ヘッダー ファイアウォール

  • [アーティクル]

製品: Exchange Server 2013

Microsoft Exchange Server 2013 では、ヘッダー ファイアウォールは、受信メッセージと送信メッセージから特定のヘッダー フィールドを削除するメカニズムです。 ヘッダー ファイアウォールの影響を受けるヘッダー フィールドは、次の 2 種類です。

  • X ヘッダー: X ヘッダー は、ユーザー定義の非公式ヘッダー フィールドです。 X-Header は、RFC 2822 では特に言及されていませんが、先頭に X- が付く未定義のヘッダー フィールドの使用は、メッセージに非公式のヘッダー フィールドを追加する方法として許容されるようになりました。 メッセージング アプリケーション (スパム対策、ウイルス対策、およびメッセージング サーバーなど) は、メッセージに独自の X-Header を追加することができます。 Exchange の X-Header フィールドには、SCL (Spam Confidence Level)、コンテンツ フィルターの結果、ルールの処理状態など、トランスポート サービスがメッセージに対して実行する処理についての詳細が含まれます。 権限のない送信元にこの情報が漏れると、セキュリティ上のリスクを抱える可能性があります。

  • ルーティング ヘッダー: ルーティング ヘッダーは、RFC 2821 と RFC 2822 で定義されている標準の SMTP ヘッダー フィールドです。 ルーティング ヘッダーは、メッセージを受信者に配信するために使用されたさまざまなメッセージング サーバーの情報を使用してメッセージにスタンプします。 悪意のあるユーザーによってメッセージに挿入されたルーティング ヘッダーは、メッセージが受信者に到達するまでのルーティング パスを偽る可能性があります。

ヘッダー ファイアウォールは、信頼できない送信元から Exchange 組織に送られてきた受信メッセージから Exchange 関連の X-Header を削除することによって、X-Header を利用したスプーフィングを防止します。 ヘッダー ファイアウォールは、Exchange 組織外の信頼できない送信元に送信された送信メッセージから Exchange 関連の X-Header を削除することによって、X-Header を利用した漏洩を防止します。 ヘッダー ファイアウォールは、メッセージのルーティング履歴の追跡に使用される標準ルーティング ヘッダーのスプーフィングも防止します。

Exchange でヘッダー ファイアウォールの影響を受けるメッセージ ヘッダー フィールド

次の種類の X-Header とルーティング ヘッダーは、ファイアウォールの影響を受けます。

  • 組織の X ヘッダー: これらの X ヘッダー フィールドは X-MS-Exchange-Organization- で始まります。

  • フォレスト X ヘッダー: これらの X ヘッダー フィールドは X-MS-Exchange-Forest- で始まります。

    組織 X-Header およびフォレスト X-Header の例については、このトピックの最後にある「Exchange の組織 X-Header およびフォレスト X-Header」セクションを参照してください。

  • 受信済み: ルーティング ヘッダー: このヘッダー フィールドの別のインスタンスは、メッセージを受け入れて受信者に転送したすべてのメッセージング サーバーによってメッセージ ヘッダーに追加されます。 Received: ヘッダーには、通常、メッセージング サーバーの名前と日付タイムスタンプが含まれます。

  • Resent-*: ルーティング ヘッダー: 再送信ヘッダー フィールドは、メッセージがユーザーによって転送されたかどうかを判断するために使用できる情報ヘッダー フィールドです。 Resent-Date:、Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Bcc:Resent-Message-ID: を使用できます。 Resent- フィールドは、メッセージが元の送信者によって直接送信されたかのように受信者に表示されるように使用されます。 受信者は、メッセージ ヘッダーを参照して、メッセージを転送したのは誰かを確認できます。

Exchange は 2 種類の方法を使用して、メッセージ内の組織 X-Header、フォレスト X-Header、およびルーティング ヘッダーにヘッダー ファイアウォールを適用します。

  • メッセージがコネクタを通過する際にメッセージ内の特定の種類のヘッダーを保持または削除するために使用できる送信コネクタまたは受信コネクタに、アクセス許可が割り当てられます。

