複数の場所にあるメールボックスを使用してメールフローを管理する (Exchange Online とオンプレミスの Exchange)

[アーティクル]
06/26/2024

概要

このドキュメントでは、Microsoft 365 または Office 365 を利用する環境での複雑なメールフローシナリオの処理に関する詳細なガイダンスを提供します。

このドキュメントで説明されている例では、ドメイン contoso.comを所有する架空の組織Contosoを使用します。 Contoso 電子メールサーバーの IP アドレスは 131.107.21.231され、サードパーティプロバイダーは IP アドレスに 10.10.10.1 を使用します。これらは例にすぎません。必要に応じて、この例を流用して、組織のドメイン名と公開 IP アドレスに修正してください。

このドキュメントでは、次の複雑なメールフローシナリオについて説明します。

複数の場所にあるメールボックスを使用してメールフローを管理する (Exchange Online とオンプレミスの Exchange)
- 概要
- 関連項目

インストールに関する重要な情報

特定のハイブリッドメールフローシナリオでは、お客様は、オンプレミスの Exchange サーバーまたは電子メールゲートウェイから送信または中継された送信メールが、最初に Office 365 テナントを介してルーティングされる状況に遭遇する場合があります。これは、電子メールゲートウェイまたはオンプレミスの Exchange サーバーが特定の証明書 ( gateway.contoso.com や exchange.contoso.comなど) を使用し、ハイブリッド構成ウィザード (HCW) によって作成された受信コネクタが既定のワイルドカード証明書構成 (*.contoso.com) を使用している場合に発生します。そのため、オンプレミスサーバーまたはゲートウェイから送信されたメールは、Exchange Online を指す MX レコードを持つ受信者に到達する前に、Office 365 テナントに帰属します。意図しないが、これは一致する Office 365 テナントの標準的な電子メール属性プロセスです。 Microsoft 365 でのメッセージ属性のしくみについては、「 Office 365 メッセージ属性」を参照してください。

そのため、オンプレミスのサーバーまたはゲートウェイからインターネットに電子メールが直接送信された場合でも、ドメインの SPF レコードに spf.protection.outlook.com を含めます。テナントが Microsoft 365 Global 環境でホストされていない場合、含めるドメインは異なります。それぞれの環境の正しいエントリについては、「SPF のセットアップ」で、Microsoft 365 ドメインの有効なメールソースを特定できます。

このシナリオでルーティング動作を変更する場合は、ブログ投稿「Office 365 Message Attribution」の FAQ #6(b) セクションに記載されている手順に従うことができます。

シナリオ 1: MX レコードが Microsoft 365 または Office 365 を指し示し、Microsoft 365 または Office 365 によってすべてのメッセージがフィルター処理される

メールボックスを Exchange Online に移行し、組織のメールサーバー (オンプレミスサーバー) にメールボックスを保持する必要があります。スパムフィルタリングソリューションとして Microsoft 365 または Office 365 を使用し、Microsoft 365 または Office 365 を使用して、オンプレミスサーバーからインターネットにメッセージを送信する必要があります。 Microsoft 365 または Office 365 は、すべてのメッセージを送受信します。

ハイブリッドメールフローの設定が必要なほとんどのお客様は、Microsoft 365 または Office 365 ですべてのフィルター処理とルーティングを実行できるようにする必要があります。この設定では最も正確なスパムフィルター処理が提供されるため、MX レコードを Microsoft 365 または Office 365 にポイントすることをお勧めします。このシナリオでは、組織のメールフローセットアップが次の図のようになります。

MX レコードが Microsoft 365 または Office 365 を指し示し、インターネットからのメールが Microsoft 365 または Office 365 に送信された後、オンプレミスサーバーに送信されるシナリオを示すメールフロー図。オンプレミスサーバーから移動するメールは、Microsoft 365 または Office 365 に送信され、インターネットに送信されます。

ベストプラクティス

Microsoft 365 または Office 365 にカスタムドメインを追加します。ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザーメールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メールフローを制御します。
- MX レコード: 次の形式で MX レコードを Microsoft 365 または Office 365 にポイントします: <domainKey>-com.mail.protection.outlook.com
  
  たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 contoso-com.mail.protection.outlook.com.
- SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 が一覧表示されます。EOP に接続するオンプレミスサーバーからの IP アドレス。組織に代わって電子メールを送信するサードパーティ。たとえば、組織のメールサーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
```
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
```
  または、サードパーティの要件によっては、次の例に示すように、サードパーティのドメインを含める必要がある場合があります。
```
v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
```
Exchange 管理センター (EAC) で、コネクタウィザードを使用して、次のシナリオで Microsoft 365 または Office 365 のコネクタを使用してメールフローを構成します。
- Microsoft 365 または Office 365 から組織のメールサーバーにメッセージを送信する
- オンプレミスサーバーから Microsoft 365 または Office 365 にメッセージを送信する
  
