Note on IT
公開日: 2005年12月27日
.gif)
管理オーバーヘッドの削減のため、Microsoft Information Technology (Microsoft IT) グループでは、Microsoft® Exchange Server 2003 環境内の簡易メール転送プロトコル (SMTP) の接続方法を変更する必要がありました。Microsoft IT では、SmtplpRestrictionFlag 属性を 1 に設定して、明示的な IP アドレスのリストから匿名接続を許可し、他の Exchange サーバーからのすべての認証済み接続を許可するように SMTP 仮想サーバーを構成しました。
トピック
はじめに
状況
動作の変更
実装
はじめに
多くのメッセージング環境では、内部ゲートウェイ サーバーを使用して、さまざまな送信元から発信されたメッセージをルーティングしています。メッセージの送信元には、ローカルな電子メール環境内のサーバー、電子メール環境の外部にあるアプリケーション サーバー、別の電子メール環境のサーバーなどがあります。さまざまなテクノロジを使用している環境では、すべてのホストとの認証を行うことが常に可能、あるいは適しているとは限らないため、多くの場合は匿名接続を許可する必要があります。単純にすべての匿名接続を許可することも可能ですが、そうすると管理されていない環境が作成されます。しかし、接続許可リストの管理は、不要な管理オーバーヘッドの原因になります。
Microsoft IT にとって、Exchange インフラストラクチャの SMTP トランスポートは重要なリソースであるため、このインフラストラクチャへのアクセスを制御および規制しています。場合によっては、特定の SMTP クライアントの匿名接続を許可する必要があり、他方ではすべての認証済みクライアントの接続を許可する必要があります。
Microsoft Exchange 2000 Server を使用する環境で、SMTP 仮想サーバーの接続許可リストにインターネット プロトコル (IP) アドレスを 1 つでも追加すると、他のすべてのクライアント (匿名または認証済み) が接続できなくなります。認証済みクライアント (他の Exchange サーバーなど) を接続する場合は、その IP アドレスを接続許可リストに追加する必要があります。企業環境では、数十あるいは数百の IP アドレスの追加作業が生じる可能性があります。変更は共有されず、仮想サーバーごとに構成が必要であるため、複数の SMTP 仮想サーバーが存在する場合は、問題がいっそう複雑になります。
Microsoft IT では、図 1 に示すように、許可されたエンティティ (Exchange サーバーまたは特定の SMTP クライアント) だけが Microsoft IT グループの内部 Exchange トランスポートに電子メールを直接に送信できるようにする必要がありました。
.gif)
図
1. Microsoft IT
の
SMTP
要件のトポロジ図
大きな管理オーバーヘッドを負わずに、SMTP ルーティング環境のセキュリティを提供するための取り組みの一環として、Microsoft IT では、SMTP 仮想サーバーの動作を変更する必要がありました。Microsoft IT が実施した変更によって、SMTP 仮想サーバーは、明示的な IP アドレスのリストから匿名接続を許可し、他の Exchange サーバーからのすべての認証済み接続を許可するようになりました。
このドキュメントは、Exchange の管理者を対象としています。Microsoft Windows Server™ 2003、Microsoft Exchange Server 2003 の SMTP とルーティングの概念、およびさまざまなシステム ツールに関する実用的な知識を持っている読者を想定します。このドキュメントでは、関連するタスクの完了のために必要な場合を除き、システム ツールの詳細については説明していません。
注
:
セキュリティ上の理由から、このドキュメントで使用しているフォレスト、ドメイン、内部リソース、組織のサンプル名、および内部で開発されたアプリケーションとファイルの名前は、Microsoft 社内で実際に使用されている名前ではなく、説明の目的でのみ使用しています。また、このドキュメントには、Microsoft IT が自社のデータ センターを運営する方法が記載されています。ここに含まれている手順および方法は、汎用的なデータ センターの運用方法の規範を示すものではなく、Microsoft Customer Support Services によるサポート サービスの対象にはなりません。
状況
Microsoft IT の Active Directory® ディレクトリ サービス アーキテクチャでは、複数のフォレストをサポートしています。Microsoft 社員の大多数は、プライマリ企業ネットワーク フォレストを使用しています。運用環境のユーザーは、多数の小さなフォレストを挿入します。
