Exchange Onlineでのコネクタの強化されたフィルター処理

適切に構成された受信コネクタは、Microsoft 365 またはOffice 365への受信メールの信頼できるソースです。 ただし、Microsoft 365 または Office 365 ドメインのメールが最初にルーティングされる複雑なルーティング シナリオでは、受信コネクタのソースは通常、メッセージの送信元の真のインジケーターではありません。 複雑なルーティング シナリオは次のとおりです。

  • サード パーティのクラウド フィルタリング サービス
  • マネージド フィルタリング アプライアンス
  • ハイブリッド環境 (オンプレミス Exchange など)

複雑なシナリオでのメール ルーティングは次のようになります。

複雑なルーティング シナリオのメール フロー図。

ご覧のとおり、メッセージには、Microsoft 365 の前にあるサービス、アプライアンス、またはオンプレミスの Exchange organizationのソース IP が採用されています。 メッセージは、別のソース IP アドレスを持つ Microsoft 365 に到着します。 この動作は Microsoft 365 の制限ではありません。これは単に SMTP のしくみです。

これらのシナリオでは、コネクタの拡張フィルター処理 (リストのスキップとも呼ばれます) を使用して、Exchange Online Protection (EOP)Microsoft Defender for Office 365を最大限に活用できます。

コネクタの拡張フィルター処理を有効にすると、複雑なルーティング シナリオでのメール ルーティングは次のようになります。

コネクタのフィルター処理を強化した後の複雑なルーティング シナリオのメール フロー図。

ご覧のとおり、コネクタの拡張フィルター処理を使用すると、IP アドレスと送信者の情報を保持できます。

これらのルーティング シナリオでは、通常、DKIM を使用してソース情報とメッセージの整合性を維持するために ARC シール が使用されます。 ただし、メッセージを変更する多くのサービスが ARC をサポートしていないため、DKIM は頻繁に失敗します。 このような状況で役立つ、コネクタの強化されたフィルター処理は、前のホップからの IP アドレスを保持するだけでなく、DKIM 署名エラーからインテリジェントに回復します。 この動作は、メッセージがスプーフィング インテリジェンス フィルターを介して認証を渡すのに役立ちます。

コネクタのフィルター処理の強化を有効にすると、次の利点があります。

  • Microsoft フィルタリング スタックと機械学習モデルの精度が向上しました。これには次のものが含まれます。
    • 内容の変更および ARC シールの欠如から DMARC の誤検知を減らしました。
    • ヒューリスティック クラスタリング
    • なりすまし対策
    • フィッシング詐欺対策
  • 自動調査と対応 (AIR) での侵害後の機能の向上
  • 明示的な電子メール認証 (SPF、DKIM、DMARC) を使用して、偽装となりすまし検出の送信元ドメインの評判を確認できます。 明示的および暗黙的な電子メール認証の詳細については、「EOP でのEmail認証」を参照してください。

詳細については、この記事の後半の「 コネクタの拡張フィルター処理を有効にするとどうなるか」 セクションを参照してください。

この記事の手順を使用して、個々のコネクタでコネクタの拡張フィルター処理を有効にします。 Exchange Onlineのコネクタの詳細については、「コネクタを使用してメール フローを構成する」を参照してください。

注:

  • 複雑さを軽減するために、MX レコードを Microsoft 365 またはOffice 365にポイントすることをお勧めします。 たとえば、一部のホストで DKIM 署名が無効になり、誤検知が発生する場合があります。 2 つのシステムが電子メール保護を担当する場合、メッセージに対してどのシステムが動作するかを判断する方が複雑になります。
  • 拡張フィルター処理が設計されている最も一般的なシナリオはハイブリッド環境です。ただし、オンプレミスのメールボックス (送信メール) 宛てのメールは、EOP によってフィルター処理されません。 すべてのメールボックスで完全な EOP スキャンを行う唯一の方法は、MX レコードを Microsoft 365 または Office 365に移動することです。
  • MX がオンプレミス サーバーを指す線形受信ルーティング シナリオを除き、強化されたフィルター スキップ リストへのオンプレミス ハイブリッド サーバー IP の追加は、一元化されたメール フロー シナリオではサポートされていません。 これを行うと、EOP がオンプレミスのハイブリッド サーバーメールをスキャンし、compauth ヘッダー値を追加し、 EOP によってメッセージがスパムとしてフラグ付けされる可能性があります。 構成済みのハイブリッド環境では、スキップ リストに追加する必要はありません。 スキップ リストは主に、Microsoft 365 テナントの前にサード パーティ製のデバイス/フィルターがあるシナリオに対処することを目的としています。 詳細については、「 MX レコード ポイントによるサード パーティのスパム フィルタリング」を参照してください。
  • EOP の後 に別のスキャン サービスまたはホストを配置しないでください。 EOP がメッセージをスキャンした後は、クラウドまたはオンプレミスのorganizationの一部ではない Exchange 以外のサーバーを介してメールをルーティングすることで、信頼の連鎖を損なわないように注意してください。 メッセージが最終的に宛先メールボックスに到着すると、最初のスキャン判定のヘッダーが正確でなくなる可能性があります。 一元化されたメール トランスポート を使用して、Exchange 以外のサーバーをメール フロー パスに導入しないでください。