  • その他の種類のメッセージ送信中、メッセージ内の特定の種類のヘッダーに対してヘッダー ファイアウォールは自動的に実装されます。

受信コネクタと送信コネクタへのヘッダー ファイアウォールの適用方法

コネクタに割り当てられている特定のアクセス許可に基づいて、送信コネクタと受信コネクタを通過するメッセージにヘッダー ファイアウォールが適用されます。

アクセス許可が受信コネクタまたは送信コネクタに割り当てられると、そのコネクタを通過するメッセージにはヘッダー ファイアウォールは適用されません。 影響を受けるヘッダー フィールドがそのメッセージに保存されます。

アクセス許可が受信コネクタまたは送信コネクタに割り当てられないと、そのコネクタを通過するメッセージにヘッダー ファイアウォールが適用されます。 影響を受けるヘッダー フィールドがそのメッセージから削除されます。

次の表は、ヘッダー ファイアウォールの適用に使用される送信コネクタおよび受信コネクタのアクセス許可と影響を受けるヘッダー フィールドを示しています。

コネクタの種類 アクセス許可 説明
受信コネクタ Ms-Exch-Accept-Headers-Organization このアクセス許可は、受信メッセージの X-MS-Exchange-Organization- で始まる組織 X-Header フィールドに影響します。
受信コネクタ Ms-Exch-Accept-Headers-Forest このアクセス許可は、受信メッセージの X-MS-Exchange-Forest- で始まるフォレスト X-Header フィールドに影響します。
受信コネクタ Ms-Exch-Accept-Headers-Routing このアクセス許可は 、受信メッセージの受信 ヘッダー フィールドと Resent-*: ルーティング ヘッダー フィールドに影響します。
送信コネクタ Ms-Exch-Send-Headers-Organization このアクセス許可は、送信メッセージの X-MS-Exchange-Organization- で始まる組織 X-Header フィールドに影響します。
送信コネクタ Ms-Exch-Send-Headers-Forest このアクセス許可は、送信メッセージの X-MS-Exchange-Forest- で始まるフォレスト X-Header フィールドに影響します。
送信コネクタ Ms-Exch-Send-Headers-Routing このアクセス許可は 、送信メッセージの受信ヘッダー フィールドと Resent-*: ルーティング ヘッダー フィールドに影響します。

受信コネクタ上の受信メッセージに対するヘッダー ファイアウォール

次の表は、受信コネクタ上のヘッダー ファイアウォール アクセス許可の既定のアプリケーションを示しています。

アクセス許可 アクセス許可が割り当てられた既定の Exchange セキュリティ プリンシパル メンバーとしてのセキュリティ プリンシパルを持つ許可グループ 受信コネクタに許可グループを割り当てる既定の使用法の種類
Ms-Exch-Accept-Headers-OrganizationMs-Exch-Accept-Headers-Forest
  • ハブ トランスポート サーバー
  • エッジ トランスポート サーバー
  • Exchange サーバー

    : ハブ トランスポート サーバーでのみ
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing 匿名ユーザー アカウント Anonymous Internet
Ms-Exch-Accept-Headers-Routing 認証されたユーザー アカウント ExchangeUsers Client (エッジ トランスポート サーバーでは使用できません)
Ms-Exch-Accept-Headers-Routing
  • ハブ トランスポート サーバー
  • エッジ トランスポート サーバー
  • Exchange サーバー

    : ハブ トランスポート サーバーのみ
  • 外部的にセキュリティで保護されたサーバー
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing パートナー サーバー アカウント パートナー InternetPartner

カスタム受信コネクタ上のヘッダー ファイアウォール

カスタム受信コネクタを使用する場合にメッセージにヘッダー ファイアウォールを適用するには、以下の方法を使用します。

  • メッセージにヘッダー ファイアウォールを自動的に適用する使用法の種類で受信コネクタを作成します。 受信コネクタを作成する場合に限りこの使用法の種類を設定できることに注意してください。

    • 組織の X ヘッダーまたはフォレスト X ヘッダーをメッセージから削除するには、受信コネクタを作成し、 以外 Internalの使用の種類を選択します。

    • メッセージからルーティング ヘッダーを削除するには、次のいずれかの操作を行います。

      • 受信コネクタを作成し、使用の種類 を選択します Custom。 受信コネクタには許可グループを割り当てないでください。

      • 既存の受信コネクタを変更し、 PermissionGroups パラメーターを 値 Noneに設定します。

        アクセス許可が割り当てられていない受信コネクタがある場合は、最後の手順の説明に従って受信コネクタにセキュリティ プリンシパルを追加する必要がありますので注意してください。

