エッジ トランスポート サーバーでの接続フィルター処理
製品: Exchange Server 2013
接続フィルター処理は、Microsoft Exchange Server 2013 のスパム対策機能であり、メッセージ ソースに基づいて電子メールを許可またはブロックします。 接続フィルター処理は、エッジ トランスポート サーバーでのみ使用できる接続フィルター エージェントによって実行されます。 接続フィルター エージェントは接続元メール サーバーの IP アドレスを使用して、受信メッセージに対して行う処理がある場合にどの処理を行うかを決定します。
既定では、接続フィルター エージェントは、エッジ トランスポート サーバー上の受信メッセージを評価する最初のスパム対策エージェントです。 SMTP 接続の送信元 IP アドレスを、許可する IP アドレスやブロックする IP アドレスと照合します。 許可される IP アドレスの一覧にソース IP アドレスがある場合は、それ以上の処理は必要ありません。 その後、メッセージが送信されます。 ソース IP アドレスがブロックされている場合、SMTP 接続は削除されます。 ソース IP アドレスが許可またはブロックされていない場合、メッセージはエッジ トランスポート サーバー上の他のスパム対策エージェントを介して送信されます。
接続フィルター処理では、ソース メール サーバーの IP アドレスと、次のデータ ストア内の値が比較されます。
- IP 許可リスト
- IP ブロックリスト
- IP 許可リスト プロバイダー
- IP ブロックリスト プロバイダー
接続フィルター処理を機能させるために、少なくとも 1 つの IP アドレス データ ストアを構成します。 IP アドレス データを指定しない場合は、接続フィルター エージェントを無効にしてください。 詳細については、「エッジ トランスポート サーバーでの接続フィルターの管理」をご覧ください。
IP ブロックリスト
IP ブロックリストには、ブロックする電子メール サーバーの IP アドレスが含まれています。 IP ブロックリストで IP アドレスを手動で管理します。 個々の IP アドレスまたは IP アドレスの範囲を追加できます。 有効期限を指定して、IP アドレス エントリをブロックする期間を設定できます。 有効期限に達すると、IP ブロックリストの IP アドレス エントリが無効になります。
接続フィルター エージェントが IP ブロックリストでソース IP アドレスを検出した場合、メッセージ内のすべての RCPT TO ヘッダー (エンベロープ受信者) が処理された後に SMTP 接続が削除されます。
IP アドレスは、プロトコル分析エージェントの送信者評判機能によって IP ブロックリストに自動的に追加することもできます。 詳細については、「送信者評価とプロトコル分析エージェント」をご覧ください。
IP 許可リスト
IP 許可リストには、信頼できるメール ソースとして指定する電子メール サーバーの IP アドレスが含まれています。 IP 許可リストで指定したメール サーバーからのEmailは、他の Exchange スパム対策エージェントによる処理から除外されます。
IP 許可リストで IP アドレスを手動で管理します。 個々の IP アドレスまたは IP アドレスの範囲を追加できます。 有効期限を指定して、IP アドレス エントリが許可される期間を設定できます。 有効期限に達すると、IP 許可リストのエントリは無効になります。
IP ブロックリスト プロバイダー
IP ブロックリスト プロバイダーは、多くの場合、 リアルタイム ブロックリスト (RBL) と呼ばれます。 IP ブロックリスト プロバイダーは、スパムを送信するメール サーバーの IP アドレスの一覧をコンパイルします。 多くの IP ブロックリスト プロバイダーは、スパムに使用できるメール サーバーの IP アドレスの一覧もコンパイルします。 たとえば、第三者中継用に構成されたメール サーバー、動的 IP アドレスを割り当てるインターネット サービス プロバイダー (ISP)、ダイヤルアップ アカウントからの SMTP メール サーバー トラフィックを許可している ISP などです。
IP ブロックリスト プロバイダーを使用するように接続フィルター処理を構成すると、接続フィルター エージェントは、接続メール サーバーの IP アドレスを IP ブロックリスト プロバイダーの IP アドレスの一覧と比較します。 IP アドレスが一致した場合、そのメッセージは組織内に許可されません。 複数の IP ブロックリスト プロバイダーを使用するように接続フィルター処理を構成し、各プロバイダーに異なる優先順位の値を割り当てることができます。
接続フィルター エージェントは、IP 許可リストと IP ブロックリストでソース IP アドレスを確認します。 どちらのリストにも IP アドレスが存在しない場合、接続フィルター エージェントは、割り当てた優先順位の値に従って IP ブロックリスト プロバイダーにクエリを実行します。 IP アドレスが IP ブロックリスト プロバイダーで定義されている場合、エッジ トランスポート サーバーは RCPT TO ヘッダーを待機して処理し、送信メール サーバーにエラーで SMTP 550 応答し、接続を閉じます。 接続は直ちに削除されないため、接続試行をログに記録できます。また、IP ブロックリスト プロバイダーによってメッセージがブロックされるのを除外する受信者を指定できるためです。
IP アドレスが IP ブロックリスト プロバイダーのいずれにも定義されていない場合、コンテンツ フィルター エージェントは、エッジ トランスポート サーバー上の次のトランスポート エージェントにメッセージを送信します。
IP ブロックリスト プロバイダーごとに、メッセージがブロックされたときに送信者に返されるエラーをカスタマイズ SMTP 550 できます。 メッセージ ソースをスパムとして識別した IP ブロックリスト プロバイダーを特定します。 正当な送信元メール サーバーがスパム ソースとして誤って識別された場合、管理者は IP ブロックリスト プロバイダーに連絡し、IP ブロックリスト プロバイダーからメール サーバーを削除するために必要な手順を実行できます。
