接続フィルタ

[アーティクル]
10/25/2013

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2009-10-06

接続フィルタエージェントは、Microsoft Exchange Server 2007 エッジトランスポートサーバーの役割がインストールされているコンピュータで有効にされるスパム対策エージェントです。接続フィルタエージェントは、接続しようとしているリモートサーバーの IP アドレスを使用して、受信メッセージに対して行う処理がある場合にどの処理を行うかを判断します。リモート IP アドレスは、SMTP (簡易メール転送プロトコル) セッションに必要な、基になる TCP/IP 接続の副産物として、接続フィルタエージェントで使用できます。接続フィルタエージェントは、メッセージを送信しているリモートサーバーの IP アドレスが有効であるかどうかを評価する必要があるので、通常はインターネットに直接接続されたエッジトランスポートサーバー上で有効にします。ただし、受信メッセージパスのより深い部分で接続フィルタエージェントを実行する追加の構成を実行することもできます。

エッジトランスポートサーバーでスパム対策エージェントを構成すると、エージェントはメッセージに対して累積的に処理を実行し、迷惑なメッセージが組織に入る数を減らします。冗長性を排除し、システムの全体的なパフォーマンスと効率性を向上させるために、複数のエージェントで受信メッセージを評価する順序を理解しておく必要があります。フィルタで受信メッセージを評価する順序を理解すると、エッジトランスポートサーバーの構成を最適化する際に役立ちます。スパム対策エージェントの計画と展開を行う方法の詳細については、「スパム対策およびウイルス対策向けの機能」を参照してください。

接続フィルタエージェントを有効にすると、接続フィルタエージェントは、受信メッセージを評価するときに最初に実行されるスパム対策エージェントになります。

接続フィルタエージェントが有効になっているエッジトランスポートサーバーに受信メッセージが届くと、SMTP 接続の送信元 IP アドレスが IP 許可一覧および IP 禁止一覧と照合されます。送信元 IP アドレスが IP 許可一覧で指定されている場合、メッセージは他のスパムエージェントによる追加の処理を行わずに宛先に送信されます。発信元 IP アドレスが IP 禁止一覧で指定されている場合、メッセージ内のすべての RCPT TO ヘッダーが処理された後、SMTP 接続が切断されます。

注 :
特定の接続が切断されるタイミングは、他のスパム対策の構成によって異なります。たとえば、送信元 IP アドレスが禁止されている場合でも、常に電子メールメッセージを受信する受信者を指定することができます。また、DATA コマンドの内容の解析結果を使用する他のエージェントを構成している場合もあります。接続フィルタエージェントは、常に、全体的なスパム対策の構成に従って、禁止した接続を切断します。

特定の接続が切断されるタイミングは、他のスパム対策の構成によって異なります。たとえば、送信元 IP アドレスが禁止されている場合でも、常に電子メールメッセージを受信する受信者を指定することができます。また、DATA コマンドの内容の解析結果を使用する他のエージェントを構成している場合もあります。接続フィルタエージェントは、常に、全体的なスパム対策の構成に従って、禁止した接続を切断します。

送信元 IP アドレスが IP 許可一覧または IP 禁止一覧で指定されていないときに、他のスパム対策エージェントが構成されている場合は、メッセージに対して他のスパム対策エージェントによる処理が続行されます。

接続フィルタエージェントを構成する方法の詳細については、「接続フィルタの構成」を参照してください。

IP 許可一覧と IP 禁止一覧

接続フィルタエージェントは、メッセージを送信しているサーバーの IP アドレスを、次のいずれかの IP アドレスのデータストアと照合します。

管理者が定義した IP 許可一覧と IP 禁止一覧
IP 禁止一覧プロバイダ
IP 許可一覧プロバイダ

IP 禁止一覧プロバイダの詳細については、このトピックの「IP 禁止一覧プロバイダ」を参照してください。

接続フィルタエージェントを使用するには、これらの IP アドレスのデータストアを少なくとも 1 つ構成する必要があります。IP アドレスのデータストアに IP 許可一覧または IP 禁止一覧の IP アドレスが含まれていない場合や、IP 禁止一覧プロバイダまたは IP 許可一覧プロバイダを構成していない場合は、接続フィルタエージェントを無効にしてください。