  • 受信コネクタで構成されているセキュリティ プリンシパルから Ms-Exch-Accept-Headers-Organization アクセス許可、 Ms-Exch-Accept-Headers-Forest アクセス許可、および Ms-Exch-Accept-Headers-Routing アクセス許可を削除するには、 Remove-ADPermission コマンドレットを使用します。 受信コネクタのアクセス許可グループを使用してセキュリティ プリンシパルにアクセス許可が割り当てられていない場合、アクセス許可グループのアクセス許可割り当てまたはグループ メンバーシップを変更できないため、この方法は機能しません。

  • 受信コネクタのメール フローで必要とする適切なセキュリティ プリンシパルを追加するには、 Add-ADPermission コマンドレットを使用します。 セキュリティ プリンシパルに Ms-Exch-Accept-Headers-Organization アクセス許可、 Ms-Exch-Accept-Headers-Forest アクセス許可、および Ms-Exch-Accept-Headers-Routing アクセス許可が割り当てられないようにしてください。 必要に応じて、 Add-ADPermission コマンドレットを使用し、受信コネクタで構成されているセキュリティ プリンシパルへの Ms-Exch-Accept-Headers-Organization アクセス許可、 Ms-Exch-Accept-Headers-Forest アクセス許可、および Ms-Exch-Accept-Headers-Routing アクセス許可を拒否します。

詳細については、以下のトピックを参照してください。

送信コネクタ上の送信メッセージに対するヘッダー ファイアウォール

次の表は、送信コネクタ上のヘッダー ファイアウォール アクセス許可の既定のアプリケーションを示しています。

アクセス許可 アクセス許可が割り当てられた既定の Exchange セキュリティ プリンシパル 送信コネクタにセキュリティ プリンシパルを割り当てる既定の使用法の種類
Ms-Exch-Send-Headers-OrganizationMs-Exch-Send-Headers-Forest
  • ハブ トランスポート サーバー
  • エッジ トランスポート サーバー
  • Exchange サーバー : ハブ トランスポート サーバーでのみ
  • 外部的にセキュリティで保護されたサーバー
  • ExchangeLegacyInterop ユニバーサル セキュリティ グループ
 Internal
Ms-Exch-Send-Headers-Routing
  • ハブ トランスポート サーバー
  • エッジ トランスポート サーバー
  • Exchange サーバー

    : ハブ トランスポート サーバーでのみ
  • 外部的にセキュリティで保護されたサーバー
  • ExchangeLegacyInterop ユニバーサル セキュリティ グループ
 Internal
Ms-Exch-Send-Headers-Routing 匿名ユーザー アカウント Internet
Ms-Exch-Send-Headers-Routing パートナー サーバー Partner

カスタム送信コネクタ上のヘッダー ファイアウォール

カスタム送信コネクタを使用する場合にメッセージにヘッダー ファイアウォールを適用するには、以下の方法を使用します。

  • メッセージにヘッダー ファイアウォールを自動的に適用する使用法の種類で送信コネクタを作成します。 送信コネクタを作成する場合に限りこの使用法の種類を設定できることに注意してください。

    • 組織の X ヘッダーまたはフォレスト X ヘッダーをメッセージから削除するには、送信コネクタを作成し、または 以外 Internal の使用の種類を選択します Partner

    • メッセージからルーティング ヘッダーを削除するには、送信コネクタを作成し、使用の種類 を選択します CustomMs-Exch-Send-Headers-Routing アクセス許可は、 を除くCustomすべての送信コネクタの使用の種類に割り当てられます。

  • コネクタから Ms-Exch-Send-Headers-Organization アクセス許可、 Ms-Exch-Send-Headers-Forest アクセス許可、および Ms-Exch-Send-Headers-Routing アクセス許可を割り当てるセキュリティ プリンシパルを削除します。

