Microsoft Exchange による SMTP 中継処理の制御
By Paul Robichaux
トピック
中継処理とは何か
メールボックスに迷惑メールを受け取ったことがある人なら、中継処理とは何をするのかがお分かりのことと思います。メール受信にサーバーを使用し、メールを別サーバーの受取人宛に再送信することです。最も単純な場合には、alice@a.com が b.com にある SMTP サーバーに接続し、このサーバーを使用してメッセージを charlie@c.com に配信します。これは、Alice が自分の会社の SMTP サーバーを使用する場合と同じではないことに注意します。もっと実用的な例として : ラップトップを抱えて旅行しているとしましょう。通常のネットワーク ブロック外の IP アドレスを割り当てるダイヤルアップ (またはブロードバンドのこともあるでしょう) 接続をお持ちのことと思います。SMTP サーバーが第三者 (自分のメール サーバーにはないアドレス) に配信するメッセージを受け取るなら、これが中継処理です。中継処理をオンにしたサーバーは、別ドメインにある受信者向けのメールを受け取り、再配信を試みます。
なぜ注意しないといけないか
ある場合には中継処理は望ましいと言えます。たとえば、旅行中で通常の Exchange サーバーを SMTP ホストとして使いたい場合です。ただし、中継処理には制限と認証を組み合わせることが重要です。そうしない場合には、迷惑メール発信者がこの中継点を利用して迷惑メッセージを送信できることになります。そうなると、あなたが非難されてしまいます。なぜかと言えば、このメッセージはあなたのサーバーから発信されているように見えるからです。迷惑メールを停止する手助けをするという社会への貢献とは別に、Exchange サーバーの中継設定を適切に行うと、迷惑メールの投入点にはならず、帯域幅を節約し、より大きなトラブルを防ぐという利点が生まれます。
どうするすべきか
Exchange 5.5 と Exchange 2000 では、構成プロセスが別になっています。どちらの場合でも、ローカルではない受取人に宛てたメールを拒否する形で、インターネット メールを処理するようにコンポーネントを構成すると思われます。微調整レベルの設定を追加すれば、認証付きの中継または特定の IP アドレスからの中継を設定できます。Exchange サーバーが、POP3 または IMAP4 クライアントに SMTP サービスを提供しているなら、何らかの形で中継処理をオンにする必要があることを念頭においてください。
Exchange 2000 で中継処理をブロック
Exchange 2000 には、非常に柔軟な非中継処理機能が埋め込まれています。異なるサーバーで異なる中継処理プロパティを設定できるように、SMTP の仮想サーバー レベルで構成することができます。この一般的な使い方の 1 つが、2 つの仮想サーバーのセットアップです : 1 つは標準トラフィック用のポート 25 で中継処理を無効にし、もう 1 つは非標準のポート番号上で認証ベースの中継処理をオンにしています。あなたのリモート クライアントは非標準ポートを使用するようにメール クライアントを構成できます。このアプローチでは、オープンな中継をスキャンする迷惑メール発信者の問題をうまく避けています。
中継を制御する実際のプロセスは単純ですが、SMTP 仮想サーバー向け、または SMTP コネクタ向けに中継処理を構成したいかどうかに依存して少し変化します (仮想サーバーとコネクタの違いが不明な場合は、マイクロソフトのナレッジ ベースの記事 Q294736 をチェックしてください)。コネクタによる中継制御は、この記事の範囲外です。詳細については、この記事の下の方にある「もっと知りたい人は」のセクションをチェックしてください。
SMTP 仮想サーバー中継処理の制御
Exchange System Manager を起動します。SMTP 仮想サーバーにナビゲーションします ([管理グループ] - [yourAdminGroup ] - [Servers] - [yourServerName] - [プロトコル] の配下にあります)。
[仮想サーバー] を右クリックして、[プロパティ] コマンドを選択します。
[アクセス] タブを選択します。
着信の SMTP 接続を特定のアドレス範囲 (たとえば、POP3/IMAP4 クライアントが VPN またはダイヤルアップ接続経由で一連のアドレスを使用している場合) に制限するには、どのアドレスが SMTP 接続を形成するかを [接続...] ボタンで指定します。[接続] ダイアログの設定は、この SMTP サーバーの使用を試みる全ホストに適用されることに注意します。
