次の方法で共有


Exchange Onlineを使用してサードパーティのクラウド サービスを使用してメール フローを管理する

このトピックでは、Exchange Onlineを使用した次の複雑なメール フロー シナリオについて説明します。

シナリオ 1 - MX レコードがサード パーティ製のスパム フィルタリングを指している

シナリオ 2 - MX レコードがスパム フィルタリングを使用しないサード パーティ製のソリューションを指している

注:

このトピックの例では、ドメイン contoso.com を所有し、Exchange Onlineのテナントである架空のorganization Contoso を使用します。 これは単なる例です。 この例は、必要に応じて、organizationのドメイン名とサードパーティのサービス IP アドレスに合わせて調整できます。

Microsoft 365 または Office 365 でサード パーティのクラウド サービスを使用する

シナリオ 1 - MX レコードがサード パーティのスパム フィルター処理を指す

重要

Microsoft では、コネクタの拡張フィルター処理を有効にするか、メール フロー ルールを使用してフィルター処理を完全にバイパスすることを強くお勧めします (チェックポイント 5)。 この手順に従わないと、受信メインがorganizationに誤って分類され、Microsoft 365 の電子メールと保護機能のサブパー エクスペリエンスが必然的に発生します。

また、サービスが ARC シールをサポートしている場合は、転送中のメッセージを 信頼できる ARC シーラーとして変更するサード パーティのサービスを追加することもお勧めします。 信頼できる ARC シーラーとしてサービスを追加すると、影響を受けるメッセージが電子メール認証チェックに合格し、正当なメッセージが迷惑メール Email フォルダーに配信されたり、検疫されたり、拒否されたりするのを防ぐことができます。 メッセージを変更し、ARC シールをサポートしていないサード パーティのサービスは、それらのメッセージの DKIM 署名を無効にします。 このような場合は、 なりすまし検出レポート を確認し、 なりすまし送信者の許可エントリを作成 して、正当なメッセージの電子メール認証エラーをオーバーライドする必要があります。

Exchange Onlineを使用して、organizationのすべてのメールボックスをホストする予定です。 organizationは、スパム、マルウェア、フィッシング フィルタリングにサードパーティのクラウド サービスを使用します。 インターネットからのすべての電子メールは、Microsoft 365 または Office 365にルーティングされる前に、このサード パーティのクラウド サービスによって最初にフィルター処理する必要があります。

このシナリオでは、組織のメール フロー セットアップが次の図のようになります。

Microsoft 365 または Office 365 へのインターネットからサード パーティのフィルタリング サービスへの受信メールと、Microsoft 365 または Office 365からインターネットへの送信メールを示すメール フロー図。

Microsoft 365 または Office 365 でサード パーティのクラウド フィルタリング サービスを使用するためのベスト プラクティス

  1. Microsoft 365 または Office 365にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。

  2. Exchange Onlineでユーザー メールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 またはOffice 365に移動します。

  3. 手順 1 で追加したドメインの DNS レコードを更新します。 (これを行う方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。

    • MX レコード: ドメインの MX レコードは、サード パーティのサービス プロバイダーを指している必要があります。 MX レコードを構成する方法については、サードパーティのガイドラインに従ってください。

    • SPF レコード: ドメインからインターネットに送信されるすべてのメールは Microsoft 365 または Office 365で送信されるため、SPF レコードには Microsoft 365 または Office 365の標準値が必要です。

      v=spf1 include:spf.protection.outlook.com -all
      

      SPF レコードにサード パーティサービスを含める必要があるのは、organizationがサービスを介して送信インターネットメールを送信する場合のみです (サード パーティサービスがドメインからのメールの送信元になります)。

    このシナリオを構成する場合は、サード パーティのサービスから電子メールを受信するように構成する必要がある "ホスト" が MX レコードで指定されます。 以下に例を示します。

    ホスト名の値の例。

    この例では、Microsoft 365 または Office 365 ホストのホスト名を hubstream-mx.mail.protection.outlook.com する必要があります。 この値はドメインごとに異なる場合があるため、実際の値を確認するには、Configuration>Domain><select domain> で値をチェックします。

  4. Exchange Online organizationをロックダウンして、サード パーティサービスからのメールのみを受け入れます。

    TlsSenderCertificateName (優先) または SenderIpAddresses パラメーターを使用してパートナー受信コネクタを作成して構成し、対応する RestrictDomainsToCertificate パラメーターまたは RestrictDomainsToIPAddresses パラメーターを$Trueに設定します。 Exchange Onlineに直接ルーティングされたスマート ホストのメッセージはすべて拒否されます (指定した証明書または指定した IP アドレスを使用して接続経由で受信されなかったためです)。