  • 送信コネクタで構成されているいずれかのセキュリティ プリンシパルから Ms-Exch-Send-Headers-Organization アクセス許可、 Ms-Exch-Send-Headers-Forest アクセス許可、および Ms-Exch-Send-Headers-Routing アクセス許可を削除するには、 Remove-ADPermission コマンドレットを使用します。

  • 送信コネクタで構成されているいずれかのセキュリティ プリンシパルへの Ms-Exch-Send-Headers-Organization アクセス許可、 Ms-Exch-Send-Headers-Forest アクセス許可、および Ms-Exch-Send-Headers-Routing アクセス許可を拒否するには、 Add-ADPermission コマンドレットを使用します。

詳細については、以下のトピックを参照してください。

その他のメッセージ ソースに対するヘッダー ファイアウォール

送信コネクタや受信コネクタを使用せずに、メッセージがメールボックス サーバーまたはエッジ トランスポート サーバーのトランスポート パイプラインに入ってくることがあります。 このようなその他のメッセージ ソースには、次の説明のようにヘッダー ファイアウォールが適用されます。

  • ピックアップ ディレクトリと再生ディレクトリ: ピックアップ ディレクトリは、管理者またはアプリケーションによってメッセージ ファイルを送信するために使用されます。 再生ディレクトリは、Exchange メッセージ キューからエクスポートされたメッセージを再送信するために使用します。 ピックアップ ディレクトリと再生ディレクトリの詳細については、「 ピックアップ ディレクトリと再生ディレクトリ」を参照してください。

    組織 X-Header、フォレスト X-Header、およびルーティング ヘッダーは、ピックアップ ディレクトリのメッセージ ファイルから削除されます。

    ルーティング ヘッダーは、再生ディレクトリによって送信されたメッセージに保持されます。

    組織 X-Header およびフォレスト X-Header が再生ディレクトリ内のメッセージに保持されるか削除されるかは、メッセージ ファイルの X-CreatedBy: ヘッダー フィールドによって次のように制御されます。

    • X-CreatedBy: の値が である場合、MSExchange15組織の X ヘッダーとフォレスト X ヘッダーはメッセージに保持されます。
    • X-CreatedBy: の値が ではないMSExchange15場合、組織の X ヘッダーとフォレスト X ヘッダーはメッセージから削除されます。
    • X-CreatedBy: ヘッダー フィールドがメッセージ ファイル内にない場合、組織 X-Header およびフォレスト X-Header はメッセージから削除されます。

  • ドロップ ディレクトリ: ドロップ ディレクトリは、メールボックス サーバー上の外部コネクタによって使用され、SMTP を使用してメッセージを転送しないメッセージング サーバーにメッセージを送信します。 外部コネクタの詳細については、「 外部コネクタ」を参照してください。

    ドロップ ディレクトリに格納される前に、メッセージ ファイルから組織 X-Header およびフォレスト X-Header は削除されます。

    ルーティング ヘッダーは、ドロップ ディレクトリに送信されたメッセージに保持されます。

  • メールボックス トランスポート: メールボックス サーバー上にメールボックス トランスポート サービスが存在し、メールボックス サーバー上のメールボックスとの間でメッセージを送信します。 メールボックス トランスポート サービスの詳細については、「 メール フロー」を参照してください。

    組織 X-Header、フォレスト X-Header、およびルーティング ヘッダーは、メールボックス トランスポート送信サービスによってメールボックスから送信される送信メッセージから削除されます。

    ルーティング ヘッダーは、メールボックス トランスポート配信サービスによってメールボックス受信者への受信メッセージのために保持されます。 次の組織 X-Header は、メールボックス トランスポート配信サービスによってメールボックス受信者への受信メッセージのために保持されます。

    • X-MS-Exchange-Organization-SCL
    • X-MS-Exchange-Organization-AuthDomain
    • X-MS-Exchange-Organization-AuthMechanism
    • X-MS-Exchange-Organization-AuthSource
    • X-MS-Exchange-Organization-AuthA
    • X-MS-Exchange-Organization-OriginalArrivalTime
    • X-MS-Exchange-Organization-OriginalSize

