社外との送受信を制限するための設定方法

電子メール システムを Exchange Online でクラウド化することにより、ユーザーはインターネットにつながっていればどこからでも電子メールの確認ができるようになるというメリットがある一方、特定の職種のユーザーについては、いままで電子メールを社内ユーザーとの連絡にのみ許可しており、クラウド化する際にも同じことを実現したい、という要件があることがあります。

Exchange Online では、外部との送受信時に電子メールは Forefront Online Protection for Exchange (以下 FOPE) のフィルタリングを経由するようになっており、ポリシー フィルタリングの設定を行うことで、特定のユーザーの外部との送受信を禁止することが可能です。

サービス リクエストを発行して Forefront Online Protection for Exchange のポリシー ルールを設定する

FOPE には管理画面がありますが、現在のところ Exchange Online 管理者は FOPE 管理画面で設定の変更を行うことができません。その代わり、Exchange Online 管理者は Microsoft Online Services 技術サポートにサービス リクエストを発行して、特定の設定項目の変更を依頼することができます。

例として、temp.contoso.com をドメイン名に持つ全ユーザー、および user1@contoso.com と外部ユーザーとの電子メールの送受信を禁止するには、以下の内容を「サービス リクエストを作成する」に従ってサービス リクエストを作成します。

注意: FOPE のポリシー ルールを設定するサービス リクエストは、実行が完了するまで最低 2 ～ 3 営業日かかりますので、あらかじめ約 1 週間の余裕をもってリクエストをしてください。

注意: ユーザー アカウントは独自ドメインをベースにして作られることを前提にしています。microsoftonline.com ドメインのユーザー アカウントは、ほかの組織の microsoftonline.com ユーザー アカウントと送受信を行う場合、FOPE のポリシー ルールが適用されません。

サポート担当者御中

お世話になっております。Forefront Online Protection for Exchange で以下の設定を行っていただけないでしょうか。

(1) 受信ポリシー
[送信者]-[ドメインの一致]:
*.com,*.net,*.org,*.info,*.biz,*.name,*.pro,*.aero,*.coop,*.museum,*.jobs,
*.mail,*.cat,*.post,*.asia,*.mobi,*.tel,*.ac,*.gg,*.im,*.je,*.ps,*.uk,*.int,
*.mil,*.edu,*.arpa,*.ad,*.ae,*.af,*.ag,*.ai,*.am,*.an,*.ao,*.aq,*.ar,*.as,
*.at,*.au,*.aw,*.ax,*.az,*.ba,*.bb,*.bd,*.be,*.bf,*.bg,*.bh,*.bi,*.bj,*.bm,
*.bn,*.bo,*.br,*.bs,*.bt,*.bu,*.bv,*.bw,*.by,*.bz,*.ca,*.cc,*.cd,*.cf,*.cg,
*.ch,*.ci,*.ck,*.cl,*.cm,*.cn,*.co,*.cp,*.cr,*.cs,*.cu,*.cv,*.cx,*.cy,*.cz,
*.dd,*.de,*.dg,*.dj,*.dk,*.dm,*.do,*.dz,*.ea,*.ec,*.ee,*.eg,*.eh,*.er,*.es,
*.et,*.eu,*.fi,*.fj,*.fk,*.fm,*.fo,*.fr,*.fx,*.ga,*.gb,*.gd,*.ge,*.gf,*.gg,
*.gh,*.gi,*.gl,*.gm,*.gn,*.gp,*.gq,*.gr,*.gs,*.gt,*.gu,*.gw,*.gy,*.hk,*.hm,
*.hn,*.hr,*.ht,*.hu,*.ic,*.id,*.ie,*.il,*.im,*.in,*.io,*.iq,*.ir,*.is,*.it,
*.je,*.jm,*.jo,*.jp,*.ke,*.kg,*.kh,*.ki,*.km,*.kn,*.kp,*.kr,*.kw,*.ky,*.kz,
*.la,*.lb,*.lc,*.li,*.lk,*.lr,*.ls,*.lt,*.lu,*.lv,*.ly,*.ma,*.mc,*.md,*.me,
*.mg,*.mh,*.mk,*.ml,*.mm,*.mn,*.mo,*.mp,*.mq,*.mr,*.ms,*.mt,*.mu,*.mv,*.mw,
*.mx,*.my,*.mz,*.na,*.nc,*.ne,*.nf,*.ng,*.ni,*.nl,*.no,*.np,*.nr,*.nt,*.nu,
*.nz,*.om,*.pa,*.pe,*.pf,*.pg,*.ph,*.pk,*.pl,*.pm,*.pn,*.pr,*.ps,*.pt,*.pw,
*.py,*.qa,*.re,*.ro,*.rs,*.ru,*.rw,*.sa,*.sb,*.sc,*.sd,*.se,*.sg,*.sh,*.si,
*.sj,*.sk,*.sl,*.sm,*.sn,*.so,*.sr,*.st,*.su,*.sv,*.sy,*.sz,*.tc,*.td,*.tf,
*.tg,*.th,*.tj,*.tk,*.tl,*.tm,*.tn,*.to,*.tp,*.tr,*.tt,*.tv,*.tw,*.tz,*.ua,
*.ug,*.um,*.us,*.uy,*.uz,*.va,*.vc,*.ve,*.vg,*.vi,*.vn,*.vu,*.wf,*.ws,*.ye,
*.yt,*.yu,*.za,*.zm,*.zw

[受信者]-[電子メール アドレスの一致]:
*@temp.contoso.com, user1@contoso.com

アクション:
Reject

通知:
Notify sender = ON
Subject= Returned mail: see transcript for details
Body= This email was not delivered because the domain is not allowed to receive emails from internet.
Notification Display Name=Admin
Notification From address=admin@contoso.com