  次のいずれかのシナリオが組織に適用される場合は、オンプレミスサーバーから Microsoft 365 または Office 365 へのメール送信をサポートするコネクタを作成する必要があります。
- 組織はクライアントの代わりにメッセージを送信することを承認されていますが、組織はドメインを所有していません。たとえば、contoso.com は、contoso.com に属していない fabrikam.com からメールを送信することを承認されています。
- 組織は、Microsoft 365 または Office 365 を介して配信不能レポート (NDR またはバウンスメッセージとも呼ばれます) をインターネットに中継します。
  
  コネクタを作成するには、次の 2 つのスクリーンショットに示すように、[Office 365 で電子メールサーバーの電子メールを識別する方法 ] 画面のコネクタ作成ウィザードで、それぞれ [新しい EAC] と [クラシック EAC] の最初のオプションを選択します。

複数の場所でメールフローを管理するためのコネクタが作成される画面。

Exchange 用ハイブリッド接続ウィザードの [新しいコネクタ] 画面を示すスクリーンショット。

この構成により、Microsoft 365 または Office 365 は証明書を使用して電子メールサーバーを識別できます。このシナリオでは、証明書 CN またはサブジェクトの別名 (SAN) は組織に属するドメインを含みます。詳しくは、「Identifying email from your email server」を参照してください。コネクタ構成の詳細については、「パート 2: メールサーバーから Microsoft 365 または Office 365 に送信するようにメールを構成する」を参照してください。

次のシナリオでは、銀行との TLS の強制など、パートナーのいずれかとの特殊な要件がない限り、コネクタは必要ありません。
- Microsoft 365 または Office 365 からパートナー組織にメールを送信する
- パートナー組織から Microsoft 365 または Office 365 にメールを送信する

注:

組織で Exchange 2010 以降を使用している場合は、ハイブリッド構成ウィザードを使用して、Microsoft 365 または Office 365 およびオンプレミスの Exchange サーバーでコネクタを構成することをお勧めします。このシナリオでは、ドメインの MX レコードが組織の電子メールサーバーを指すことはできません。

シナリオ 2: MX レコードが Microsoft 365 または Office 365 を指し示し、メールがオンプレミスでフィルター処理される

メールボックスを Exchange Online に移行し、組織のメールサーバー (オンプレミスサーバー) にメールボックスを保持する必要があります。既にオンプレミス環境に存在するフィルタリングソリューションとコンプライアンスソリューションを利用したいと考えています。インターネットからクラウドメールボックスに送信されるすべてのメッセージ、またはクラウドメールボックスからインターネットに送信されるメッセージは、オンプレミスのサーバーを介してルーティングする必要があります。

オンプレミス環境でメールをフィルター処理するビジネス上または規制上の理由がある場合は、ドメインの MX レコードを Microsoft 365 または Office 365 にポイントし、一元化されたメール転送を有効にすることをお勧めします。このセットアップは、最適なスパムフィルタリングを提供し、組織の IP アドレスを保護します。このシナリオでは、組織のメールフローセットアップが次の図のようになります。

MX レコードが Microsoft 365 または Office 365 を指し示し、フィルター処理がオンプレミスサーバーで行われるシナリオを示すメールフロー図。インターネットからのメールは、Microsoft 365 または Office 365 に送信され、コンプライアンスフィルター処理のためにサーバーに送信され、Microsoft 365 または Office 365 に戻ります。

ベストプラクティス

Microsoft 365 または Office 365 にカスタムドメインを追加します。ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザーメールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メールフローを制御します。
- MX レコード: 次の形式で MX レコードを Microsoft 365 または Office 365 にポイントします: <domainKey>-com.mail.protection.outlook.com
たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 contoso-com.mail.protection.outlook.com.
- SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 と、EOP に接続するオンプレミスサーバーからの IP アドレスと、組織に代わってメールを送信するサードパーティが一覧表示されます。たとえば、組織の電子メールサーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
```
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
```
オンプレミスコンプライアンスソリューションでは、メールトランスポートの集中管理 (CMT) を使用します。
- インターネットから Exchange Online のメールボックスに送信されるメールは、最初にオンプレミスサーバーに送信され、Exchange Online に戻ってメールボックスに配信されます。シナリオ 2 の図で 1 の線はこのパスを表しています。
- Exchange Online から送信され、インターネット宛てのメールは、最初にオンプレミスサーバーに送信され、次に Exchange Online に戻り、インターネットに配信されます。シナリオ 2 の図の 4 の線はこのパスを表しています。
- この構成を実現するには、Hybrid Configuration Wizardまたはコマンドレット経由でコネクタを作成し、CMT を有効にします。 CMT の詳細については、「 Exchange ハイブリッド展開のトランスポートオプション」を参照してください。