SMTP 中継処理を制御するには、[中継] ボタンをクリックします。[中継の制限] ダイアログ ボックス (図 1 参照) で、次のことができます。
すべての場所からの全中継処理をオフにするには、[以下の一覧のみ] のラジオ ボタンを選択して、[コンピュータ] のリストを空白のままにしておきます。これが既定の設定です。
単独のコンピュータまたはネットワーク アドレスのブロックから中継処理を許可するには、[追加] ボタン (図 2 参照) を使って、中継できるようにしたい IP アドレスまたはブロックを追加します。IP アドレスの代わりにドメイン名で中継処理を許可することもできますが、性能のペナルティが付きます。
特定の IP アドレス群をブロックするには、[以下のリストに含まれるコンピュータ以外のすべて] のラジオ ボタンを選択し、[追加] ボタンを使って、中継できるようにしたい特定のコンピュータまたはネットワーク アドレスを追加します。
Exchange に対して、中継認証を行うコンピュータを許可するには、その他の制限がどれだけ付加されていようと、[上の [コンピュータ] の一覧に関係なく、正しく認証されたすべてのコンピュータを中継に使用する] のチェックボックスがオンになっていることを確かめます。
図 1: 中継制限
図 2: 中継を許可する追加
Exchange 5.5 からの中継処理をブロック
最初にやるべきことは : Exchange 5.5 では、SP1 で IMS インターフェイスに中継制御機能を追加しました。もちろん最新のサービス パックを適用することをお勧めしますが、そうでない場合には、ダウンロードして、インストールしてから指示に従ってください-サービス パックにはインターネットにさらされるサーバーで適用しておきたいセキュリティ修正を含んでいます (何か特別な理由があって SP1 以降にアップグレードできないのなら、マイクロソフトのナレッジ ベース記事 JP193922 を参照して、IMS 中継サブシステムを手作業で構成する方法を試みてください) 。
IMS をインストールする際には、Exchange Administrator が中継処理を有効にしたいかどうかをたずねてきます。既定の設定はオフです。インストールが済むと、[インターネット メール サービス プロパティ] のダイアログ ボックスの [ルーティング] タブ (図 3 参照) で Exchange 5.5 の中継処理を制御できます。中継処理関連の設定を変更すると、有効にするには IMS の停止と再起動を行う必要があることに注意します。
図 3: [Internet Mail Service Properties] の [Routing] タブ
中継処理を完全にオフにするには
SMTP 中継処理を完全に禁止したい場合には、[受信 SMTP メールを再ルーティングしない] のラジオ ボタンが選択されていることを確認してください。これは簡単です。通常は外部クライアントからの接続を受け取らないファイアウォール内にあるサーバーなら、これはオンにしていると思われます。
特定の中継処理を許可するには
まず、[受信 SMTP メールを再ルーティング (POP3/IMAP4 のサポートのために必要)] のラジオ ボタンを選択して、中継処理をオンにする必要があります。この設定が済むと、中継処理を制御する方法が 2 つあります。
ルーティング一覧は、サーバーが SMTP メールを受け取るドメインを示します。この例では、ratest.com と huntsville.ratest.com が入力として一覧にあげられています。この場合には IMS はメールを受け取り、ローカルに配信を試みます。robichaux.net ドメインは、明に中継ドメインとして一覧にあげられています。これは、どのようなことがあっても SMTP メールを受け取りたいドメインとして、手作業 ([追加...] ボタンを使用) で追加されていることを意味します。
[追加...]、[編集...]、および [削除] ボタンにより、ルーティング一覧に表示されるドメインを変更できます。同時に IMS がそのドメインへのメールの処理方法も変更できます。ブロックするのか、中継処理を行うものとして受け取るのか、または入力メールとして処理するのかを指定できます。
[ルーティングの制限] ボタン (図 4 参照) は、ほとんどの管理者が行いたいことを行える場所です。すなわち迷惑メールをブロックしながら、正式なクライアントを中継できるようにします。既定では、このダイアログ内のすべての制御はオフになっています。強制したければ特定の制限を設定する必要があります。
