入った時刻を識別します。

X-MS-Exchange-Organization-Original-Sender

この X-Header は、検疫されたメッセージが最初に Exchange 組織に入ったときに元の送信者を識別します。

X-MS-Exchange-Organization-OriginalSize

この X-Header は、検疫されたメッセージが最初に Exchange 組織に入ったときに元のサイズを識別します。

X-MS-Exchange-Organization-Original-Scl

この X-Header は、検疫されたメッセージが最初に Exchange 組織に入ったときに元の SCL を識別します。

X-MS-Exchange-Organization-PCL

この X-Header は PCL (Phishing Confidence Level) を識別します。指定できる PCL 値は 1 ~ 8 です。値が大きくなるほど、疑わしいメッセージであることを示します。詳細については、「スパム対策スタンプについて」を参照してください。

X-MS-Exchange-Organization-Quarantine

この X-Header は、メッセージがスパム検疫メールボックスに検疫され、配信状態通知 (DSN) が送信されたことを示します。または、メッセージが管理者によって検疫されて解放されたことを示します。この X-Header フィールドを使用すると、解放されたメッセージは再びスパム検疫メールボックスに送信されません。詳細については、「検疫済みメッセージをスパム検疫メールボックスから解放する」を参照してください。

X-MS-Exchange-Organization-SCL

この X-Header はメッセージの SCL を識別します。指定できる SCL 値は 0 ~ 9 です。値が大きくなるほど、疑わしいメッセージであることを示します。特別な値である -1 を指定すると、メッセージはコンテンツ フィルター エージェントによる処理から除外されます。詳細については、「コンテンツ フィルターについて」を参照してください。

X-MS-Exchange-Organization-SenderIdResult

この X-Header には、Sender ID エージェントの結果が含まれます。Sender ID エージェントは、SPF (Sender Policy Framework) を使用して、メッセージの送信元 IP アドレスと、送信者の電子メール アドレスに使用されているドメインを比較します。Sender ID の結果は、メッセージの SCL を計算するのに使用されます。詳細については、「送信者 ID について」を参照してください。

ページのトップへ

組織 X-Header およびフォレスト X ヘッダーに対するヘッダー ファイアウォール

Exchange 2010 では、メッセージ内に存在する組織 X-Header およびフォレスト X-Header に対して、次のようにヘッダー ファイアウォールを適用します。

  • 送信コネクタや受信コネクタに、メッセージ内の特定の X-Header を保持または削除するために使用できるアクセス許可が割り当てられます。

  • その他の種類のメッセージ送信中、メッセージ内の X-Header に対してヘッダー ファイアウォールは自動的に実装されます。

メッセージ内の組織 X ヘッダーおよびフォレスト X-Header へのヘッダー ファイアウォールの適用方法

受信メッセージ内に存在する組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールは、2 種類の固有のアクセス許可によって構成されます。これらのアクセス許可は、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーで構成されている受信コネクタに割り当てられます。

  • これらのアクセス許可が受信コネクタに割り当てられている場合、メッセージにはヘッダー ファイアウォールが適用されません。メッセージ内の組織 X-Header やフォレスト X-Header は保持されます。

  • これらのアクセス許可が受信コネクタに適用されていない場合、メッセージにはヘッダー ファイアウォールが適用されます。組織 X-Header やフォレスト X-Header はメッセージから削除されます。

次の表は、受信コネクタで使用可能な、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールのアクセス許可を示します。

受信メッセージを処理する受信コネクタで使用可能な、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールのアクセス許可

アクセス許可 既定では、アクセス許可が割り当てられたセキュリティ プリンシパル メンバーとしてのセキュリティ プリンシパルを持つ許可グループ 既定では、受信コネクタに許可グループを割り当てる使用法の種類 説明

Ms-Exch-Accept-Headers-Organization

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバー上のみ

ExchangeServers

Internal

このアクセス許可は組織 X-Header に適用されます。組織 X-Header はすべて X-MS-Exchange-Organization- で始まります。このアクセス許可が与えられていないと、受信サーバーはメッセージからすべての組織ヘッダーを削除します。

Ms-Exch-Accept-Headers-Forest

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバー上のみ

ExchangeServers

Internal

このアクセス許可はフォレスト X-Header に適用されます。フォレスト X-Header はすべて X-MS-Exchange-Forest- で始まります。このアクセス許可が与えられていないと、受信サーバーはメッセージからすべてのフォレスト ヘッダーを削除します。

