接続フィルターについて
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-07-21
接続フィルター エージェントは、エッジ トランスポート サーバーの役割がインストールされ、MicrosoftExchange Server 2010 が実行されているコンピューターで有効にされるスパム対策エージェントです。接続フィルター エージェントは、接続しようとしているリモート サーバーの IP アドレスを使用して、受信メッセージに対して行う処理がある場合にどの処理を行うかを判断します。リモート IP アドレスは、SMTP セッションに必要な、基になる TCP/IP 接続の副産物として、接続フィルター エージェントから使用できます。接続フィルター エージェントは、メッセージを送信しているリモート サーバーの IP アドレスが有効であるかどうかを評価する必要があるので、通常はインターネットに直接接続されたエッジ トランスポート サーバー上で有効にします。ただし、受信メッセージ パスのより深い部分で接続フィルター エージェントを実行する追加の構成を実行することもできます。
エッジ トランスポート サーバーでスパム対策エージェントを構成すると、エージェントはメッセージに対して累積的に処理を実行し、迷惑なメッセージが組織に入る数を減らします。冗長性を排除し、システムの全体的なパフォーマンスと効率性を向上させるために、複数のエージェントで受信メッセージを評価する順序を理解しておく必要があります。フィルターで受信メッセージを評価する順序を理解すると、エッジ トランスポート サーバーの構成を最適化する際に役立ちます。スパム対策エージェントの計画と展開を行う方法の詳細については、「スパム対策およびウイルス対策機能について」を参照してください。
接続フィルター エージェントを有効にすると、接続フィルター エージェントは、受信メッセージを評価するときに最初に実行されるスパム対策エージェントになります。
接続フィルター エージェントが有効になっているエッジ トランスポート サーバーに受信メッセージが届くと、SMTP 接続の送信元 IP アドレスが IP 許可一覧および IP 禁止一覧と照合されます。発信元 IP アドレスが IP 禁止一覧で指定されている場合、メッセージ内のすべての RCPT TO ヘッダーが処理された後、SMTP 接続が切断されます。
注意
特定の接続が切断されるタイミングは、他のスパム対策の構成によって異なります。たとえば、送信元 IP アドレスが禁止されている場合でも、常にメール メッセージを受信する受信者を指定することができます。また、DATA コマンドの内容の解析結果を使用する他のエージェントを構成している場合もあります。接続フィルター エージェントは、常に、全体的なスパム対策の構成に従って、禁止した接続を切断します。
送信元 IP アドレスが IP 許可一覧または IP 禁止一覧で指定されていないときに、他のスパム対策エージェントが構成されている場合は、メッセージに対して他のスパム対策エージェントによる処理が続行されます。
スパム対策およびウイルス対策機能に関連する管理タスクについては、「スパム対策およびウイルス対策の機能の管理」をご覧ください。
目次
IP 許可一覧と IP 禁止一覧
最初の SMTP エントリ ポイントではないエッジ トランスポート サーバー用の接続フィルターの構成
IP 禁止一覧および IP 許可一覧の機能のテスト
IP 許可一覧と IP 禁止一覧
接続フィルター エージェントは、メッセージを送信しているサーバーの IP アドレスを、次のいずれかの IP アドレスのデータ ストアと照合します。
管理者が定義した IP 許可一覧と IP 禁止一覧
IP 禁止一覧プロバイダー
IP 許可一覧プロバイダー
IP 禁止一覧プロバイダーの詳細については、このトピックの「IP 禁止一覧プロバイダー」を参照してください。
接続フィルター エージェントを使用するには、これらの IP アドレスのデータ ストアを少なくとも 1 つ構成する必要があります。IP アドレスのデータ ストアに IP 許可一覧または IP 禁止一覧の IP アドレスが含まれていない場合や、IP 禁止一覧プロバイダーまたは IP 許可一覧プロバイダーを構成していない場合は、接続フィルター エージェントを無効にしてください。
管理者が定義した IP 許可一覧と IP 禁止一覧