Microsoft IT では、場合によっては、限られた数の電子メール クライアントからの匿名接続を許可する必要があり、その一方で、認証済みの接続については、送信元の IP アドレスにかかわらず、すべてを許可する必要があります。この動作を実現すれば、過剰な管理オーバーヘッドを負わずに、1 台のサーバーがフォレスト間およびフォレスト内のハブとしての役割を果たすのに必要な柔軟性を提供できます。
たとえば、Microsoft IT では、MSFT-HUB-xx サーバーを、Microsoft IT が管理するさまざまなフォレスト間の SMTP ブリッジヘッド サーバー、およびグループ ハブ間のルーティング サーバーとして使用しています。Microsoft IT が、ルーティング環境のセキュリティを提供するための取り組みの一環として、企業ネットワークの非プライマリ フォレストにある SMTP ブリッジヘッドに指定されたサーバーの IP アドレスを接続許可リストに追加すると、それらのサーバーだけが接続可能になります。プライマリ フォレストの Exchange サーバーは、IP アドレスをリストに追加しない限り、MSFT-HUB-xx サーバーに接続できなくなります。したがって、このリストの維持には、かなりの管理オーバーヘッドが要求されます。企業ネットワークのプライマリ フォレストの Exchange サーバーは、それぞれの認証状況に基づいて既に信頼されたエンティティであるため、接続許可リストに追加する必要はありません。
表 1 に示すように、SMTP 仮想サーバーへの接続の許可には、2 とおりの設定が標準で提供されています。
表 1. 2 とおりの SMTP 接続を許可する標準の設定
|
接続制御の設定
|
動作
|
|
以下のリストに含まれるコンピュータ以外のすべて
(
既定値
)
|
IP アドレスがリストに含まれている場合を除き、すべてのクライアントが SMTP 仮想サーバーに接続できます。
|
|
以下のリストに含まれるコンピュータのみ
|
IP アドレスがリストに含まれているクライアントだけが SMTP 仮想サーバーに接続できます。
|
注
:
クライアントは
SMTP
仮想サーバーに接続できますが、サーバーに電子メールを送信できるかどうかは、サポートされたドメインや認証方法などの他の設定に基づきます。
図 2 に示すフローチャートは、SMTP 仮想サーバーの接続の設定およびメッセージの送信時に適用されるロジックです。
.gif)
図
2.
標準の
SMTP
接続ワークフロー方法論
図 2 に示された既定の動作では、組織内の認証済み Exchange サーバーの SMTP ステータスが活用されていないことに加えて、保護された SMTP 仮想サーバーに電子メールを送信する許可を、認証済み Exchange サーバーに与えていません。
動作の変更
Microsoft IT が解決策として加えた変更によって、IP の制限が匿名接続だけに適用されるように SMTP 仮想サーバーを構成できるようになりました。接続して認証を行うサーバーは、この制限の影響を受けません。
認証は接続が確立された後に行われるため、この構成の変更は、SMTP 仮想サーバーの基本的な動作を変更します。最初は、すべての接続を許可します。ただし、クライアントの IP アドレスがリストになく、クライアントが mail from コマンドを試みる前に認証を行っていない場合は、接続が終了し、5.7.3 SMTP 応答 ("クライアントは認証されていません") が発生します。
Microsoft IT は、保護された SMTP 仮想サーバーとして稼働しているサーバー上の Microsoft インターネット インフォメーション サービス (IIS) Version 6.0 のメタベース パラメータを変更して、構成を変更しました。メタベース キー SmtpIpRestrictionFlag=1 を作成して、表 2 に示すように、SMTP 仮想サーバーへの接続を許可する動作を変更しました。
表 2. 認証済み SMTP 接続と特定の IP アドレスの匿名 SMTP 接続を許可する改正後の設定
|
接続制御の設定
|
動作
|
|
以下のリストに含まれるコンピュータのみ
|
次の条件付きで、すべての SMTP サーバーが接続できます。接続が認証済みであれば、クライアントはメッセージを送信できます*。接続が認証済みでなくても、クライアントが許可された IP アドレスのリストに含まれる場合、クライアントはメッセージを送信できます*。それ以外の場合、クライアントは SMTP エラー応答 "5.7.3 クライアントは認証されていません" を受け取ります。
|
*
メッセージの送信許可は、メッセージの受け入れの成功を保証するものではありません。送信されたメッセージに対して、さらなる制限やフィルタが適用される場合があります。
図 3 に、表 2 で参照されている接続制御の設定を示します。たとえば、以下のシナリオでは、ホスト 10.168.0.1 からの匿名 SMTP 接続および認証済み SMTP 接続が許可されます。
.gif)
図
3.