カスタム受信コネクタを使用する場合に組織 X-Header やフォレスト X-Header にヘッダー ファイアウォールを適用するには、以下の方法を使用します。

  • 受信コネクタを作成し、使用法の種類として Internal 以外を選択します。受信コネクタの使用法の種類は、コネクタの作成時にのみ設定できます。詳細については、「SMTP 受信コネクタの作成」を参照してください。

  • 既存の受信コネクタを変更し、ExchangeServers 許可グループを削除します。詳細については、「受信コネクタのプロパティの構成」を参照してください。

  • Remove-ADPermission コマンドレットを使用して、受信コネクタで構成されているセキュリティ プリンシパルから Ms-Exch-Accept-Headers-Organization アクセス許可および Ms-Exch-Accept-Headers-Forest アクセス許可を削除します。許可グループを使用してセキュリティ プリンシパルにアクセス許可が割り当てられている場合、この方法は使用できません。割り当てられているアクセス許可または許可グループのグループ メンバーシップは変更できません。詳細については、「remove-ADPermission」を参照してください。

  • Add-ADPermission コマンドレットを使用して、受信コネクタで構成されているセキュリティ プリンシパルに対して Ms-Exch-Accept-Headers-Organization アクセス許可および Ms-Exch-Accept-Headers-Forest アクセス許可を拒否します。詳細については、「add-ADPermission」を参照してください。

送信メッセージ内の組織 X-Header およびフォレスト X-Header へのヘッダー ファイアウォールの適用方法

送信メッセージ内に存在する組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールは、2 種類の固有のアクセス許可によって構成されます。これらのアクセス許可は、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーで構成されている送信コネクタに割り当てられます。

  • これらのアクセス許可が送信コネクタに割り当てられている場合、メッセージにはヘッダー ファイアウォールが適用されません。メッセージ内の組織 X-Header やフォレスト X-Header は保持されます。

  • これらのアクセス許可が送信コネクタに適用されていない場合、メッセージにはヘッダー ファイアウォールが適用されます。組織 X-Header やフォレスト X-Header はメッセージから削除されます。

次の表は、送信コネクタで使用可能な、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールのアクセス許可を示します。

送信メッセージを処理する送信コネクタで使用可能な、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールのアクセス許可

アクセス許可 既定では、アクセス許可が割り当てられたセキュリティ プリンシパル 既定では、送信コネクタにセキュリティ プリンシパルを割り当てる使用法の種類 説明

Ms-Exch-Send-Headers-Organization

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバー上のみ

  • 外部的にセキュリティで保護されたサーバー

  • 従来の Exchange と相互運用性を持つユニバーサル セキュリティ グループ

  • Exchange Server 2003 ブリッジヘッド サーバー

Internal

このアクセス許可は組織 X-Header に適用されます。組織 X-Header はすべて X-MS-Exchange-Organization- で始まります。このアクセス許可が与えられていないと、送信サーバーはメッセージからすべての組織ヘッダーを削除します。

Ms-Exch-Send-Headers-Forest

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバー上のみ

  • 外部的にセキュリティで保護されたサーバー

  • 従来の Exchange と相互運用性を持つユニバーサル セキュリティ グループ

  • Exchange 2003 ブリッジヘッド サーバー

Internal

このアクセス許可はフォレスト X-Header に適用されます。フォレスト X-Header はすべて X-MS-Exchange-Forest- で始まります。このアクセス許可が与えられていないと、送信サーバーはメッセージからすべてのフォレスト ヘッダーを削除します。

カスタム送信コネクタを使用する場合に組織 X-Header やフォレスト X-Header にヘッダー ファイアウォールを適用するには、以下の方法を使用します。

  • 送信コネクタを作成し、使用法の種類として InternalPartner 以外を選択します。送信コネクタの使用法の種類は、コネクタの作成時にのみ設定できます。詳細については、「SMTP 送信コネクタの作成」を参照してください。

  • Ms-Exch-Send-Headers-Organization アクセス許可および Ms-Exch-Send-Headers-Forest アクセス許可を割り当てるセキュリティ プリンシパルをコネクタから削除します。詳細については、「送信コネクタのプロパティの構成」を参照してください。

  • Remove-ADPermission コマンドレットを使用して、送信コネクタで構成されているセキュリティ プリンシパルのいずれかから、Ms-Exch-Send-Headers-Organization アクセス許可および Ms-Exch-Send-Headers-Forest アクセス許可を削除します。詳細については、「remove-ADPermission」を参照してください。