(2) 送信ポリシー
[受信者]-[ドメインの一致]:
*.com,*.net,*.org,*.info,*.biz,*.name,*.pro,*.aero,*.coop,*.museum,*.jobs,
*.mail,*.cat,*.post,*.asia,*.mobi,*.tel,*.ac,*.gg,*.im,*.je,*.ps,*.uk,*.int,
*.mil,*.edu,*.arpa,*.ad,*.ae,*.af,*.ag,*.ai,*.am,*.an,*.ao,*.aq,*.ar,*.as,
*.at,*.au,*.aw,*.ax,*.az,*.ba,*.bb,*.bd,*.be,*.bf,*.bg,*.bh,*.bi,*.bj,*.bm,
*.bn,*.bo,*.br,*.bs,*.bt,*.bu,*.bv,*.bw,*.by,*.bz,*.ca,*.cc,*.cd,*.cf,*.cg,
*.ch,*.ci,*.ck,*.cl,*.cm,*.cn,*.co,*.cp,*.cr,*.cs,*.cu,*.cv,*.cx,*.cy,*.cz,
*.dd,*.de,*.dg,*.dj,*.dk,*.dm,*.do,*.dz,*.ea,*.ec,*.ee,*.eg,*.eh,*.er,*.es,
*.et,*.eu,*.fi,*.fj,*.fk,*.fm,*.fo,*.fr,*.fx,*.ga,*.gb,*.gd,*.ge,*.gf,*.gg,
*.gh,*.gi,*.gl,*.gm,*.gn,*.gp,*.gq,*.gr,*.gs,*.gt,*.gu,*.gw,*.gy,*.hk,*.hm,
*.hn,*.hr,*.ht,*.hu,*.ic,*.id,*.ie,*.il,*.im,*.in,*.io,*.iq,*.ir,*.is,*.it,
*.je,*.jm,*.jo,*.jp,*.ke,*.kg,*.kh,*.ki,*.km,*.kn,*.kp,*.kr,*.kw,*.ky,*.kz,
*.la,*.lb,*.lc,*.li,*.lk,*.lr,*.ls,*.lt,*.lu,*.lv,*.ly,*.ma,*.mc,*.md,*.me,
*.mg,*.mh,*.mk,*.ml,*.mm,*.mn,*.mo,*.mp,*.mq,*.mr,*.ms,*.mt,*.mu,*.mv,*.mw,
*.mx,*.my,*.mz,*.na,*.nc,*.ne,*.nf,*.ng,*.ni,*.nl,*.no,*.np,*.nr,*.nt,*.nu,
*.nz,*.om,*.pa,*.pe,*.pf,*.pg,*.ph,*.pk,*.pl,*.pm,*.pn,*.pr,*.ps,*.pt,*.pw,
*.py,*.qa,*.re,*.ro,*.rs,*.ru,*.rw,*.sa,*.sb,*.sc,*.sd,*.se,*.sg,*.sh,*.si,
*.sj,*.sk,*.sl,*.sm,*.sn,*.so,*.sr,*.st,*.su,*.sv,*.sy,*.sz,*.tc,*.td,*.tf,
*.tg,*.th,*.tj,*.tk,*.tl,*.tm,*.tn,*.to,*.tp,*.tr,*.tt,*.tv,*.tw,*.tz,*.ua,
*.ug,*.um,*.us,*.uy,*.uz,*.va,*.vc,*.ve,*.vg,*.vi,*.vn,*.vu,*.wf,*.ws,*.ye,
*.yt,*.yu,*.za,*.zm,*.zw

[送信者]-[電子メール アドレスの一致]:
*@temp.contoso.com, user1@contoso.com

アクション:
Reject

通知:
Notify sender = ON
Subject= Returned mail: see transcript for details
Body= This email was not delivered because the domain does not allow you to send emails outside.
Notification Display Name=Admin
Notification From address= admin@contoso.com


(3) 以下の Allow Rule を設定してください。
Scope = All Domains
Rule Scope=Inbound Message
Action=Allow
sender domains=microsoftonline.com, custhelp.com

解説

このリクエストによって 3 つのポリシー ルールが作成されます。

ルール

説明

受信拒否ポリシー

外部のすべてのトップレベル ドメインから、Microsoft Online Services 組織内の指定した受信者 (*@temp.contoso.com, user1@contoso.com) へのすべての電子メールを拒否する。拒否した場合、メールの送信者には通知 (NDR) を送る。

送信拒否ポリシー

外部のすべてのトップレベル ドメインへ、Microsoft Online Services 組織内の指定した送信者 (*@temp.contoso.com, user1@contoso.com) からのすべての電子メールを拒否する。拒否した場合、メールの送信者には通知 (NDR) を送る。

受信許可ポリシー

技術サポートやサービスのお知らせが送られてくるドメインからの受信を許可する。

送受信制限をかける対象のユーザー (*@temp.contoso.com, user1@contoso.com) や通知の送信元 (admin@contoso.com) のアドレスは適宜変更して利用してください。
NDR は以下の形式で送信されます。

注意: 通知の件名および本文には半角文字のみ指定することができます。

ポリシー ルールの詳細については、「Forefront Online Protection for Exchange 製品ドキュメント」の「Forefront Online Protection for Exchange 管理センター ユーザー ガイド」を参照してください。

設定を依頼した内容を確認する

テクニカル サポートによってポリシーが正しく設定されたことを確認するには、FOPE 管理センターの読み取り専用権限を取得してから、ログインして確認します。「Forefront Online Protection for Exchange 管理センターの読み取り専用アクセス権を取得する」に従ってアクセス権を取得します。

設定されたポリシー ルールの一覧は FOPE 管理センターでみると、以下のようになっています。

関連項目

• Forefront Online Protection for Exchange 製品ドキュメント