接続フィルターを構成する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Exchange Online メールボックスを持つ Microsoft 365 組織、またはメールボックスをExchange Onlineしていないスタンドアロン Exchange Online Protection (EOP) 組織では、接続フィルター処理と既定の接続フィルター ポリシーによって、IP アドレスによって適切または無効なソース メール サーバーが識別されます。 既定の接続フィルター ポリシーの主な構成要素は次のとおりです。
IP 許可リスト: 指定した送信元 IP アドレスまたは IP アドレス範囲からのすべての受信メッセージのスパム フィルター処理をスキップします。 すべての受信メッセージは、マルウェアと信頼度の高いフィッシング用にスキャンされます。 IP 許可リスト内のサーバーからのメッセージでスパム フィルター処理が引き続き発生するその他のシナリオについては、この記事の後半 の「IP 許可リストのソースからのメッセージがまだフィルター処理されるシナリオ 」セクションを参照してください。 IP 許可リストが安全な送信者全体の戦略にどのように適合するかの詳細については、「 EOP で差出人セーフ リストを作成する」を参照してください。
IP ブロック リスト: 指定したソース IP アドレスまたは IP アドレス範囲からの受信メッセージをすべてブロックします。 受信メッセージは拒否され、スパムとしてマークされず、他のフィルター処理は行われません。 IP ブロック リストを全体的なブロック送信者戦略に適合させる方法の詳細については、「 EOP でブロック送信者リストを作成する」を参照してください。
セーフ リスト: 接続フィルター ポリシーの セーフ リスト は、顧客の構成を必要としない動的許可リストです。 Microsoft は、サブスクリプションからさまざまなサード パーティリストに対して、これらの信頼された電子メール ソースを識別します。 セーフ リストの使用を有効または無効にします。一覧でサーバーを構成することはできません。 セーフ リスト上の電子メール サーバーからの受信メッセージでは、スパム フィルター処理はスキップされます。
この記事では、Microsoft 365 Microsoft Defender ポータルまたは powerShell で既定の接続フィルター ポリシー Exchange Online構成する方法について説明します。 EOP が接続フィルター処理を使用する方法の詳細については、organizationの全体的なスパム対策設定の一部である、スパム対策の保護に関するページを参照してください。
注:
IP 許可リスト、セーフ リスト、IP ブロック リストは、organizationで電子メールを許可またはブロックするための全体的な戦略の 1 つです。 詳細については、「 差出人セーフ リストの作成 」および「 ブロックされた送信者リストの作成」を参照してください。
IPv6 範囲はサポートされていません。
IP ブロック リスト内のブロックされたソースからのメッセージは、 メッセージ トレースでは使用できません。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [スパム対策ポリシー] ページに直接移動するには、https://security.microsoft.com/antispam を使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。
-
- ポリシーの変更: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
- ポリシーへの読み取り専用アクセス: グローバル閲覧者、 セキュリティ閲覧者、または 表示専用組織管理 役割グループのメンバーシップ。
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
許可またはブロックする電子メール サーバー (送信者) の送信元 IP アドレスを検索するには、メッセージ ヘッダーに接続 IP (CIP) ヘッダー フィールドをチェックします。 さまざまなメール クライアントでメッセージ ヘッダーを表示するには、「 Outlook でインターネット メッセージ ヘッダーを表示する」を参照してください。
IP 許可リストは、IP ブロック リストよりも優先されます (両方のリストのアドレスはブロックされません)。
IP 許可リストと IP ブロック リストは、それぞれ最大 1273 エントリをサポートします。このエントリは、1 つの IP アドレス、IP アドレス範囲、またはクラスレス InterDomain ルーティング (CIDR) IP です。
Microsoft Defender ポータルを使用して、既定の接続フィルター ポリシーを変更する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションEmail & [コラボレーション>ポリシー & ルール>脅威ポリシー>Anti-spam に移動します。 または、[ スパム対策ポリシー ] ページに直接移動するには、 https://security.microsoft.com/antispamを使用します。
[スパム対策ポリシー] ページで、名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、一覧から [接続フィルター ポリシー (既定)] を選択します。
開いたポリシーの詳細ポップアップで、[ 編集] リンクを使用してポリシー設定を変更します。
説明セクション: [説明の編集] を選択して、開いた [名前と説明の編集] ポップアップの [説明] ボックスにポリシーの説明を入力します。 ポリシーの名前を変更することはできません。
[名前と説明の編集] ポップアップが完了したら、[保存] を選択します。