コネクタの拡張フィルター処理を構成する

注:

現在、IPv6 アドレスは PowerShell でのみサポートされています。 PowerShell を使用してコネクタの拡張フィルター処理を構成するには、この記事の後半の「Exchange Online PowerShell または Exchange Online Protection PowerShell を使用してコネクタの拡張フィルター処理を構成する」セクションを参照してください。

はじめに把握しておくべき情報

  • オンプレミス ホストに関連付けられている信頼できる IP アドレス、または Microsoft 365 または Office 365 organizationに電子メールを送信するサード パーティ製フィルター (パブリック IP アドレスを持つ中間ホップを含む) をすべて含めます。 これらの IP アドレスを取得するには、サービスで提供されているドキュメントまたはサポートを参照してください。

  • このコネクタを通過するメッセージの SCL を -1 に 設定するメール フロー ルール (トランスポート ルールとも呼ばれます) がある場合は、コネクタの拡張フィルター処理を有効にした後、 それらのメール フロー ルールを無効にする 必要があります。

  • Microsoft Defender ポータルを開くには、[https://security.microsoft.com] に移動します。 [コネクタの拡張フィルター処理] ページに直接移動するには、https://security.microsoft.com/skiplistingを使用します。

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 PowerShell Exchange Online Protectionに接続するには、「PowerShell に接続する」Exchange Online Protection参照してください。

  • コネクタの拡張フィルター処理を構成するには、次のいずれかの役割グループのメンバーである必要があります。

  • コネクタの拡張フィルター処理は、 一元化されたメール トランスポートを使用するハイブリッド環境ではサポートされていません。

Microsoft Defender ポータルを使用して、受信コネクタでコネクタの拡張フィルター処理を構成する

  1. Microsoft Defender ポータルで、[コラボレーション>ポリシーEmail & & ルール>[ルール] ページ> [ルール] セクション>[Enhanced filtering] に移動します。

  2. [ コネクタの拡張フィルター処理 ] ページで、名前をクリックして構成する受信コネクタを選択します。

  3. 表示されるコネクタの詳細ポップアップで、次の設定を構成します。

    • スキップする IP アドレス: 次のいずれかの値を選択します。

      • コネクタの拡張フィルター処理を無効にする: コネクタの拡張フィルター処理をオフにします。

      • 最後の IP アドレスを自動的に検出してスキップする: 最後のメッセージ ソースのみをスキップする必要がある場合は、この値をお勧めします。

      • コネクタに関連付けられているこれらの IP アドレスをスキップする: スキップする IP アドレスの一覧を構成するには、この値を選択します。

        重要

        • Microsoft 365 または Office 365の IP アドレスの入力はサポートされていません。 この機能を使用して、サポートされていない電子メール ルーティング パスによって発生する問題を補正しないでください。 Microsoft 365 または Office 365 より前に、独自のorganizationのメッセージを処理する電子メール システムのみに IP 範囲を制限してください。
        • RFC 1918 で定義されているループバック アドレス (127.0.0.0/8) またはプライベート IP アドレス (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) の入力はサポートされていません。 拡張フィルター処理では、ループバック アドレスとプライベート IP アドレスが自動的に検出され、スキップされます。 前のホップが、プライベート IP アドレスを割り当てるネットワーク アドレス変換 (NAT) デバイスの背後にある電子メール サーバーである場合は、パブリック IP アドレスを電子メール サーバーに割り当てるよう NAT を構成することをお勧めします。
        • 現在、IPv6 アドレスは PowerShell でのみサポートされています。
    • [最後の IP アドレスを自動的に検出してスキップする ] または [コネクタに関連付けられているこれらの IP アドレスをスキップする] を選択した場合、[ これらのユーザーに適用 する] セクションが表示されます。

      • organization全体に適用する: いくつかの受信者に対して最初に機能をテストした後、この値をお勧めします。

      • 少数のユーザーに適用する: コネクタの拡張フィルター処理が適用される受信者のメール アドレスの一覧を構成するには、この値を選択します。 この値は、機能の初期テストとしてお勧めします。