次のシナリオでは、銀行との TLS の強制など、パートナーのいずれかとの特殊な要件がない限り、コネクタは必要ありません。

Microsoft 365 または Office 365 からパートナー組織にメールを送信する
パートナー組織から Microsoft 365 または Office 365 にメールを送信する

シナリオ 3: MX レコードはオンプレミスサーバーを指している

メールボックスを Exchange Online に移行し、組織のメールサーバー (オンプレミスサーバー) にメールボックスを保持する必要があります。既にオンプレミス電子メール環境に存在するフィルタリングソリューションとコンプライアンスソリューションを利用したいと考えています。インターネットからクラウドメールボックスに送信されるすべてのメッセージ、またはクラウドメールボックスからインターネットに送信されるメッセージは、オンプレミスサーバーを介してルーティングする必要があります。ドメインの MX レコードがオンプレミスサーバーを指している必要があります。

シナリオ 2 の代わりに、Microsoft 365 または Office 365 ではなく、ドメインの MX レコードを組織のメールサーバーにポイントできます。組織によってはビジネス上または規制上の理由でこのセットアップが必要な場合がありますが、シナリオ 2 を使用すれば、フィルタリングがより適切に機能します。

このシナリオでは、組織のメールフローセットアップが次の図のようになります。

MX レコードが Microsoft 365 または Office 365 ではなくオンプレミスサーバーを指している場合のメールフローを示す図。メールはインターネットから組織のサーバーに送信され、次に Microsoft 365 または Office 365 に送信されます。メールは、Microsoft 365 または Office 365 からオンプレミスサーバーからインターネットに送信されます。

ベストプラクティス

ドメインの MX レコードがオンプレミスの IP アドレスを指している必要がある場合は、次のベストプラクティスを使用します。

Microsoft 365 または Office 365 にカスタムドメインを追加します。ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザーメールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メールフローを制御します。
- SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 が一覧表示されます。また、EOP に接続されたオンプレミスサーバーからの IP アドレスと、組織の代わりに電子メールを送信するサードパーティも含める必要があります。たとえば、組織のメールサーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
```
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
```
Microsoft 365 または Office 365 を介してオンプレミスサーバーからインターネットにメッセージをリレーしないため、次のシナリオではコネクタを技術的に作成する必要はありません。ただし、ある時点で MX レコードを Microsoft 365 または Office 365 をポイントするように変更する場合は、コネクタを作成する必要があります。そのため、それを前もって行うのが最善です。 Exchange 管理センターで、次のシナリオでコネクタウィザードを使用してパート 2: メールサーバーから Microsoft 365 または Office 365 に送信するようにメールを構成するか、ハイブリッド構成ウィザードを使用してコネクタを作成します。
- Microsoft 365 または Office 365 から組織のメールサーバーにメールを送信する
- オンプレミスサーバーから Microsoft 365 または Office 365 にメールを送信する
メッセージが MX を介して組織のオンプレミスサーバーに送信されるようにするには、「パートナー組織から送信される電子メールに適用できるセキュリティ制限の例」の「例 3: パートナー組織のドメイン ContosoBank.com からのすべてのメールが特定の IP アドレスの範囲から送信されるよう要求する」に従ってください。

シナリオ 4: MX レコードは、メッセージをフィルタリングして、コンプライアンスソリューションを提供するオンプレミスサーバーを指している。オンプレミスサーバーは、Microsoft 365 または Office 365 を介してインターネットにメッセージを中継する必要があります。

メールボックスを Exchange Online に移行し、組織のメールサーバー (オンプレミスサーバー) にメールボックスを保持する必要があります。既にオンプレミス電子メール環境に存在するフィルタリングソリューションとコンプライアンスソリューションを利用したいと考えています。オンプレミスサーバーから送信されるすべてのメッセージは、Microsoft 365 または Office 365 を介してインターネットに中継する必要があります。ドメインの MX レコードがオンプレミスサーバーを指している必要があります。

このシナリオでは、組織のメールフローセットアップが次の図のようになります。

インターネットからオンプレミスサーバーへのメール、次に Microsoft 365 または Office 365 へのメールを示す矢印が表示されたメールフロー図。また、オンプレミスサーバーから Microsoft 365 または Office 365 からインターネットに移動するメールも表示されます。