管理者が定義した IP 許可一覧と IP 禁止一覧

エッジトランスポートサーバーの管理者は、管理者が定義する IP アドレスの一覧を管理します。Exchange 管理コンソールまたは Exchange 管理シェルを使用して、許可または禁止する IP アドレスを入力したり、削除したりすることができます。IP アドレスは、個別に追加するか、IP アドレスの範囲ごとに追加するか、または IP アドレスとサブネットマスクごとに追加することができます。

IP アドレスまたは IP アドレスの範囲を追加する場合は、IP アドレスまたは IP アドレスの範囲を IP 禁止アドレスまたは IP 許可アドレスとして指定する必要があります。また、作成するすべての IP 禁止一覧のエントリについて有効期限を指定することもできます。有効期限を設定した場合は、IP 禁止一覧のエントリをアクティブにしておく期間が指定されます。有効期限になると、IP 禁止一覧のエントリが無効になります。

管理者が定義した IP 許可一覧および IP 禁止一覧を使用することによって、以下のシナリオに対応した接続フィルタを構成できます。

IP 禁止一覧プロバイダの IP 禁止一覧から IP アドレスを除外する IP 禁止一覧プロバイダの IP 禁止一覧に間違って正当な送信者が含まれている場合は、IP 禁止一覧プロバイダの IP 禁止一覧から IP アドレスを除外する必要があります。たとえば、SMTP サーバーが間違って第三者中継を許可するように構成されている場合、正当な送信者が間違って IP 禁止一覧に登録される可能性があります。このシナリオでは、送信者はおそらく誤った構成を修正し、IP 禁止一覧プロバイダの IP 禁止一覧から自分の IP アドレスを削除しようとします。
IP 禁止一覧プロバイダの詳細については、このトピックの「IP 禁止一覧プロバイダ」を参照してください。
迷惑電子メールメッセージの送信元であるが IP 禁止一覧プロバイダの IP 禁止一覧にない IP アドレスからのアクセスを拒否する 利用しているリアルタイムブロックリスト (RBL) サービスでまだ識別されていない送信元から、大量の迷惑メッセージを受信する場合があります。

IP 禁止一覧プロバイダ

IP 禁止一覧プロバイダ サービスは、組織に届く迷惑電子メールメッセージの数を削減するのに役立ちます。

注 :
IP 禁止一覧プロバイダサービスは、リアルタイムブロックリスト (RBL) サービスと呼ばれることもあります。Exchange 管理コンソールでは、RBL サービスを IP 禁止一覧プロバイダサービスと呼んでいます。"RBL サービス" と "IP 禁止一覧プロバイダサービス" は同じ意味の用語です。

IP 禁止一覧プロバイダサービスは、過去にスパムの送信元であった IP アドレスの一覧をまとめます。さらに、IP 禁止一覧プロバイダの中には、SMTP が第三者中継を許可するように構成されている IP アドレスの一覧を提供するものもあります。また、ダイヤルアップアクセスをサポートする IP アドレスの一覧を提供する IP 禁止一覧プロバイダサービスもあります。顧客にダイヤルアップアクセスを提供しているインターネットサービスプロバイダ (ISP) は、ダイヤルアップセッションごとに動的 IP アドレスを割り当てます。一部の ISP は、ダイヤルアップアカウントからの SMTP トラフィックを禁止しています。このような ISP とそれに付随するダイヤルアップ IP アドレスの範囲は、通常 IP 禁止一覧には追加されません。ただし、顧客にダイヤルアップアカウントからの SMTP トラフィックの送信を許可している ISP もあります。悪意のあるユーザーは、SMTP トラフィックを許可している ISP を利用し、動的に割り当てられた IP アドレスでスパムを送信します。この IP アドレスが IP 禁止一覧に登録されると、悪意のあるユーザーは別のダイヤルアップセッションを開始し、新しい IP アドレスを取得します。通常、1 つの IP 禁止一覧プロバイダで、このようなすべてのスパム行為に対応した IP アドレスの一覧を提供できます。