  • DSN メッセージ: 組織の X ヘッダー、フォレスト X ヘッダー、およびルーティング ヘッダーは、元のメッセージまたは DSN メッセージにアタッチされている元のメッセージ ヘッダーから削除されます。 DSN メッセージの詳細については、「 Exchange 2013 の DSN と NDR」を参照してください。

  • トランスポート エージェントの送信: 組織の X ヘッダー、フォレスト X ヘッダー、およびルーティング ヘッダーは、トランスポート エージェントによって送信されたメッセージに保持されます。

Exchange の組織 X-Header およびフォレスト X-Header

メールボックス サーバーまたはエッジ トランスポート サーバーのトランスポート サービスは、メッセージ ヘッダーにカスタム X-Header フィールドを挿入します。

組織 X-Header はすべて X-MS-Exchange-Organization- で始まります。 フォレスト X-Header はすべて X-MS-Exchange-Forest- で始まります。 次の表は、Exchange 組織内のメッセージで使用される組織 X-Header およびフォレスト X-Header の一部を示しています。

X-Header 説明
X-MS-Exchange-Forest-RulesExecuted メッセージを処理するトランスポート ルール。
X-MS-Exchange-Organization-Antispam-Report コンテンツ フィルター エージェントによってメッセージに適用されたスパム対策フィルター結果の要約レポートです。
X-MS-Exchange-Organization-AuthA 認証元を指定します。 この X-Header は、メッセージのセキュリティが評価されている場合は常に存在します。 指定できる値は、 Anonymous、、 InternalExternalまたは Partnerです。
X-MS-Exchange-Organization-AuthDomain ドメイン セキュリティで保護された認証中に入力されます。 値は、リモート認証されたドメインの FQDN です。
X-MS-Exchange-Organization-AuthMechanism メッセージを送信する際の認証メカニズムを指定します。 値は、2 桁の 16 進数です。
X-MS-Exchange-Organization-AuthSource 組織の代理でメッセージの認証を評価したサーバー コンピューターの FQDN を指定します。
X-MS-Exchange-Organization-Journal-Report トランスポートのジャーナル レポートを識別します。 トランスポート サービスからメッセージが送信されるとすぐに、ヘッダーは X-MS-Journal-Report になります。
X-MS-Exchange-Organization-OriginalArrivalTime メッセージが最初に Exchange 組織に入った時刻を識別します。
X-MS-Exchange-Organization-Original-Sender 検疫されたメッセージが最初に Exchange 組織に入ったときに元の送信者を識別します。
X-MS-Exchange-Organization-OriginalSize 検疫されたメッセージが最初に Exchange 組織に入ったときに元のサイズを識別します。
X-MS-Exchange-Organization-Original-Scl 検疫されたメッセージが最初に Exchange 組織に入ったときに元の SCL を識別します。
X-MS-Exchange-Organization-PCL フィッシング詐欺検出機能の信頼レベルを識別します。 指定できる PCL 値は 1 ~ 8 です。 値が大きくなるほど、疑わしいメッセージであることを示します。 詳細については、「スパム対策スタンプ」を参照してください。
X-MS-Exchange-Organization-Quarantine メッセージがスパム検疫メールボックスで検疫され、配信状態通知 (DSN) が送信されたことを示します。 または、メッセージが管理者によって検疫されて解放されたことを示します。 この X-Header フィールドを使用すると、解放されたメッセージは再びスパム検疫メールボックスに送信されません。 詳細については、「スパム検疫メールボックスから検疫されたメッセージを解放する](release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md」を参照してください。
X-MS-Exchange-Organization-SCL メッセージの SCL を識別します。 指定できる SCL 値は 0 ~ 9 です。 値が大きくなるほど、疑わしいメッセージであることを示します。 特別な値である -1 を指定すると、メッセージはコンテンツ フィルター エージェントによる処理から除外されます。 詳細については、「コンテンツ フィルター」を参照してください。
X-MS-Exchange-Organization-SenderIdResult Sender ID エージェントの結果が含まれています。 Sender ID エージェントは、SPF (Sender Policy Framework) を使用して、メッセージの送信元 IP アドレスと、送信者の電子メール アドレスに使用されているドメインを比較します。 Sender ID の結果は、メッセージの SCL を計算するのに使用されます。 詳細については、「 Sender ID」を参照してください。