エッジ トランスポート サーバーの管理者は、管理者が定義する IP アドレスの一覧を管理します。Exchange 管理コンソール (EMC) または Exchange 管理シェルを使用して、許可または禁止する IP アドレスを入力したり、削除したりすることができます。IP アドレスは、個別に追加するか、IP アドレスの範囲ごとに追加するか、または IP アドレスとサブネット マスクごとに追加することができます。
IP アドレスまたは IP アドレスの範囲を追加する場合は、IP アドレスまたは IP アドレスの範囲を IP 禁止一覧アドレスまたは IP 許可一覧アドレスとして指定する必要があります。また、作成するすべての IP 禁止一覧のエントリについて有効期限を指定することもできます。有効期限を設定した場合は、IP 禁止一覧のエントリをアクティブにしておく期間が指定されます。有効期限になると、IP 禁止一覧のエントリが無効になります。
管理者が定義した IP 許可一覧および IP 禁止一覧を使用すれば、以下のシナリオに対応した接続フィルターを構成できます。
IP 禁止一覧プロバイダーの IP 禁止一覧から IP アドレスを除外する
IP 禁止一覧プロバイダーの IP 禁止一覧に間違って正当な送信者が含まれている場合は、IP 禁止一覧プロバイダーの IP 禁止一覧から IP アドレスを除外する必要があります。たとえば、SMTP サーバーが間違って第三者中継を許可するように構成されている場合、正当な送信者が間違って IP 禁止一覧に登録される可能性があります。このシナリオでは、送信者はおそらく誤った構成を修正し、IP 禁止一覧プロバイダーの IP 禁止一覧から自分の IP アドレスを削除しようとします。
IP 禁止一覧プロバイダーの詳細については、このトピックの「IP 禁止一覧プロバイダー」を参照してください。
迷惑メール メッセージの送信元であるが IP 禁止一覧プロバイダーの IP 禁止一覧にない IP アドレスからのアクセスを拒否する
利用しているリアルタイム ブロック リスト サービスでまだ識別されていない送信元から、大量の迷惑メッセージを受信する場合があります。
IP 禁止一覧プロバイダー
IP 禁止一覧プロバイダー サービスは、組織に届く迷惑メール メッセージの数を削減するのに役立ちます。
注意
IP 禁止一覧プロバイダー サービスは、リアルタイム ブロック リスト サービスまたは RBL サービスと呼ばれることもあります。EMC では、リアルタイム ブロック リスト サービスを IP 禁止一覧プロバイダー サービスと呼びます。リアルタイム ブロック リスト サービス、RBL サービス、IP 禁止一覧プロバイダー サービスは同じです。
IP 禁止一覧プロバイダー サービスは、過去にスパムの送信元であった IP アドレスの一覧をまとめます。さらに、IP 禁止一覧プロバイダーの中には、SMTP が第三者中継を許可するように構成されている IP アドレスの一覧を提供するものもあります。また、ダイヤルアップ アクセスをサポートする IP アドレスの一覧を提供する IP 禁止一覧プロバイダー サービスもあります。顧客にダイヤルアップ アクセス サービスを提供しているインターネット サービス プロバイダー (ISP) は、ダイヤルアップ セッションごとに動的 IP アドレスを割り当てます。一部の ISP は、ダイヤルアップ アカウントからの SMTP トラフィックを禁止しています。このような ISP とそれに付随するダイヤルアップ IP アドレスの範囲は、通常 IP 禁止一覧には追加されません。ただし、顧客にダイヤルアップ アカウントからの SMTP トラフィックの送信を許可している ISP もあります。悪意のあるユーザーは、SMTP トラフィックを許可している ISP を利用し、動的に割り当てられた IP アドレスでスパムを送信します。この IP アドレスが IP 禁止一覧に登録されると、悪意のあるユーザーは別のダイヤルアップ セッションを開始し、新しい IP アドレスを取得します。通常、1 つの IP 禁止一覧プロバイダーで、このようなすべてのスパム行為に対応した IP アドレスの一覧を提供できます。
EMC またはシェルを使用すれば、複数の IP 禁止一覧プロバイダー構成を構成することができます。サービスごとに、EMC またはシェルで個別の IP 禁止一覧プロバイダー構成が必要です。
接続フィルター エージェントで IP 禁止一覧プロバイダーを使用するように構成した場合、接続フィルター エージェントは IP 禁止一覧プロバイダー サービスに照会して、メッセージを組織内で受け付ける前に、接続している IP アドレスに一致する IP アドレスが存在するかどうかを確認します。
