接続フィルターを構成する

Exchange Online メールボックスを持つ Microsoft 365 組織、またはメールボックスをExchange Onlineしていないスタンドアロン Exchange Online Protection (EOP) 組織では、接続フィルター処理と既定の接続フィルター ポリシーによって、IP アドレスによって適切または無効なソース メール サーバーが識別されます。 既定の接続フィルター ポリシーの主な構成要素は次のとおりです。

• IP 許可リスト: 指定した送信元 IP アドレスまたは IP アドレス範囲からのすべての受信メッセージのスパム フィルター処理をスキップします。 すべての受信メッセージは、マルウェアと信頼度の高いフィッシング用にスキャンされます。 IP 許可リスト内のサーバーからのメッセージでスパム フィルター処理が引き続き発生するその他のシナリオについては、この記事の後半 の「IP 許可リストのソースからのメッセージがまだフィルター処理されるシナリオ 」セクションを参照してください。 IP 許可リストが安全な送信者全体の戦略にどのように適合するかの詳細については、「 EOP で差出人セーフ リストを作成する」を参照してください。

• IP ブロック リスト: 指定したソース IP アドレスまたは IP アドレス範囲からの受信メッセージをすべてブロックします。 受信メッセージは拒否され、スパムとしてマークされず、他のフィルター処理は行われません。 IP ブロック リストを全体的なブロック送信者戦略に適合させる方法の詳細については、「 EOP でブロック送信者リストを作成する」を参照してください。

• セーフ リスト: 接続フィルター ポリシーの セーフ リスト は、顧客の構成を必要としない動的許可リストです。 Microsoft は、サブスクリプションからさまざまなサード パーティリストに対して、これらの信頼された電子メール ソースを識別します。 セーフ リストの使用を有効または無効にします。一覧でサーバーを構成することはできません。 セーフ リスト上の電子メール サーバーからの受信メッセージでは、スパム フィルター処理はスキップされます。

この記事では、Microsoft 365 Microsoft Defender ポータルまたは powerShell で既定の接続フィルター ポリシー Exchange Online構成する方法について説明します。 EOP が接続フィルター処理を使用する方法の詳細については、organizationの全体的なスパム対策設定の一部である、スパム対策の保護に関するページを参照してください。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [スパム対策ポリシー] ページに直接移動するには、https://security.microsoft.com/antispam を使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (PowerShell ではなく Defender ポータルにのみ影響します): 承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)。
  • Exchange Onlineアクセス許可:
    • ポリシーの変更: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
    • ポリシーへの読み取り専用アクセス: グローバル閲覧者、 セキュリティ閲覧者、または 表示専用組織管理 役割グループのメンバーシップ。
  • Microsoft Entraアクセス許可: グローバル管理者、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

• 許可またはブロックする電子メール サーバー (送信者) の送信元 IP アドレスを検索するには、メッセージ ヘッダーに接続 IP (CIP) ヘッダー フィールドをチェックします。 さまざまなメール クライアントでメッセージ ヘッダーを表示するには、「 Outlook でインターネット メッセージ ヘッダーを表示する」を参照してください。

• IP 許可リストは、IP ブロック リストよりも優先されます (両方のリストのアドレスはブロックされません)。

• IP 許可リストと IP ブロック リストは、それぞれ最大 1273 エントリをサポートします。このエントリは、1 つの IP アドレス、IP アドレス範囲、またはクラスレス InterDomain ルーティング (CIDR) IP です。

Microsoft Defender ポータルを使用して、既定の接続フィルター ポリシーを変更する

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] セクションの [Email & コラボレーション>ポリシー & ルール>脅威ポリシー>のスパム対策] に移動します。 または、[ スパム対策ポリシー ] ページに直接移動するには、 を使用 https://security.microsoft.com/antispamします。

2. [スパム対策ポリシー] ページで、名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、一覧から [接続フィルター ポリシー (既定)] を選択します。

3. 開いたポリシーの詳細ポップアップで、[ 編集] リンクを使用してポリシー設定を変更します。

   • 説明セクション: [説明の編集] を選択して、開いた [名前と説明の編集] ポップアップの [説明] ボックスにポリシーの説明を入力します。 ポリシーの名前を変更することはできません。

     [名前と説明の編集] ポップアップが完了したら、[保存] を選択します。

   • [接続フィルター] セクション: [ 接続フィルター ポリシーの編集] を選択します。 表示されるポップアップで、次の設定を構成します。

     • 次の IP アドレスまたはアドレス範囲からのメッセージを常に許可する: この設定は IP 許可リストです。 ボックス内をクリックして値を入力し、Enter キーを押すか、ボックスの下に表示される完全な値を選択します。 有効な値は次のとおりです。