  • Add-ADPermission コマンドレットを使用して、送信コネクタで構成されているセキュリティ プリンシパルのいずれかに対して Ms-Exch-Send-Headers-Organization アクセス許可および Ms-Exch-Send-Headers-Forest アクセス許可を拒否します。詳細については、「add-ADPermission」を参照してください。

その他のメッセージ ソースの組織 X-Header およびフォレスト X-Header へのヘッダー ファイアウォールの適用方法

送信コネクタや受信コネクタを使用せずに、メッセージが Exchange 2010 のトランスポート パイプラインに入ってくることがあります。次の一覧に示すこれらのその他のメッセージ ソースから発信されるメッセージには、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールが適用されます。

  • ピックアップ ディレクトリ   ピックアップ ディレクトリは、メッセージ ファイルを送信するために管理者またはアプリケーションによって使用されます。ピックアップ ディレクトリ内のメッセージ ファイルには、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールが常に適用されます。ピックアップ ディレクトリの詳細については、「ピックアップおよび再生ディレクトリについて」を参照してください。

  • 再生ディレクトリ   再生ディレクトリは、Exchange 2010 メッセージ キューからエクスポートされたメッセージを再送信するために使用します。組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールがこれらのメッセージでどのように適用されるかは、メッセージ ファイル内の X-CreatedBy: ヘッダー フィールドによって制御されます。

    • このヘッダー フィールドの値が MSExchange14 の場合、メッセージにヘッダー ファイアウォールは適用されません。

    • X-CreatedBy: の値が MSExchange14 以外の場合は、ヘッダー ファイアウォールが適用されます。

    • メッセージ ファイル内に X-CreatedBy: ヘッダー フィールドが存在しない場合は、ヘッダー ファイアウォールが適用されます。

    再生ディレクトリの詳細については、「ピックアップおよび再生ディレクトリについて」を参照してください。

  • ドロップ ディレクトリ   ドロップ ディレクトリは、メッセージ転送に SMTP を使用しないメッセージング サーバーにメッセージを送信するために、ハブ トランスポート サーバー上の外部コネクタによって使用されます。ドロップ ディレクトリに格納される前に、メッセージ ファイルには組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールが常に適用されます。外部コネクタの詳細については、「外部コネクタについて」を参照してください。

  • ストア ドライバー   ストア ドライバーはハブ トランスポート サーバー上に存在し、メールボックス サーバー上にあるメールボックスとの間でメッセージを送受信します。メールボックスで作成されて送信される送信メッセージの場合は、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールが常に適用されます。受信メッセージの場合は、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールは選択的に適用されます。メールボックス受信者宛ての受信メッセージの場合、次の一覧に示す X-Header はヘッダー ファイアウォールによってブロックされません。

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

    ストア ドライバーの詳細については、「トランスポート パイプラインについて」を参照してください。

  • DSN メッセージ   DSN メッセージに添付される元のメッセージまたは元のメッセージ ヘッダーには、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールが常に適用されます。DSN メッセージの詳細については、「配信状態通知の管理」を参照してください。

  • エージェントによる送信   エージェントによって送信されるメッセージには、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールは適用されません。

ページのトップへ

ルーティング ヘッダーに対するヘッダー ファイアウォール

ルーティング ヘッダーは、RFC 2821 および RFC 2822 で定義されている標準の SMTP ヘッダー フィールドです。ルーティング ヘッダーは、メッセージを受信者に配信するために使用されたさまざまなメッセージング サーバーの情報を使用してメッセージにスタンプします。次の一覧では、使用可能なルーティング ヘッダーについて説明します。

  • Received:   このヘッダー フィールドの個々のインスタンスは、受信者宛てのメッセージを受け付けて転送したすべてのメッセージング サーバーによってメッセージ ヘッダーに追加されます。通常、Received: ヘッダーには、メッセージング サーバーの名前と日付タイムスタンプが含まれます。

  • Resent-*:   Resent ヘッダー フィールドは、メッセージがユーザーによって転送されたかどうかを判断するために使用できる情報ヘッダー フィールドです。以下の Resent ヘッダー フィールドを利用できます。Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Bcc:、および Resent-Message-ID: です。

    Resent フィールドは、受信者にとってメッセージが元の送信者から直接送信されたように見えるようにするために使用されます。受信者は、メッセージ ヘッダーを参照して、メッセージを転送したのはだれかを確認することができます。