    以下に例を示します。

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true
    

    または

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>
    

    注:

    同じ証明書または送信者 IP アドレスの OnPremises 受信コネクタが既にある場合でも、 パートナー 受信コネクタを作成する必要があります ( RestrictDomainsToCertificate パラメーターと RestrictDomainsToIPAddresses パラメーターは パートナー コネクタにのみ適用されます)。 2 つのコネクタは問題なく共存できます。

  5. この手順には、次の 2 つのオプションがあります。

    • コネクタの拡張フィルター処理を使用する (強くお勧めします): サード パーティ製アプリケーションからメッセージを受信するパートナー受信コネクタで 、コネクタの拡張フィルター処理 (リストのスキップとも呼ばれます) を使用します。 これにより、EOP とMicrosoft Defender XDRでメッセージをOffice 365スキャンできます。

      注:

      サード パーティ製アプリケーションがオンプレミスの Exchange サーバーを使用してExchange Onlineに送信するハイブリッド シナリオでは、Exchange Onlineの OnPremises 受信コネクタでコネクタの拡張フィルター処理を有効にする必要もあります。

    • スパム フィルター処理をバイパスする: スパム フィルター処理をバイパスするには、メール フロー ルール (トランスポート ルールとも呼ばれます) を使用します。 このオプションは、ほとんどの EOP およびDefender for Office 365コントロールを防止するため、二重スパム対策チェックを防ぎます。

      二重スキャンを防ぐためのメール フロー ルール。

      重要

      メール フロー ルールを使用してスパム フィルター処理をバイパスする代わりに、 コネクタの拡張フィルター処理 (リストのスキップとも呼ばれます) を有効にすることを強くお勧めします。 ほとんどのサードパーティのクラウドスパム対策プロバイダーは、多くの顧客の間で IP アドレスを共有しています。 これらの IP でスキャンをバイパスすると、これらの IP アドレスからのなりすましメッセージやフィッシング メッセージが発生する可能性があります。

シナリオ 2 - MX レコードがスパム フィルター処理を行わずにサード パーティ製ソリューションを指す

Exchange Onlineを使用して、organizationのすべてのメールボックスをホストする予定です。 インターネットから自分のドメインに送信されるすべての電子メールは、Exchange Onlineに到着する前に、まずサード パーティのアーカイブまたは監査サービスを経由する必要があります。 Exchange Online organizationからインターネットに送信されるすべての送信メールも、サービス経由で送信する必要があります。 ただし、サービスではスパム フィルタリング ソリューションは提供されません。

このシナリオでは、コネクタの 拡張フィルター処理を使用する必要があります。 それ以外の場合、すべてのインターネット送信者からのメールは、インターネット上の真のソースからではなく、サードパーティのサービスから発信されているようです。

インターネットからサード パーティのソリューションへの受信メールを示すメール フロー図。Office 365または Microsoft 365、Microsoft 365 または Office 365からサード パーティ ソリューションへの送信メールを示し、次にインターネットに送信します。

Microsoft 365 または Office 365 でサード パーティのクラウド サービスを使用するためのベスト プラクティス

Microsoft 365 およびOffice 365によって提供されるアーカイブおよび監査ソリューションを使用することを強くお勧めします。

重要

MX レコードが Microsoft 365 を指す第 3 のシナリオがありますが、サード パーティサービスは Microsoft 365 以降で動作します。 このセットアップでは、メールは Microsoft 365 環境から離れ、スパム、マルウェア、フィッシングフィルタリングのためにサード パーティサービスにルーティングされます。 フィルター処理されると、メッセージは Microsoft 365 に戻ります。 このセットアップの詳細 (課題や複雑さなど) については、インアウト メール ルーティングによる統合に関する記事を参照してください。

関連項目

Exchange Online、Microsoft 365、Office 365のメール フローのベスト プラクティス (概要)

一元化されたメール トランスポートを使用する場合、一部のメッセージはオンプレミスのorganization経由でルーティングされません

パートナー組織とのセキュリティで保護されたメール フロー用のコネクタを設定する

Microsoft 365 または Office 365を使用して、すべてのメールボックスとメール フローを管理する

複数の場所にあるメールボックスを使用してメール フローを管理する (Microsoft 365 または Office 365、オンプレミスの Exchange)

Exchange Onlineとオンプレミスのメールボックスを使用してサード パーティのクラウド サービスを使用してメール フローを管理する

Microsoft 365 または Office 365 メール フローのトラブルシューティング

コネクタを検証してメール フローをテストする