       • 単一 IP: 192.168.1.1 など。
       • IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
       • CIDR IP: たとえば、192.168.0.1/25。 有効なサブネット マスク値は、/24 から /32 です。 /1 から /23 へのスパム フィルタリングをスキップするには、この記事の後半の「 使用可能な範囲外の CIDR IP のスパム フィルタリングをスキップ する」セクションを参照してください。

       必要な回数だけこの手順を繰り返します。 既存のエントリを削除するには、エントリの横にある を選択 します。

   • 次の IP アドレスまたはアドレス範囲からのメッセージを常にブロックします。この設定は IP ブロック リストです。 「次の IP アドレスまたはアドレス範囲からのメッセージを常に許可 する」の設定で説明したように、単一の IP、IP 範囲、または CIDR IP をボックスに入力します。

   • セーフ リストを有効にする: セーフ リストの使用を有効または無効にして、スパム フィルター処理をスキップする既知の適切な送信者を特定します。 セーフ リストを使用するには、[チェック] ボックスを選択します。

   ポップアップが終了したら、[保存] を選択 します。

4. ポリシーの詳細ポップアップに戻り、[ 閉じる] を選択します。

Microsoft Defender ポータルを使用して、既定の接続フィルター ポリシーを表示する

のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] セクションの [Email & コラボレーション>ポリシー & ルール>脅威ポリシー>のスパム対策] に移動します。 または、[ スパム対策ポリシー ] ページに直接移動するには、 を使用 https://security.microsoft.com/antispamします。

[ スパム対策ポリシー ] ページで、ポリシーの一覧に次のプロパティが表示されます。

• 名前: 既定の接続フィルター ポリシーの名前は 、接続フィルター ポリシー (既定値) です。
• 状態: 既定の接続フィルター ポリシーの値は Always on です。
• Priority: 既定の接続フィルター ポリシーの値は [最小] です。
• 型: 既定の接続フィルター ポリシーの値は空白です。

ポリシーの一覧を標準間隔からコンパクト間隔に変更するには、[リストの間隔をコンパクトまたは標準に変更する] を選択し、[コンパクト リスト] を選択します。

[Search] ボックスと対応する値を使用して、特定のポリシーを見つけます。

既定の接続フィルター ポリシーを選択するには、名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、ポリシーの詳細ポップアップを開きます。

PowerShell またはスタンドアロン EOP PowerShell Exchange Online使用して、既定の接続フィルター ポリシーを変更する

次の構文を使用してください。

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• 有効な IP アドレスまたはアドレス範囲の値は次のとおりです。
  • 単一 IP: 192.168.1.1 など。
  • IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
  • CIDR IP: たとえば、192.168.0.1/25。 有効なネットワーク マスク値は、/24 から /32 です。
• 指定した値で既存のエントリを上書きするには、次の構文を使用します。 IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
• 他の既存のエントリに影響を与えずに IP アドレスまたはアドレス範囲を 追加または削除 するには、次の構文を使用します @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}。
• IP 許可リストまたは IP ブロック リストを空にするには、 の値 $nullを使用します。

次の使用例は、IP 許可リストと IP ブロック リストを、指定された IP アドレスとアドレス範囲で構成します。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

次の使用例は、指定した IP アドレスとアドレス範囲を IP 許可リストに追加して削除します。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

構文とパラメーターの詳細については、「 Set-HostedConnectionFilterPolicy」を参照してください。

正常な動作を確認する方法

既定の接続フィルター ポリシーが正常に変更されたことを確認するには、次のいずれかの手順を実行します。

• Microsoft Defender ポータルの [スパム対策ポリシー] ページでhttps://security.microsoft.com/antispam、名前の横にある [チェック] ボックス以外の行をクリックして、一覧から [接続フィルター ポリシー (既定値)] を選択し、開いた詳細ポップアップのポリシー設定を確認します。

• PowerShell またはスタンドアロン EOP PowerShell Exchange Onlineで、次のコマンドを実行し、設定を確認します。

  Get-HostedConnectionFilterPolicy -Identity Default
  

• IP 許可リストのエントリからテスト メッセージを送信します。

IP 許可リストに関するその他の考慮事項

次のセクションでは、IP 許可リストを構成するときに知る必要があるその他の項目を特定します。

使用可能な範囲外の CIDR IP のスパム フィルター処理をスキップする

この記事で前述したように、ネットワーク マスク /24 から /32 の CIDR IP のみを IP 許可リストで使用できます。 /1 から /23 の範囲の送信元メール サーバーからのメッセージに対するスパム フィルター処理をスキップするには、Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) を使用する必要があります。 ただし、/1 ~ /23 CIDR IP 範囲の IP アドレスが Microsoft の独自またはサード パーティ製のブロック リストのいずれかに表示される場合、メッセージはブロックされるため、メール フロー ルール メソッドを使用しないことをお勧めします。