IP ブロックリスト プロバイダーは、IP アドレスがリストで定義されている理由を識別するために、さまざまなコードを返すことができます。 ほとんどの IP ブロックリスト プロバイダーは、ビットマスクまたは絶対値データ型を返します。 これらのデータ型内では、IP ブロックリスト プロバイダーは複数の値を使用して、脅威の種類別に IP アドレスを分類できます。
IP ブロックリスト プロバイダーを使用する場合に考慮すべき問題があります。
IP ブロックリスト プロバイダー サービスの停止または遅延により、エッジ トランスポート サーバー上のメッセージの処理に遅延が発生する可能性があります。 信頼できる IP ブロックリスト プロバイダーを選択します。
正当な送信元サーバーが間違ってスパムの送信元として特定される場合があります。 たとえば、メール サーバーが間違って第三者中継として動作するように構成されることがあります。 サービスの評価と削除の明確な手順を提供する IP ブロックリスト プロバイダーを選択します。
ビットマスクと絶対値の例
このセクションでは、ほとんどのブロックリスト プロバイダーから返される状態コードの例を示します。 プロバイダーが返す状態コードの詳細については、特定のプロバイダーから提供されるドキュメントを参照してください。
ビットマスク データ型の場合、IP ブロックリスト プロバイダー サービスは状態コード 127.0.0 を返します。x。ここで、整数 x は次の表に示す値のいずれかです。
| 値 | 状態コード |
|---|---|
| 1 | IP アドレスは IP ブロックリストにあります。 |
| 2 | SMTP サーバーは第三者中継として機能するように構成されています。 |
| 4 | IP アドレスはダイヤル アップ IP アドレスをサポートします。 |
絶対値の種類の場合、IP ブロックリスト プロバイダーは、IP アドレスがブロックリストで定義される理由を定義する明示的な応答を返します。 以下の表に、絶対値と明示的な応答の例を示します。
| 値 | 明示的な応答 |
|---|---|
| 127.0.0.2 | IP アドレスは直接のスパムの送信元です。 |
| 127.0.0.4 | IP アドレスは大容量メーラーです。 |
| 127.0.0.5 | メッセージを送信しているリモート サーバーは多段階第三者中継をサポートすることがわかっています。 |
IP 許可リスト プロバイダー
IP 許可リスト プロバイダーは、 セーフ リスト または 許可リストとも呼ばれます。 IP 許可リスト プロバイダーは、IP ブロックリスト プロバイダーと同様に構成されますが、結果は逆です。スパム アクティビティに確実に関連付けられていないメール サーバーの IP アドレスを定義します。 接続しているメール サーバーの IP アドレスが IP 許可リスト プロバイダーで定義されている場合、メッセージは他の Exchange スパム対策エージェントによる処理から除外されます。 このため、IP ブロックリスト プロバイダーは、IP 許可リスト プロバイダーよりもはるかに頻繁に使用されます。 IP 許可リスト プロバイダーを慎重に選択します。
IP ブロックリスト プロバイダーと IP 許可リスト プロバイダーをテストする
IP ブロックリスト プロバイダーまたは IP 許可リスト プロバイダーを使用するように接続フィルター処理を構成した後、テストを実行して、プロバイダーが正しく動作していることを確認できます。 多くのプロバイダーでは、サービスのテスト用の IP アドレスを提供しています。 プロバイダーのテストを行うと、接続フィルター エージェントが DNS クエリを発行し、プロバイダーから特定の応答が返されます。 IP ブロックリスト プロバイダー サービスまたは IP 許可リスト プロバイダー サービスに対して IP アドレスをテストする方法の詳細については、「 エッジ トランスポート サーバーでの接続フィルター処理の管理」を参照してください。
インターネットに直接接続していないエッジ トランスポート サーバーの接続フィルターを構成する
電子メールをインターネットから直接に受信しないエッジ トランスポート サーバーで接続フィルターを使用できます。 この場合、エッジ トランスポート サーバーは、インターネットから直接メッセージを受信して処理する別のメール サーバーの背後に置かれています。 たとえば、組織は、メッセージがエッジ トランスポート サーバーに到達する前に、スパム対策サーバー、サービス、アプライアンスを介して電子メール トラフィックを送信する場合があります。 この場合、接続フィルター エージェントは、メッセージから正しい送信元 IP アドレスを抽出する必要があります。 メッセージからソース IP アドレスを抽出するには、接続フィルター エージェントは、メッセージ ヘッダー内の 受信 ヘッダー フィールドの値を解析し、それらの値を、エッジ トランスポート サーバーとインターネットの間にあるメール サーバーの既知の IP アドレスと比較する必要があります。
メール サーバーは、受信した SMTP メッセージを配信パス上の次の中継点に転送するとき、メッセージ ヘッダーに独自の Received ヘッダー フィールドを追加します。 通常、 Received ヘッダーには、メッセージを処理したメール サーバーのドメイン名と IP アドレスが含まれます。
エッジ トランスポート サーバーがインターネットからのメッセージを直接受け入れない場合は、Exchange 2013 メールボックス サーバーの Set-TransportConfig コマンドレットの InternalSMTPServers パラメーターを使用して、エッジ トランスポート サーバーとインターネットの間にあるメール サーバーの IP アドレスを識別する必要があります。 IP アドレス データは EdgeSync によりエッジ トランスポート サーバーにレプリケートされます。 エッジ トランスポート サーバーによってメッセージが受信されると、接続フィルター エージェントは、InternalSMTPServers パラメーターで指定された値と一致しない受信ヘッダー フィールドの IP アドレスが、チェックする必要があるソース IP アドレスであると想定します。 したがって、接続フィルターが正しく機能するには、すべての内部 SMTP サーバーを指定する必要があります。