接続フィルター エージェントが IP 禁止一覧プロバイダーに照会して IP アドレスを確認する前に、IP アドレスはまず管理者が定義した IP 許可一覧および IP 禁止一覧と照合されます。IP アドレスが、管理者が定義した IP 許可一覧と IP 禁止一覧のいずれにも存在しない場合、接続フィルター エージェントは、各プロバイダーに割り当てられた優先順位に従って、IP 禁止一覧プロバイダー サービスに照会します。IP アドレスが IP 禁止一覧プロバイダーの IP 禁止一覧に含まれている場合、エッジ トランスポート サーバーは RCPT TO ヘッダーを取得して解析し、送信側システムに SMTP 550 エラーで応答して、接続を閉じます。IP アドレスがどの IP 禁止一覧プロバイダーの IP 禁止一覧にも含まれていない場合、スパム対策チェーンの次のエージェントが接続を処理します。インターネットからの受信メッセージに対して既定のスパム対策エージェントおよびウイルス対策エージェントがフィルターを適用する順序の詳細については、「スパム対策およびウイルス対策機能について」を参照してください。
接続フィルター エージェントを使用する場合は、1 つ以上の IP 禁止一覧プロバイダーを使用して、組織内へのアクセスを管理することをお勧めします。管理者が定義した禁止一覧を使用して独自の IP 禁止一覧を維持管理することは、時間がかかる作業であり、多くの組織では人的資源の面で不可能である可能性があります。したがって、IP 禁止一覧の維持管理を唯一の目的としている外部の IP 禁止一覧プロバイダー サービスを使用することをお勧めします。
ただし、IP 禁止一覧プロバイダーを使用することにはいくつかの欠点もあります。接続フィルター エージェントはすべての不明な IP アドレスについて外部エンティティに照会する必要があるので、IP 禁止一覧プロバイダー サービスの機能停止や遅延によって、エッジ トランスポート サーバーでのメッセージの処理が遅れる可能性があります。極端な場合には、このような機能停止や遅延によって、エッジ トランスポート サーバーでメール フローのボトルネックが発生する可能性もあります。
外部の IP 禁止一覧プロバイダー サービスを使用することのもう 1 つの欠点は、正当な送信者が間違って IP 禁止一覧プロバイダーの IP 禁止一覧に追加される場合があるということです。たとえば、SMTP の間違った構成の結果、IP 禁止一覧プロバイダーが維持管理する IP 禁止一覧に正当な送信者が追加される場合があります。その場合、SMTP サーバーで誤って第三者中継を許可するように構成されています。
送信者 IP アドレスが IP 禁止一覧プロバイダー サービスと一致し、接続フィルター エージェントによってブロックされた場合、送信者に返される SMTP 550 エラーは、構成する IP 禁止一覧プロバイダー サービスごとにカスタマイズできます。ブロックする IP アドレスとして送信者を区別する IP 禁止一覧プロバイダー サービスを識別できるように SMTP 550 エラーをカスタマイズすることをお勧めします。このベスト プラクティスを使用すれば、正当な送信者が IP 禁止一覧プロバイダー サービスに連絡して、IP 禁止一覧プロバイダー サービスの IP 禁止一覧から削除してもらうことができます。
IP 禁止一覧プロバイダー サービスが異なれば、メッセージを送信するリモート サーバーの IP アドレスが IP 禁止一覧プロバイダー サービスの IP 禁止一覧の IP アドレスと一致するときに返されるコードも異なります。ほとんどの IP 禁止一覧プロバイダー サービスは、ビットマスクまたは絶対値のいずれかの種類のデータを返します。送信された IP アドレスを記載した一覧の種類を示す複数の値が、これらのデータの種類内に存在する場合があります。
ビットマスクの例
ここでは、ほとんどの禁止一覧プロバイダーが返す状態コードの例を示します。プロバイダーが返す状態コードの詳細については、特定のプロバイダーから提供されるドキュメントをご覧ください。
ビットマスクの種類のデータの場合、IP 禁止一覧プロバイダー サービスは、127.0.0.x の状態コードを返します。ここで、整数 x は、以下の表に示すいずれかの値になります。
ビットマスクの種類のデータの値と状態コード
値 | 状態コード |
---|---|
1 |
IP アドレスは IP 禁止一覧に記載されています。 |
2 |
SMTP サーバーは第三者中継として機能するように構成されています。 |
4 |
IP アドレスはダイヤル アップ IP アドレスをサポートします。 |