(POP3 または IMAP4で) ログオンしてくるクライアントを中継できるようにしたいならば、[ホストとクライアントが正しく認証されている] のチェック ボックスをチェックします。このオプションと併せて SMTP 認証を必須にすれば、クライアントだけでなく、SMTP サーバーもあなたのサーバー経由で中継できることに注意します。
指定 IP アドレス (内部でも外部でもかまいません) を中継できるようにするには、[以下の IP アドレスがホストとクライアントに設定されている] のチェック ボックスをチェックして、 [追加]、[編集]、および [削除] ボタンを使用し、中継トラフィックを受け取りたい IP アドレスの一覧を作ることができます。[ルーティング] タブで [受信 SMTP メールを再ルーティング] のラジオ ダイヤルを選択すると、このチェック ボックスは中継処理を制御することを覚えておいてください。通常はこのチェック ボックスをチェックすることをお勧めします。こうすると中継処理を防ぎます。これをチェックしないままにしておくと、あなたのサーバーは中継対象となります。
サーバー上の特定の IP アドレスに接続するクライアントのみに中継処理を許可したい場合には、[以下の内部アドレスにホストとクライアントが接続している] のチェック ボックスをチェックします。
特定のグループのホストまたはクライアントがメールを中継することを停止するには、IP アドレスとネットマスクを [メールをルーティングできないようにホストとクライアントを指定する] 一覧に設定します。
図 4: 特定のホストとクライアントを制限
もっと知りたい人は
サーバーが中継処理に対してオープンになっているかどうかは、Sam Spade (Information Security Magazine の記事で議論されている) のようなツールを使用して調べることができます。別のツールについては、マイクロソフトのナレッジ ベースの記事 Q249266 で取り上げられています。
マイクロソフトのナレッジ ベース KB の記事 JP260973 は、クライアント アドレスの代わりに、ドメインでメールの中継処理を許可する SMTP コネクタ設定の細かいところを議論しています。
SMTP 仮想サーバーと SMTP コネクタのどちらを使用するのがいいか分からない場合は、マイクロソフトのナレッジ ベース KB の記事 Q265293 が疑問を解消するのに役立つかもしれません。
もし、実際に中継ホストをセットアップしたいなら、できます。たとえば、内部ホストからメッセージ トラフィックを流したい SMTP ゲートウェイ サーバーが 1 台あるなら、これを行う必要があります。 十分に注意します。そして実際に実行する前にマイクロソフトのナレッジ ベースの記事 Q293800 を参照してください。
インターネット メール コンソーシアムには、インターネット上にどれぐらいの中継ホストが存在するのかについての興味深い実験レポートがあります。
Paul Robichaux は、ローカルな自動車販売業者からマイクロソフトに至るまでの規模の顧客に対して、プログラミング、技術通信、およびセキュリティ サービスを提供する Robichaux & Associates, Inc の社長です。Paul は、自分の最新の本である Managing Microsoft Exchange Server (O'Reilly & Associates) を喜んで脇において、家族と過ごす時間を楽しみます。読者からの質問は、security@robichaux.net で歓迎しています。
Microsoft Corporation としては、この記事の情報がお役に立てることを期待しています。ただし、この記事の情報の使用によるリスクについては責任を持ちません。この記事の全情報は、「そのまま」提供しており、正確性、完全性、特定の目的への整合性、タイトルまたは非侵害性については、明示または黙示に関わらず、保証の限りではありません。また、この記事で取り上げたサード パーティの製品または情報は、どれもマイクロソフトにより作成、推奨、サポート、保証を行っているものではありません。マイクロソフトは、この情報の利用により損害を被る可能性があると忠告を受けていたとしても、直接的、間接的、特別、偶発的、または結果的にこの情報を使用した結果、受けるいかなる損害に対しても責任を負うものではありません。本ドキュメントで取り上げている製品価格については、すべて予告なしに変更することがあります。