[接続フィルター] セクション: [ 接続フィルター ポリシーの編集] を選択します。 表示されるポップアップで、次の設定を構成します。
次の IP アドレスまたはアドレス範囲からのメッセージを常に許可する: この設定は IP 許可リストです。 ボックス内をクリックして値を入力し、Enter キーを押すか、ボックスの下に表示される完全な値を選択します。 有効な値は次のとおりです。
- 単一 IP: 192.168.1.1 など。
- IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
- CIDR IP: たとえば、192.168.0.1/25。 有効なサブネット マスク値は、/24 から /32 です。 /1 から /23 へのスパム フィルタリングをスキップするには、この記事の後半の「 使用可能な範囲外の CIDR IP のスパム フィルタリングをスキップ する」セクションを参照してください。
必要な回数だけこの手順を繰り返します。 既存のエントリを削除するには、エントリの横にある [ ] を選択します。
次の IP アドレスまたはアドレス範囲からのメッセージを常にブロックします。この設定は IP ブロック リストです。 「次の IP アドレスまたはアドレス範囲からのメッセージを常に許可 する」の設定で説明したように、単一の IP、IP 範囲、または CIDR IP をボックスに入力します。
セーフ リストを有効にする: セーフ リストの使用を有効または無効にして、スパム フィルター処理をスキップする既知の適切な送信者を特定します。 セーフ リストを使用するには、[チェック] ボックスを選択します。
ポップアップが終了したら、[保存] を選択 します。
ポリシーの詳細ポップアップに戻り、[ 閉じる] を選択します。
Microsoft Defender ポータルを使用して、既定の接続フィルター ポリシーを表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションEmail & [コラボレーション>ポリシー & ルール>脅威ポリシー>Anti-spam に移動します。 または、[ スパム対策ポリシー ] ページに直接移動するには、 https://security.microsoft.com/antispamを使用します。
[ スパム対策ポリシー ] ページで、ポリシーの一覧に次のプロパティが表示されます。
- 名前: 既定の接続フィルター ポリシーの名前は 、接続フィルター ポリシー (既定値) です。
- 状態: 既定の接続フィルター ポリシーの値は Always on です。
- Priority: 既定の接続フィルター ポリシーの値は [最小] です。
- 型: 既定の接続フィルター ポリシーの値は空白です。
ポリシーの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。
[ 検索 ] ボックスと対応する値を使用して、特定のポリシーを見つけます。
既定の接続フィルター ポリシーを選択するには、名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、ポリシーの詳細ポップアップを開きます。
PowerShell またはスタンドアロン EOP PowerShell Exchange Online使用して、既定の接続フィルター ポリシーを変更する
次の構文を使用してください。
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- 有効な IP アドレスまたはアドレス範囲の値は次のとおりです。
- 単一 IP: 192.168.1.1 など。
- IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
- CIDR IP: たとえば、192.168.0.1/25。 有効なネットワーク マスク値は、/24 から /32 です。
- 指定した値で既存のエントリを 上書き するには、次の構文を使用します:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
。 - 他の既存のエントリに影響を与えずに IP アドレスまたはアドレス範囲を 追加または削除 するには、次の構文を使用します:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
。 - IP 許可リストまたは IP ブロック リストを空にするには、
$null
値を使用します。
次の使用例は、IP 許可リストと IP ブロック リストを、指定された IP アドレスとアドレス範囲で構成します。
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
次の使用例は、指定した IP アドレスとアドレス範囲を IP 許可リストに追加して削除します。
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
構文とパラメーターの詳細については、「 Set-HostedConnectionFilterPolicy」を参照してください。
正常な動作を確認する方法
既定の接続フィルター ポリシーが正常に変更されたことを確認するには、次のいずれかの手順を実行します。
https://security.microsoft.com/antispamのMicrosoft Defender ポータルの [スパム対策ポリシー] ページで、名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、一覧から [接続フィルター ポリシー (既定)] を選択し、開いた詳細ポップアップのポリシー設定を確認します。
PowerShell またはスタンドアロン EOP PowerShell Exchange Onlineで、次のコマンドを実行し、設定を確認します。