メッセージに挿入されるルーティング ヘッダーを使用すると、メッセージが受信者に到達するまでのルーティング パスを詐称することができます。Exchange 2010 では、メッセージ内に存在するルーティング ヘッダーに対してヘッダー ファイアウォールを適用する際に、2 種類の異なる方法が使用されます。

  • 送信コネクタや受信コネクタに、メッセージ内のルーティング ヘッダーを保持または削除するために使用できるアクセス許可が割り当てられます。

  • その他の種類のメッセージ送信中、メッセージ内のルーティング ヘッダーに対してヘッダー ファイアウォールは自動的に実装されます。

受信メッセージ内のルーティング ヘッダーへのヘッダー ファイアウォールの適用方法

受信コネクタには Ms-Exch-Accept-Headers-Routing というアクセス許可があり、受信メッセージ内に存在するルーティング ヘッダーを受け付ける、または拒否するために使用されます。

  • このアクセス許可が与えられている場合、受信メッセージ内のルーティング ヘッダーはすべて保持されます。

  • このアクセス許可が与えられていない場合、受信メッセージ内のルーティング ヘッダーはすべて削除されます。

次の表は、受信コネクタでの Ms-Exch-Accept-Headers-Routing アクセス許可の既定の適用を示します。

受信コネクタでの Ms-Exch-Accept-Headers-Routing アクセス許可の既定の適用

既定では、アクセス許可が割り当てられたセキュリティ プリンシパル メンバーとしてのセキュリティ プリンシパルを持つ許可グループ 既定では、受信コネクタに許可グループを割り当てる使用法の種類

匿名ユーザー アカウント

Anonymous

Internet

認証されたユーザー アカウント

ExchangeUsers

Client (エッジ トランスポート サーバーでは使用できません)

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバーのみ

  • 外部的にセキュリティで保護されたサーバー

ExchangeServers

Internal

従来の Exchange と相互運用性を持つユニバーサル セキュリティ グループ

ExchangeLegacyServers

Internal

パートナー サーバー アカウント

Partner

  • Internet

  • Partner

Ms-Exch-Accept-Headers-Routing アクセス許可は、Custom 以外のすべての使用法の種類に割り当てられます。カスタム受信コネクタを使用する場合にルーティング ヘッダーにヘッダー ファイアウォールを適用するには、以下の手順を実行します。

  1. 次のいずれかの操作を実行します。

    • 受信コネクタを作成し、使用法の種類として Custom を選択します。受信コネクタには許可グループを割り当てないでください。割り当てられているアクセス許可または許可グループのグループ メンバーシップは変更できません。

    • 既存の受信コネクタを変更し、PermissionGroups パラメーターの値を None に設定します。

  2. Add-ADPermission コマンドレットを使用して、受信コネクタで必要とする適切なセキュリティ プリンシパルを追加します。どのセキュリティ プリンシパルにも Ms-Exch-Accept-Headers-Routing アクセス許可が割り当てられていないことを確認します。必要に応じて、Add-ADPermission コマンドレットを使用して、受信コネクタを使用するように構成するセキュリティ プリンシパルに対して Ms-Exch-Accept-Headers-Routing アクセス許可を拒否します。

詳細については、以下のトピックを参照してください。

送信メッセージ内のルーティング ヘッダーへのヘッダー ファイアウォールの適用方法

送信コネクタには Ms-Exch-Send-Headers-Routing というアクセス許可があり、送信メッセージ内に存在するルーティング ヘッダーを許可または削除するために使用されます。

  • このアクセス許可が与えられている場合、送信メッセージ内のルーティング ヘッダーはすべて保持されます。

  • このアクセス許可が与えられていない場合、送信メッセージ内のルーティング ヘッダーはすべて削除されます。

次の表は、送信コネクタでの Ms-Exch-Send-Headers-Routing アクセス許可の既定の適用を示します。

送信コネクタでの Ms-Exch-Send-Headers-Routing アクセス許可の既定の適用

既定では、アクセス許可が割り当てられたセキュリティ プリンシパル 既定では、送信コネクタにセキュリティ プリンシパルを割り当てる使用法の種類

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバー上のみ

  • 外部的にセキュリティで保護されたサーバー

  • 従来の Exchange と相互運用性を持つユニバーサル セキュリティ グループ

  • Exchange 2003 ブリッジヘッド サーバー

Internal

匿名ユーザー アカウント

Internet

パートナー サーバー

Partner

Ms-Exch-Send-Headers-Routing アクセス許可は、Custom 以外のすべての使用法の種類に割り当てられます。カスタム送信コネクタを使用する場合にルーティング ヘッダーにヘッダー ファイアウォールを適用するには、以下の方法を使用します。