絶対値の種類の場合、IP 禁止一覧プロバイダー サービスは、IP アドレスがブロックされた原因に基づいて明示的な応答を返します。以下の表は、絶対値と明示的な応答の例を示しています。
絶対値の種類のデータの値と状態コード
値 | 明示的な応答 |
---|---|
127.0.0.2 |
IP アドレスは直接のスパムの送信元です。 |
127.0.0.4 |
IP アドレスは大容量メーラーです。 |
127.0.0.5 |
メッセージを送信しているリモート サーバーは多段階第三者中継をサポートすることがわかっています。 |
IP 許可一覧プロバイダー
IP 許可一覧を提供する IP 許可一覧プロバイダー サービスを使用して、受信メッセージを管理することもできます。IP 許可一覧は、ソフトウェア業界では IP セーフ リストまたはホワイト リストと呼ばれることもあります。IP 許可一覧プロバイダーは、スパム行為とは無関係であることが明白である IP アドレスの一覧を維持管理します。IP 許可一覧プロバイダーが IP 許可一覧で一致する IP アドレスを返した場合、送信者の IP アドレスは評判がよく、安全な送信者である可能性が高いことを示すので、接続フィルター エージェントはスパム対策チェーンの次のエージェントにメッセージを渡します。
先頭へ戻る
最初の SMTP エントリ ポイントではないエッジ トランスポート サーバー用の接続フィルターの構成
組織によっては、エッジ トランスポート サーバーの役割が、SMTP 要求をインターネット上で直接処理しないコンピューターにインストールされている場合があります。このシナリオでは、エッジ トランスポート サーバーは、インターネットから直接受け取る受信メッセージを処理する別のフロントエンド SMTP サーバーの背後に置かれています。さらに、このシナリオでは、接続フィルター エージェントがメッセージから正しい発信元 IP アドレスを抽出できる必要があります。発信元 IP アドレスを抽出および評価するには、接続フィルター エージェントがメッセージの受信ヘッダーを解析し、これらのヘッダーを境界ネットワーク内の既知の SMTP サーバーと比較する必要があります。
RFC 準拠の SMTP サーバーは、メッセージを受信すると、送信者のドメイン名と IP アドレスでメッセージの受信ヘッダーを更新します。したがって、発信元である送信者とエッジ トランスポート サーバーの間にある SMTP サーバーごとに、受信ヘッダー エントリが追加されます。
Exchange 2010 をサポートするように境界ネットワークを構成する際、境界ネットワーク内の SMTP サーバーに対する IP アドレスをすべて指定する必要があります。IP アドレス データは EdgeSync によりエッジ トランスポート サーバーにレプリケートされます。接続フィルター エージェントを実行するコンピューターがメッセージを受信する際、境界ネットワーク内の SMTP サーバー IP アドレスと一致しない受信ヘッダーの IP アドレスは、発信元 IP アドレスであると想定されます。
接続フィルターを実行する前に、Active Directory フォレスト内のトランスポート構成オブジェクトで、すべての内部 SMTP サーバーを指定する必要があります。内部 SMTP サーバーを指定するには、Set-TransportConfig コマンドレットの InternalSMTPServers パラメーターを使用します。
先頭へ戻る
IP 禁止一覧および IP 許可一覧の機能のテスト
IP 禁止一覧プロバイダー サービスまたは IP 許可一覧プロバイダー サービスの構成が終わったら、接続フィルターが特定のサービスに対して正しく構成されているかどうかを確認するためのテストを実行します。ほとんどの IP 禁止一覧プロバイダー サービスまたは IP 許可一覧プロバイダー サービスには、サービスのテストに使用できるテスト用の IP アドレスが用意されています。IP 禁止一覧プロバイダー サービスまたは IP 許可一覧プロバイダー サービスに対しテストを実行すると、接続フィルター エージェントは、特定の応答が返されるはずのリアルタイム ブロック リスト IP アドレスに基づいてドメイン ネーム システム (DNS) クエリを発行します。IP 禁止一覧プロバイダー サービスまたは IP 許可一覧プロバイダー サービスに対して IP アドレスをテストする方法の詳細については、「Test-IPAllowListProvider」および「Test-IPBlockListProvider」を参照してください。
先頭へ戻る
© 2010 Microsoft Corporation.All rights reserved.