        注:

        • この値は、指定した実際のメール アドレスでのみ有効です。 たとえば、ユーザーがメールボックス (プロキシ アドレスとも呼ばれます) に関連付けられている 5 つのメール アドレスを持っている場合は、ここで 5 つの電子メール アドレスをすべて指定する必要があります。 それ以外の場合、他の 4 つの電子メール アドレスに送信されるメッセージは、通常のフィルター処理を実行します。
        • 受信メールがオンプレミスの Exchange を経由するハイブリッド環境では、MailUser オブジェクトの targetAddress を指定する必要があります。 たとえば、「 michelle@contoso.mail.onmicrosoft.com 」のように入力します。
        • この値は、 すべての 受信者がここに指定されているメッセージでのみ有効です。 ここに指定 されていない受信者が メッセージに含まれている場合は、メッセージ のすべての 受信者に通常のフィルター処理が適用されます。
      • organization全体に適用する: いくつかの受信者に対して最初に機能をテストした後、この値をお勧めします。

  4. 完了したら、[保存] を選択します。

Exchange Online PowerShell または powerShell Exchange Online Protectionを使用して、受信コネクタでコネクタの拡張フィルター処理を構成する

受信コネクタでコネクタの拡張フィルター処理を構成するには、次の構文を使用します。

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]
  • EFSkipLastIP: 有効な値は次のとおりです。

    • $true: 最後のメッセージ ソースのみがスキップされます。
    • $false: EFSkipIP パラメーターで指定された IP アドレスをスキップします。 そこに IP アドレスが指定されていない場合、コネクタの拡張フィルター処理は受信コネクタで無効になります。 既定値は $false です。
  • EFSkipIP: EFSkipLastIP パラメーター値が $falseされたときにスキップする特定の IPv4 または IPv6 アドレス。 有効な値は次のとおりです。

    • 1 つの IP アドレス: たとえば、 192.168.1.1
    • IP アドレス範囲: たとえば、 192.168.1.0-192.168.1.31
    • クラスレス Inter-Domain ルーティング (CIDR) IP: たとえば、 192.168.1.0/25

    IP アドレスの制限については、前 のセクションの「コネクタに関連付けられているこれらの IP アドレスをスキップする」の説明を参照してください。

  • EFUsers: コネクタの拡張フィルター処理を適用する受信者の電子メール アドレスのコンマ区切りの電子メール アドレス。 個々の受信者に関する制限事項については、前のセクションの 「少数のユーザーに適用 する」の説明を参照してください。 既定値は空白 ($null) です。つまり、コネクタの拡張フィルター処理はすべての受信者に適用されます。

この例では、次の設定を使用して、From Anti-Spam Service という名前の受信コネクタを構成します。

  • コネクタの拡張フィルター処理がコネクタで有効になり、最後のメッセージ ソースの IP アドレスはスキップされます。
  • コネクタの拡張フィルター処理は、 michelle@contoso.comlaura@contoso.comjulia@contoso.comの受信者のメール アドレスにのみ適用されます。
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

コネクタの拡張フィルター処理を無効にするには、EFSkipLastIP パラメーターに$false値を使用します。

構文とパラメーターの詳細については、「 Set-InboundConnector」を参照してください。

コネクタの拡張フィルター処理を有効にするとどうなりますか?

次の表は、コネクタの拡張フィルター処理を有効にする前後の接続の外観を示しています。

機能 拡張フィルター処理が有効になる前 拡張フィルター処理が有効になった後
ドメイン認証のEmail スプーフィング対策保護テクノロジを使用する暗黙的な方法。 DNS のソース ドメインの SPF、DKIM、DMARC レコードに基づいて明示的に指定します。
X-MS-Exchange-ExternalOriginalInternetSender 使用不可 このヘッダーは、リストのスキップが成功し、コネクタで有効になっていて、受信者の一致が発生した場合にスタンプされます。 このフィールドの値には、真のソース アドレスに関する情報が含まれています。
X-MS-Exchange-SkipListedInternetSender 使用不可 このヘッダーは、受信者の一致に関係なく、コネクタでスキップ リストが有効になっている場合にスタンプされます。 このフィールドの値には、真のソース アドレスに関する情報が含まれています。 このヘッダーは、主にレポートの目的で使用され、WhatIf シナリオを理解するのに役立ちます。

Microsoft Defender ポータルの脅威保護の状態レポートを使用して、フィルター処理とレポートの機能強化を確認できます。 詳細については、「 脅威保護の状態レポート」を参照してください。

関連項目

Exchange Online、Microsoft 365、Office 365のメール フローのベスト プラクティス (概要)

コネクタを使用してメール フローを構成する