Get-HostedConnectionFilterPolicy -Identity Default
IP 許可リストのエントリからテスト メッセージを送信します。
IP 許可リストに関するその他の考慮事項
次のセクションでは、IP 許可リストを構成するときに知る必要があるその他の項目を特定します。
注:
すべての受信メッセージは、メッセージ ソースが IP 許可リストに含まれているかどうかに関係なく、マルウェアと高信頼度のフィッシングをスキャンします。
使用可能な範囲外の CIDR IP のスパム フィルター処理をスキップする
この記事で前述したように、ネットワーク マスク /24 から /32 の CIDR IP のみを IP 許可リストで使用できます。 /1 から /23 の範囲の送信元メール サーバーからのメッセージに対するスパム フィルター処理をスキップするには、Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) を使用する必要があります。 ただし、/1 ~ /23 CIDR IP 範囲の IP アドレスが Microsoft の独自またはサード パーティ製のブロック リストのいずれかに表示される場合、メッセージはブロックされるため、メール フロー ルール メソッドを使用しないことをお勧めします。
潜在的な問題を完全に認識したら、次の設定 (少なくとも) を使用してメール フロー ルールを作成して、これらの IP アドレスからのメッセージがスパム フィルター処理をスキップするようにすることができます。
- ルール条件: このルールは>送信者>IP アドレスがこれらの範囲にあるか>完全に一致する場合に適用します (/1 から /23 のネットワーク マスクを使用して CIDR IP を入力します)。
- ルール アクション: メッセージ のプロパティを変更します>スパム信頼レベル (SCL)>Bypass スパム フィルタリングを設定します。
ルールの監査、ルールのテスト、特定の期間中のルールのアクティブ化、およびその他の選択を行うことができます。 ルールを施行する前に一定期間ルールをテストすることをお勧めします。 詳細については、「Exchange Onlineでのメール フロー ルールの管理」を参照してください。
同じソースからの選択的なメール ドメインに対するスパム フィルター処理をスキップする
通常、IP アドレスまたはアドレス範囲を IP 許可リストに追加すると、そのメール ソースからのすべての受信メッセージが信頼されます。 そのソースが複数のドメインからメールを送信し、それらのドメインの一部のスパム フィルター処理をスキップしたいが、他のドメインではスキップしない場合はどうでしょうか。 IP 許可リストは、メール フロー ルールと組み合わせて使用できます。
たとえば、ソース電子メール サーバー 192.168.1.25 は、ドメイン contoso.com、fabrikam.com、tailspintoys.com から電子メールを送信しますが、fabrikam.com の送信者からのメッセージのスパム フィルター処理のみをスキップする必要があります。
IP 許可リストに 192.168.1.25 を追加します。
次の設定 (少なくとも) を使用してメール フロー ルールを構成します。
- ルールの条件: このルールは>送信者>IP アドレスがこれらの範囲内にあるか、または完全に一致する場合に適用します> 192.168.1.25 (前の手順で IP 許可リストに追加したのと同じ IP アドレスまたはアドレス範囲)。
- ルール アクション: メッセージのプロパティを変更します>スパム信頼レベル (SCL)>0 を設定します。
- ルール例外: sender>domain is> fabrikam.com (スパム フィルター処理をスキップするドメインまたはドメインのみ)。
IP 許可リスト内のソースからのメッセージがまだフィルター処理されるシナリオ
IP 許可リスト内のメール サーバーからのメッセージは、次のシナリオでは引き続きスパム フィルター処理の対象となります。
IP 許可一覧の IP アドレスは、Microsoft 365 内 の任意 のテナントのオンプレミスの IP ベースの受信コネクタ (このテナント A と呼びます)、 および メッセージが最初に検出されたテナント A と EOP サーバーにも構成されています。両方とも、Microsoft データセンター内の 同じ Active Directory フォレストにあります。 このシナリオでは、 IPV:CALが メッセージの スパム対策メッセージ ヘッダー に追加されますが (メッセージがスパム フィルター処理をバイパスしたことを示します)、メッセージは依然としてスパム フィルター処理の対象となります。
IP 許可リストとメッセージを最初に検出した EOP サーバーを含むテナントは、どちらも Microsoft データセンター内の 異なる Active Directory フォレストに存在します。 このシナリオでは、 IPV:CALは メッセージ ヘッダーに追加されないため、メッセージは引き続きスパム フィルター処理の対象になります。
これらのシナリオのいずれかが発生した場合は、次の設定 (少なくとも) を使用してメール フロー ルールを作成して、問題のある IP アドレスからのメッセージがスパム フィルター処理をスキップするようにすることができます。
- ルールの条件: この規則は>送信者>IP アドレスが、これらの範囲のいずれか、または完全に一致する> (IP アドレスまたはアドレス) にある場合に適用します。
- ルール アクション: メッセージ のプロパティを変更します>スパム信頼レベル (SCL)>Bypass スパム フィルタリングを設定します。
Microsoft 365 は初めてですか?
Microsoft 365 は初めてですか? LinkedIn Learning が提供する Microsoft 365 管理者と IT 担当者向けの無料ビデオ コースをご覧ください。