Exchange 管理コンソールまたは Exchange 管理シェルを使用することによって、複数の IP 禁止一覧プロバイダ構成を構成することができます。サービスごとに、Exchange 管理コンソールまたは Exchange 管理シェルで個別の IP 禁止一覧プロバイダ構成が必要です。

接続フィルタエージェントで IP 禁止一覧プロバイダを使用するように構成した場合、接続フィルタエージェントは IP 禁止一覧プロバイダに照会して、メッセージを組織内で受け付ける前に、接続している IP アドレスに一致する IP アドレスが存在するかどうかを確認します。

接続フィルタエージェントが IP 禁止一覧プロバイダに照会して IP アドレスを確認する前に、IP アドレスはまず管理者が定義した IP 許可一覧および IP 禁止一覧と照合されます。IP アドレスが、管理者が定義した IP 許可一覧と IP 禁止一覧のいずれにも存在しない場合、接続フィルタエージェントは、各プロバイダに割り当てられた優先順位に従って、IP 禁止一覧プロバイダサービスに照会します。IP アドレスが IP 禁止一覧プロバイダの IP 禁止一覧に含まれている場合、エッジトランスポートサーバーは RCPT TO ヘッダーを取得して解析し、送信側システムに SMTP 550 エラーで応答して、接続を閉じます。IP アドレスがどの IP 禁止一覧プロバイダの IP 禁止一覧にも含まれていない場合、スパム対策チェーンの次のエージェントが接続を処理します。インターネットからの受信メッセージに対して既定のスパム対策エージェントおよびウィルス対策エージェントがフィルタを適用する順序の詳細については、「スパム対策およびウイルス対策向けの機能」を参照してください。

接続フィルタエージェントを使用する場合は、1 つ以上の IP 禁止一覧プロバイダを使用して、組織内へのアクセスを管理することをお勧めします。管理者が定義した禁止一覧を使用して独自の IP 禁止一覧を維持管理することは、時間がかかる作業であり、多くの組織では人的資源の面で不可能である可能性があります。したがって、唯一の目的が IP 禁止一覧の維持管理である外部の IP 禁止一覧プロバイダサービスを使用することをお勧めします。

ただし、IP 禁止一覧プロバイダを使用することにはいくつかの欠点もあります。接続フィルタエージェントはすべての不明な IP アドレスについて外部エンティティに照会する必要があるので、IP 禁止一覧プロバイダサービスの機能停止や遅延によって、エッジトランスポートサーバーでのメッセージの処理が遅れる可能性があります。極端な場合には、このような機能停止や遅延によって、エッジトランスポートサーバーでメールフローのボトルネックが発生する可能性もあります。

外部の IP 禁止一覧プロバイダサービスを使用することのもう 1 つの欠点は、正当な送信者が間違って IP 禁止一覧プロバイダの IP 禁止一覧に追加される場合があるということです。SMTP の間違った構成の結果、IP 禁止一覧プロバイダが維持管理する IP 禁止一覧に正当な送信者が追加される場合があります。SMTP サーバーで誤って第三者中継を許可するように構成するのは、そのような間違った構成の例です。

IP 許可一覧プロバイダ

IP 許可一覧を提供する IP 許可一覧プロバイダを使用して、受信メッセージを管理することもできます。IP 許可一覧は、ソフトウェア業界では IP セーフリストまたは "ホワイト" リストと呼ばれることもあります。IP 許可一覧プロバイダは、スパム行為とは無関係であることが明白である IP アドレスの一覧を維持管理します。IP 許可一覧プロバイダが IP 許可一覧で一致する IP アドレスを返した場合、送信者の IP アドレスは評判がよく、"安全な" 送信者である可能性が高いことを示すので、接続フィルタエージェントはスパム対策チェーンの次のエージェントにメッセージを渡します。

IP 許可一覧プロバイダを構成する方法の詳細については、「接続フィルタの構成」を参照してください。

詳細情報

Exchange 管理コンソールを使用して接続フィルタを構成する方法の詳細については、以下のトピックを参照してください。

Exchange 管理シェルを使用して接続フィルタを構成する方法の詳細については、「接続フィルタエージェントのコマンドレット」を参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。