  • 送信コネクタを作成し、使用法の種類として Custom を選択します。送信コネクタの使用法の種類は、コネクタの作成時にのみ設定できます。詳細については、「SMTP 送信コネクタの作成」を参照してください。

  • Ms-Exch-Send-Headers-Routing アクセス許可を割り当てるセキュリティ プリンシパルをコネクタから削除します。詳細については、「送信コネクタのプロパティの構成」を参照してください。

  • Remove-ADPermission コマンドレットを使用して、送信コネクタで構成されているセキュリティ プリンシパルのいずれかから Ms-Exch-Send-Headers-Routing アクセス許可を削除します。詳細については、「remove-ADPermission」を参照してください。

  • Add-ADPermission コマンドレットを使用して、送信コネクタで構成されているセキュリティ プリンシパルのいずれかに対して Ms-Exch-Send-Headers-Routing アクセス許可を拒否します。詳細については、「add-ADPermission」を参照してください。

その他のメッセージ ソースのルーティング ヘッダーへのヘッダー ファイアウォールの適用方法

送信コネクタや受信コネクタを使用せずに、メッセージが Exchange 2010 のトランスポート パイプラインに入ってくることがあります。次の一覧に示すその他のメッセージ ソースには、ルーティング ヘッダーに対するヘッダー ファイアウォールが適用されます。

  • ピックアップ ディレクトリ   ピックアップ ディレクトリは、メッセージ ファイルを送信するために管理者またはアプリケーションによって使用されます。ピックアップ ディレクトリ内のメッセージ ファイルには、ルーティング ヘッダーに対するヘッダー ファイアウォールが常に適用されます。ピックアップ ディレクトリの詳細については、「ピックアップおよび再生ディレクトリについて」を参照してください。

  • ストア ドライバー   ストア ドライバーはハブ トランスポート サーバー上に存在し、メールボックス サーバー上にあるメールボックスとの間でメッセージを送受信します。メールボックス サーバー上のメールボックスから送信されるすべてのメッセージには、ルーティング ヘッダーに対するヘッダー ファイアウォールが常に適用されます。ルーティング ヘッダーに対するヘッダー ファイアウォールは、メールボックス受信者に配信するために受信メッセージに適用されることはありません。ストア ドライバーの詳細については、「トランスポート パイプラインについて」を参照してください。

  • DSN メッセージ   DSN メッセージに添付される元のメッセージおよび元のメッセージ ヘッダーには、ルーティング ヘッダーに対するヘッダー ファイアウォールが常に適用されます。DSN メッセージの詳細については、「配信状態通知の管理」を参照してください。

  • 再生ディレクトリ、ドロップ ディレクトリ、エージェントによる発信   再生ディレクトリ、ドロップ ディレクトリ、またはエージェントによって送信されるメッセージには、ルーティング ヘッダーに対するヘッダー ファイアウォールは適用されません。

ページのトップへ

ヘッダー ファイアウォールと以前のバージョンの Exchange

Exchange 2003 以前のバージョンの Exchange では、組織 X-Header やフォレスト X-Header は使用しません。Exchange 2010 では、Exchange 2007 以前のバージョンの Exchange を信頼できないメッセージ ソースとして扱います。以前のバージョンの Exchange を実行しているサーバーからのメッセージでは、すべての組織 X-Header およびフォレスト X-Header にヘッダー ファイアウォールが適用されます。また、Exchange 組織内に存在する以前のバージョンの Exchange を実行しているサーバーに配信されるメッセージにも、組織 X-Header およびフォレスト X-Header に対するヘッダー ファイアウォールが適用されます。

以前のバージョンの Exchange は、専用のコマンド X-EXCH50 を使用して、電子メール メッセージに含めることのできないメッセージや受信者に関する情報を転送します。この情報は、Exch50 バイナリ ラージ オブジェクト (BLOB) として転送されます。Exch50 BLOB は、1 つのオブジェクトとして格納されるバイナリ データのコレクションです。Exch50 には、SCL、アドレス書き換え情報、MIME 表現を持たない他の MAPI プロパティなどのデータが含まれます。X-EXCH50 は専用の ESMTP (Extended Simple Mail Transfer Protocol) コマンドであるため、Exch50 データは Exchange がインストールされていないサーバーで伝達できません。詳細については、「Exchange 2003 - アップグレードと共存のロードマップ計画」を参照してください。