潜在的な問題を完全に認識したら、次の設定 (少なくとも) を使用してメール フロー ルールを作成して、これらの IP アドレスからのメッセージがスパム フィルター処理をスキップするようにすることができます。

• ルールの条件:送信者>の IP アドレスがこれらの範囲内にあるか、または完全に一致する>場合>は、この規則を適用します (/1 から /23 のネットワーク マスクを使用して CIDR IP を入力します)。
• ルール アクション: メッセージ のプロパティ>を変更する スパム信頼度レベルを設定する (SCL)>スパム フィルター処理をバイパスします。

ルールの監査、ルールのテスト、特定の期間中のルールのアクティブ化、およびその他の選択を行うことができます。 ルールを施行する前に一定期間ルールをテストすることをお勧めします。 詳細については、「Exchange Onlineでのメール フロー ルールの管理」を参照してください。

同じソースからの選択的なメール ドメインに対するスパム フィルター処理をスキップする

通常、IP アドレスまたはアドレス範囲を IP 許可リストに追加すると、そのメール ソースからのすべての受信メッセージが信頼されます。 そのソースが複数のドメインからメールを送信し、それらのドメインの一部のスパム フィルター処理をスキップしたいが、他のドメインではスキップしない場合はどうでしょうか。 IP 許可リストは、メール フロー ルールと組み合わせて使用できます。

たとえば、ソース電子メール サーバー 192.168.1.25 は、ドメイン contoso.com、fabrikam.com、tailspintoys.com から電子メールを送信しますが、fabrikam.com の送信者からのメッセージのスパム フィルター処理のみをスキップする必要があります。

1. IP 許可リストに 192.168.1.25 を追加します。

2. 次の設定 (少なくとも) を使用してメール フロー ルールを構成します。

   • ルールの条件:送信者>の IP アドレスがこれらの範囲のいずれかに存在するか、192.168.1.25 と完全に一致>する場合 (前の手順で IP 許可リストに追加したのと同じ IP アドレスまたはアドレス範囲) の場合>は、この規則を適用します。
   • ルール アクション: メッセージ のプロパティ>を変更スパム信頼レベル (SCL)>0 を設定します。
   • ルール例外: 送信者>ドメインが> fabrikam.com (スパム フィルター処理をスキップするドメインまたはドメインのみ)。

IP 許可リスト内のソースからのメッセージがまだフィルター処理されるシナリオ

IP 許可リスト内のメール サーバーからのメッセージは、次のシナリオでは引き続きスパム フィルター処理の対象となります。

• IP 許可一覧の IP アドレスは、Microsoft 365 内 の任意 のテナントのオンプレミスの IP ベースの受信コネクタ (このテナント A と呼びます)、 および メッセージが最初に検出されたテナント A と EOP サーバーにも構成されています。両方とも、Microsoft データセンター内の 同じ Active Directory フォレストにあります。 このシナリオでは、 IPV:CALが メッセージの スパム対策メッセージ ヘッダー に追加されますが (メッセージがスパム フィルター処理をバイパスしたことを示します)、メッセージは依然としてスパム フィルター処理の対象となります。

• IP 許可リストとメッセージを最初に検出した EOP サーバーを含むテナントは、どちらも Microsoft データセンター内の 異なる Active Directory フォレストに存在します。 このシナリオでは、 IPV:CALは メッセージ ヘッダーに追加されないため、メッセージは引き続きスパム フィルター処理の対象になります。

これらのシナリオのいずれかが発生した場合は、次の設定 (少なくとも) を使用してメール フロー ルールを作成して、問題のある IP アドレスからのメッセージがスパム フィルター処理をスキップするようにすることができます。

• ルールの条件:送信者>の IP アドレスがこれらの範囲内にあるか、または完全に一致>する (IP アドレスまたはアドレス) 場合>は、この規則を適用します。
• ルール アクション: メッセージ のプロパティ>を変更する スパム信頼度レベルを設定する (SCL)>スパム フィルター処理をバイパスします。

Microsoft 365 は初めてですか?

Microsoft 365 は初めてですか? LinkedIn Learning が提供する Microsoft 365 管理者と IT 担当者向けの無料ビデオ コースをご覧ください。