ベストプラクティス

ドメインの MX レコードがオンプレミスの IP アドレスを指している必要がある場合は、次のベストプラクティスを使用します。

Microsoft 365 または Office 365 にカスタムドメインを追加します。ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザーメールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メールフローを制御します。
- MX レコード: 次の形式を使用してオンプレミスサーバーを指すように MX レコードを設定します。mail.<domainKey>.com
  
  たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 .mail.contoso.com.
- SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 が一覧表示されます。また、EOP に接続されたオンプレミスサーバーからの IP アドレスと、組織の代わりに電子メールを送信するサードパーティも含める必要があります。たとえば、組織の電子メールサーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
```
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
```
EAC で、コネクタウィザードを使用して、次のシナリオで Microsoft 365 または Office 365 のコネクタを使用してメールフローを構成します。
- Microsoft 365 または Office 365 から組織のメールサーバーにメールを送信する
- オンプレミスサーバーから Microsoft 365 または Office 365 にメールを送信する
  
  次のいずれかのシナリオが組織に適用される場合、"オンプレミスサーバーから Microsoft 365 または Office 365 にメールを送信する" シナリオをサポートするコネクタを作成します。
- 組織はクライアントの代わりにメールを送信することを承認されていますが、組織はドメインを所有していません。たとえば、contoso.com は、contoso.com に属していない fabrikam.com からメールを送信することを承認されています。
- 組織は、Microsoft 365 または Office 365 を介して配信不能レポート (NDR) をインターネットに中継します。
- ドメイン contoso.com の MX レコードは、オンプレミスサーバーを指し、組織内のユーザーはメッセージを自動的に組織外のメールアドレスに転送しています。たとえば、 kate@contoso.com 転送が有効になっていて、すべてのメッセージが kate@tailspintoys.comに移動します。 john@fabrikam.comがメッセージをkate@contoso.comに送信する場合、メッセージが Microsoft 365 または Office 365 に到着する時点で、送信者ドメインが fabrikam.com され、受信者ドメインが tailspin.com されます。送信者ドメインと受信者ドメインは、組織に属していません。
  
  コネクタを作成するには、次の 2 つのスクリーンショットに示すように、[新しい EAC] と [従来の EAC] でそれぞれ[ Microsoft 365 または Office 365 がメールサーバーの電子メールを識別する方法 ] 画面で、コネクタ作成ウィザードの最初のオプションを選択します。

複数の場所でメールフローを管理するためのコネクタが作成される画面。

Exchange 用ハイブリッド接続ウィザードの [新しいコネクタ] 画面を示すスクリーンショット。

このオプションを使用すると、Microsoft 365 または Office 365 は、証明書を使用してメールサーバーを識別できます。このシナリオでは、証明書 CN またはサブジェクトの別名 (SAN) は組織に属するドメインを含みます。詳しくは、「Identifying email from your email server」を参照してください。コネクタ構成の詳細については、「パート 2: メールサーバーから Microsoft 365 または Office 365 に送信するようにメールを構成する」を参照してください。

パートナー組織とのセキュリティで保護されたメールフロー用のコネクタを設定するを行い、MX を介して組織のオンプレミスサーバーにメッセージが送信されるようにします。

次の方法で共有

複数の場所にあるメールボックスを使用してメールフローを管理する (Exchange Online とオンプレミスの Exchange)

概要

インストールに関する重要な情報

シナリオ 1: MX レコードが Microsoft 365 または Office 365 を指し示し、Microsoft 365 または Office 365 によってすべてのメッセージがフィルター処理される

ベストプラクティス

シナリオ 2: MX レコードが Microsoft 365 または Office 365 を指し示し、メールがオンプレミスでフィルター処理される

ベストプラクティス

シナリオ 3: MX レコードはオンプレミスサーバーを指している

ベストプラクティス

ベストプラクティス

関連項目

その他のリソース

次の方法で共有

複数の場所にあるメールボックスを使用してメール フローを管理する (Exchange Online とオンプレミスの Exchange)

概要

インストールに関する重要な情報

シナリオ 1: MX レコードが Microsoft 365 または Office 365 を指し示し、Microsoft 365 または Office 365 によってすべてのメッセージがフィルター処理される

ベスト プラクティス

シナリオ 2: MX レコードが Microsoft 365 または Office 365 を指し示し、メールがオンプレミスでフィルター処理される

ベスト プラクティス

シナリオ 3: MX レコードはオンプレミス サーバーを指している

ベスト プラクティス

ベスト プラクティス

関連項目

その他のリソース

複数の場所にあるメールボックスを使用してメールフローを管理する (Exchange Online とオンプレミスの Exchange)

ベストプラクティス

ベストプラクティス

シナリオ 3: MX レコードはオンプレミスサーバーを指している

ベストプラクティス

ベストプラクティス