受信セーフ リストのシナリオ

  • [アーティクル]

 

適用対象: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Forefront Online Protection for Exchange (FOPE) コネクタを使用して受信メール ルーティングを構成することにより、組織はパートナーとのメール フロー チャネルを設定することができます。パートナー組織の IP アドレスを "セーフ リスト" に追加すると、このような指定された IP アドレスからのメールが、FOPE の IP フィルター サービスをバイパスします。受信コネクタを使用してパートナーの IP アドレスとドメイン名を構成すると、パートナーの IP アドレスが FOPE の禁止一覧に記載されている場合でも、その組織からのメールが、FOPE の IP フィルターを通過するようになります。そのパートナーから送信されるスパム レベルの高いメールは、スパム フィルターもスキップするようにコネクタを構成しない限り引き続きブロックされます。ポリシー ルールに適合するメールも、ポリシー フィルターをスキップするようにコネクタを構成していなければブロックされます。

このサンプル シナリオでは、contoso.com が、受信コネクタを使用して fabrikam.com をセーフ リストに追加しています。Contoso は Microsoft Exchange Online を使用してメールをホストしています。メールはフィルターされずに FOPE を通過して、Contoso のメールボックスに届きます。

この適用シナリオは、スタンドアロンの FOPE で保護されているオンプレミスのメール ホスティング システム、スタンドアロンの FOPE を含むクロスプレミス システム、または FOPE を備えた Exchange Online のみを含み、クラウドで完全ホストされているシステムで実装することができます。

**ヒント:**このシナリオおよび FOPE コネクタの構成手順について説明しているビデオを見るには、「受信セーフ リスト シナリオ」を参照してください。

セーフ リストのメール フロー

セーフ リストで指定されたパートナーからメールを受信する場合のアーキテクチャは次のとおりです。

受信セーフ リスト シナリオ

このシナリオでは、セーフ リストで指定されている fabrikam.com のゲートウェイから contoso.com へのメールが、FOPE のエッジ フィルターでフィルターされずに FOPE を通過します。

セーフ リストのシナリオでの FOPE コネクタの構成

セーフ リストを構成するには、セーフ リストに追加する組織を指定する受信コネクタを作成する必要があります。このサンプル シナリオに必要な設定を次に示します。ここでは、contoso.com が、受信コネクタを使用して fabrikam.com をセーフ リストに追加しています。

セーフ リスト フローのシナリオで FOPE 受信コネクタを構成するには

  1. FOPE 管理センターで [管理] タブをクリックし、[会社] タブをクリックします。

  2. [コネクタ] セクションで、[受信コネクタ] に対する [追加] をクリックします。[受信コネクタの追加] ダイアログ ボックスが開きます。

    次のイメージは、セーフ リストによるメール フローのサンプル シナリオで使用する受信コネクタの設定を示しています。

    セーフ リスト シナリオの受信コネクタ

  3. [名前] フィールドに、受信コネクタの内容を示す名前を入力します。

  4. [説明] フィールドに、受信コネクタに関する追加の説明を入力します。

  5. [送信者ドメイン] フィールドに、セーフ リストに追加する組織のドメイン名 (「fabrikam.com」など) を入力します。

  6. [送信者 IP アドレス] フィールドに、セーフ リストに追加する組織の IP アドレス (1 つまたは複数) を入力します。IP アドレスは次の形式で指定する必要があります。nnn.nnn.nnn.nnn (ここで、nnn は 1 ~ 255 の数値です)。また、次の形式でクラスレス ドメイン間ルーティング (CIDR) 範囲を指定することもできます。nnn.nnn.nnn.nnn/rr (ここで、rr は 24 ~ 31 の数値です)。複数の IP アドレスを指定する場合は、コンマで区切る必要があります。ここで IP アドレスを指定することが推奨されますが、ドメインに関連付けられている特定の IP アドレスがわからないか、スコープの広いコネクタを作成する場合は、このフィールドを空白のままにできます。

  7. [これらの IP アドレスをセーフリストに追加し、上で指定されているドメインの IP アドレスからのメールのみを受け入れます] を選択します。これにより、指定された送信者ドメインの指定された IP アドレスからのメールは IP フィルターなしで FOPE を通過し、そのドメイン内の異なる IP アドレスから送信されたメールは拒否されるようになります。最初の [上で指定されているドメインのセーフリストに、これらの IP アドレスを追加します] を選択した場合は、次の 2 つの条件が適用されます。

    • 指定された IP アドレスから送信されるメールには、コネクタの設定 (スパム フィルターの適用、ポリシー ルールの適用、受信 TLS 設定など) が適用されます。

    • コネクタで指定された IP アドレス以外から送信されるメールには、このコネクタの設定はいずれも適用されません。

  8. [コネクタ設定] セクションでは、[トランスポート層セキュリティ (TLS) 設定] の 2 つのオプション、[便宜的な TLS] および [TLS の適用] のいずれかを選択できます。

    [TLS の適用] を選択すると、オンプレミスのセーフ リストで指定されたパートナーがクラウドでホストされたユーザーに電子メールを送信するときに、TLS 接続が使用されるようにすることができます。このシナリオで、接続が TLS ベースでない場合、FOPE は電子メール メッセージを拒否します。このオプションを使用している場合は、[送信者の証明書の照合対象] をチェックしてから、安全なチャネルを確立する相手組織のドメイン名を入力することができます。このフィールドでは、ワイルドカード文字 * を使用してサブドメインの 1 つのレベルを指定できます。たとえば、「*.domain.com, 」のように指定すると、FOPE ではsubdomain1.domain.com を一致と見なしますが、subdomain2.subdomain1.domain.com は一致と見なしません。.

    [便宜的な TLS] を選択すると、FOPE は TLS 接続を試みますが、送信元の電子メール サーバーが TLS を使用するように設定されていない場合は自動的に SMTP 接続にロールオーバーします。

    FOPE での TLS の使用方法の詳細については、「FOPE のトランスポート層セキュリティ (TLS) について」を参照してください。

  9. [コネクタ設定] セクションでチェック ボックスを使用すると、いくつかの [フィルター] 操作を適用またはスキップするように指定できます。これらのフィルターをスキップするように指定すると、スパム スコアの高いメールであっても、セーフ リストで指定された組織からのものであれば、許可されます。これらのフィルター オプションは、既定では有効 (適用) になっています。

    • [IP 評価フィルターの適用]: 受信電子メール メッセージに対する IP 評価フィルターを適用するかどうかを示します。このシナリオでは、このオプションに実用的な意味はありません。

    • [スパム フィルターの適用]: 受信電子メール メッセージに対するスパム フィルターを適用するかどうかを示します。スパム フィルターをスキップするよう選択すると、パートナーがスパム メールを送信した場合に、組織がスパム メールを受信する可能性があります。

    • [ポリシー ルールの適用]: 受信電子メール メッセージに対するポリシー ルールを適用するかどうかを示します。

  10. [保存] をクリックします。

これで、コネクタが [受信コネクタ] の下に表示されます。コネクタを展開すると、設定を表示できます。[編集] をクリックすると、このコネクタの設定を変更することができます。

このコネクタの構成を会社全体または会社内の特定のドメインに適用する方法や、コネクタを削除する方法については、「FOPE コネクタの関連付けの適用と削除」を参照してください。