接続を許可される
IP
アドレスの指定
フラグの設定は、クライアントの電子メールの送信の許可のみに影響があります。この設定は、匿名の中継処理と認証済みの中継処理に関する SMTP 仮想サーバーの動作を変更しません。たとえば、匿名接続による送信は、引き続きサーバー上の送信者の表示名の解決、送信者 ID、送信者/受信者のフィルタ、および Exchange インテリジェント メッセージ フィルタの設定に従います。これらの機能は、回避されません。
図 4 に示すフローチャートは、SMTP 仮想サーバーの接続の設定およびメッセージの送信時に適用されるロジックです。
.gif)
図
4.
改正後の
SMTP
接続ワークフロー方法論
実装
変更を実装する手順は、次の 2 ステップから成ります。
-
IIS メタベースに、SmtpIpRestrictionFlag 属性の新しいレコードを作成します。
-
属性値を設定します。
既定では、SmtpIpRestrictionFlag 属性はメタベースに存在しません。ただし、管理者は IIS Metabase Explorer を使用して、新しいレコードを作成して属性値を変更できます。IIS Metabase Explorer は、IIS 6.0 Resource Kit Tools コレクションの一部であり、http://www.microsoft.com/downloads/details.aspx?FamilyID=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en からインストールできます。IIS Metabase Explorer のユーザー インターフェイス (UI) は、Microsoft Windows® Explorer の UI に類似しています。
レコードを作成して値を設定するには、次の手順に従います。
-
IIS Metabase Explorer を開き、変更するサーバーに接続します。
-
変更する SMTP 仮想サーバーのコンテナを参照します。
-
[Edit] メニューの [New] をポイントし、[DWORD Record] をクリックします。
-
図 5 に示すように、[New Record] ダイアログ ボックスの [Record Name or Identifier] の一覧で、[SmtpIpRestrictionFlag] を選択します。
.gif)
図
5. IIS Metabase Explorer
の
[New Record]
ダイアログボックス
注
:
図
5
の
[Owner Key]
の一覧の数字
1
は、
SMTP
仮想サーバーの番号を示します。
-
[OK] をクリックして新しいレコードを保存します。
-
新しいレコードをダブルクリックして、プロパティを表示します。
SmtpIpRestrictionFlag 属性には、次の 2 つの値があります。
-
属性値を 1 に変更し (図 6 を参照)、変更を保存します。
.gif)
図
6. IIS Metabase Explorer
の
SmtplpRestrictionFlag
属性値の変更
これで SMTP サーバーは、認証済み接続と接続許可リストに示された接続を許可できるようになりました。
For More Information
Microsoft 製品またはサービスの詳細については、Microsoft Sales Information Center、(800) 426-9400 (アメリカ国内)、Microsoft Canada Information Centre、(800) 563-9048 (カナダ国内) にお問い合わせください。米国 50 州とカナダ以外のお客様は、最寄りの Microsoft オフィスまでご連絡ください。World Wide Web 上の情報については、次のアドレスにアクセスしてください。
ドキュメントの位置付け
Note on IT は、Microsoft IT に関連する具体的なトピックを技術的な側面から詳しく掘り下げ、簡潔に説明するもので、通常、既存の IT Showcase ドキュメントに関連付けられています。この資料では、Microsoft IT が特定の運用タスクをどのような手順で実行したか、またはハードウェア デバイスやソフトウェア アプリケーションをどのように構成したかについて説明します。また、ベスト プラクティスの詳細情報や Microsoft IT での運用に関して問い合わせの多い情報を紹介することもあります。
対象読者
Microsoft Exchange Server 2003 の管理者
製品とテクノロジ
-
Exchange Server 2003
-
SMTP
ダウンロード
Microsoft での認証接続と匿名接続のための SMTP の構成
515 KB
Microsoft Word ファイル
ドキュメントの位置付け
Note on IT は、Microsoft IT に関連する具体的なトピックを技術的な側面から詳しく掘り下げ、簡潔に説明するもので、通常、既存の IT Showcase ドキュメントに関連付けられています。この資料では、Microsoft IT が特定の運用タスクをどのような手順で実行したか、またはハードウェア デバイスやソフトウェア アプリケーションをどのように構成したかについて説明します。また、ベスト プラクティスの詳細情報や Microsoft IT での運用に関して問い合わせの多い情報を紹介することもあります。
対象読者
Microsoft Exchange Server 2003 の管理者
製品とテクノロジ
-
Exchange Server 2003
- SMTP