Exchange 2010 または Exchange 2003 がインストールされているサーバー間のルーティング グループ コネクタは、Exch50 データの送受信をサポートするように自動的に構成されます。送信コネクタおよび受信コネクタは、Exch50 コマンドを有効にするアクセス許可を持ちます。

次の表は、受信メッセージ用の受信コネクタで Exch50 コマンドを許可するアクセス許可を示します。これらのアクセス許可のいずれかが与えられていなくて、Exch50 コマンドを含むメッセージが送信された場合には、サーバーはメッセージを受け付けますが、Exch50 コマンドは含めません。

受信メッセージ用の受信コネクタで Exch50 コマンドを許可するアクセス許可

アクセス許可 既定では、アクセス許可が割り当てられたセキュリティ プリンシパル メンバーとしてのセキュリティ プリンシパルを持つ許可グループ 既定では、受信コネクタに許可グループを割り当てる使用法の種類

Ms-Exch-Accept-Exch50

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバー上のみ

  • 外部的にセキュリティで保護されたサーバー

ExchangeServers

Internal

Ms-Exch-Accept-Exch50

従来の Exchange と相互運用性を持つユニバーサル セキュリティ グループ

ExchangeLegacyServers

Internal

カスタム受信コネクタを使用する場合に Exch50 コマンドをブロックするには、以下の方法を使用します。

  • 受信コネクタを作成し、使用法の種類として Internal 以外を選択します。受信コネクタの使用法の種類は、コネクタの作成時にのみ設定できます。詳細については、「SMTP 受信コネクタの作成」を参照してください。

  • 既存の受信コネクタを変更し、ExchangeServers 許可グループを削除します。詳細については、「受信コネクタのプロパティの構成」を参照してください。

  • Remove-ADPermission コマンドレットを使用して、受信コネクタで構成されているセキュリティ プリンシパルから Ms-Exch-Accept-Exch50 アクセス許可を削除します。許可グループを使用してセキュリティ プリンシパルにアクセス許可が割り当てられている場合、この方法は使用できません。割り当てられているアクセス許可または許可グループのグループ メンバーシップは変更できません。詳細については、「remove-ADPermission」を参照してください。

  • Add-ADPermission コマンドレットを使用して、受信コネクタで構成されているセキュリティ プリンシパルに対して Ms-Exch-Accept-Exch50 アクセス許可を拒否します。詳細については、「add-ADPermission」を参照してください。

次の表は、送信メッセージ用の送信コネクタで Exch50 コマンドを許可するアクセス許可を示します。このアクセス許可が与えられていなくて、Exch50 コマンドを含むメッセージが送信された場合には、サーバーはメッセージを送信しますが、Exch50 コマンドは含めません。

送信メッセージ用の送信コネクタで Exch50 コマンドを許可するアクセス許可

アクセス許可 既定では、アクセス許可が割り当てられたセキュリティ プリンシパル 既定では、送信コネクタにセキュリティ プリンシパルを割り当てる使用法の種類

Ms-Exch-Send-Exch50

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー

    注意

    ハブ トランスポート サーバー上のみ

  • 外部的にセキュリティで保護されたサーバー

  • 従来の Exchange と相互運用性を持つユニバーサル セキュリティ グループ

  • Exchange 2003 ブリッジヘッド サーバー

Internal

カスタム送信コネクタを使用する場合に Exch50 コマンドをブロックするには、以下の方法を使用します。

  • 送信コネクタを作成し、使用法の種類として Internal 以外を選択します。送信コネクタの使用法の種類は、コネクタの作成時にのみ設定できます。詳細については、「SMTP 送信コネクタの作成」を参照してください。

  • Ms-Exch-Send-Exch50 アクセス許可を割り当てるセキュリティ プリンシパルをコネクタから削除します。

  • Remove-ADPermission コマンドレットを使用して、送信コネクタで構成されているセキュリティ プリンシパルのいずれかから Ms-Exch-Send-Exch50 アクセス許可を削除します。詳細については、「remove-ADPermission」を参照してください。

  • Add-ADPermission コマンドレットを使用して、送信コネクタで構成されているセキュリティ プリンシパルのいずれかに対して Ms-Exch-Send-Exch50 アクセス許可を拒否します。詳細については、「add-ADPermission」を参照してください。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.