次の方法で共有


送信コネクタについて

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

送信コネクタは、Microsoft Exchange Server 2010 を実行していて、ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割がインストールされているコンピューター上で構成されます。送信コネクタは、送信メッセージが送信されるときに通過する論理ゲートウェイを表します。ここでは、送信コネクタの概要を説明し、送信コネクタの構成が個々のメッセージの処理にどのように影響するかについて説明します。

送信コネクタの概要

Exchange 2010 トランスポート サーバーがメッセージを送信ルート上の次のホップに配信するには、送信コネクタが必要です。送信コネクタは、送信サーバーから受信サーバーまたは送信先電子メール システムまでの送信接続を制御します。既定では、ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割がインストールされている場合、明示的な送信コネクタは作成されません。ただし、Active Directory のサイト トポロジに基づいて自動的に計算される暗黙的で不可視の送信コネクタが、ハブ トランスポート サーバー間の内部的なメッセージのルーティングで使用されます。エンド ツー エンドのメール フローが可能になるのは、エッジ サブスクリプション プロセスにより Active Directory サイトがエッジ トランスポート サーバーを購読するようになった後のみです。インターネットに直接接続されたハブ トランスポート サーバーや、購読されていないエッジ トランスポート サーバーなどの場合は、エンド ツー エンドのメール フローを確立するコネクタを手動で構成する必要があります。詳細については、「トランスポート サーバーの配置後のタスク」を参照してください。

ハブ トランスポート サーバー上で作成した送信コネクタは Active Directory 内に保存され、組織内のすべてのハブ トランスポート サーバーから利用できます。送信コネクタがメッセージを外部ドメインに送信するように構成されている場合、組織内の任意のハブ トランスポート サーバーがそのドメイン宛てのメッセージをそのコネクタの送信元サーバーにルーティングして、送信先ドメインへと中継されます。

メッセージを受信者へとルーティングするために使用される送信コネクタは、メッセージの分類のルーティング解決フェーズで選択されます。詳細については、「メッセージ ルーティングについて」を参照してください。

送信コネクタの使用法の種類の選択

Exchange 管理コンソール (EMC) を使用して送信コネクタを作成すると、SMTP 送信コネクタの新規作成ウィザードでコネクタの使用法の種類を選択するように求められます。使用法の種類によって、コネクタに割り当てる既定のアクセス許可セットが決定され、決定されたアクセス許可が、信頼されるセキュリティ プリンシパルに与えられます。セキュリティ プリンシパルには、ユーザー、コンピューター、およびセキュリティ グループが含まれます。セキュリティ プリンシパルは、セキュリティ識別子 (SID) で表されます。

使用法の種類は、Exchange 管理シェルで New-SendConnector コマンドレットを使用して送信コネクタを作成する場合にも指定できます。ただし、Usage パラメーターは不要です。New-SendConnector コマンドレットを実行するときに使用法の種類を指定しなければ、既定の使用法の種類は [カスタム] に設定されます。次の表に、送信コネクタの使用法の種類と、その既定の設定を示します。

送信コネクタの使用法の種類

種類 既定のアクセス許可 既定のアクセス許可が与えられる SID 既定のスマート ホスト認証機構

カスタム

なし

なし

なし

内部

  • ms-Exch-Send-Headers-Organization

  • ms-Exch-SMTP-Send-Exch50

  • ms-Exch-Send-Headers-Routing

  • ms-Exch-Send-Headers-Forest

  • ハブ トランスポート サーバー

  • エッジ トランスポート サーバー

  • Exchange サーバー (ハブ トランスポート サーバーのみ)

  • 外部的にセキュリティで保護されたサーバー

  • 従来の Exchange と相互運用性を持つユニバーサル セキュリティ グループ

  • Exchange Server 2003 および Exchange 2000 Server のブリッジヘッド サーバー

Exchange Server 認証

インターネット

Ms-Exch-Send-Headers-Routing

匿名ユーザー アカウント

なし

パートナー

Ms-Exch-Send-Headers-Routing

パートナー サーバー

該当なし。この使用法の種類は、リモート ドメインとの相互トランスポート層セキュリティ (TLS) 認証を確立する場合に選択します。

注意

送信コネクタにスマート ホストではなくドメイン ネーム システム (DNS) 解決配信を選択した場合は、スマート ホスト認証機構は構成されません。

送信コネクタのアクセス許可とスマート ホスト認証機構については、このトピック内で後から詳しく説明します。

送信コネクタの使用シナリオ

使用法の各種類は、特定の接続シナリオに適しています。目的の構成に最も適している既定の設定を備えた使用法の種類を選択してください。アクセス許可は、Add-ADPermission コマンドレットおよび Remove-ADPermission コマンドレットを使用して変更できます。詳細については、以下のトピックを参照してください。

次の表に、一般的な接続シナリオと、各シナリオに適した使用法の種類を示します。

コネクタの使用シナリオ

コネクタのシナリオ 使用法の種類 コメント

インターネットへ電子メールを送信するエッジ トランスポート サーバー

インターネット

エッジ トランスポート サーバーが Exchange 組織に購読されている場合は、すべてのドメインに電子メールを送信するように構成された送信コネクタが自動的に作成されます。

インターネットへ電子メールを送信するハブ トランスポート サーバー

インターネット

これは推奨構成ではありません。

ハブ トランスポート サーバーに電子メールを送信する購読済みエッジ トランスポート サーバー

内部

このコネクタは、エッジ サブスクリプション プロセスにより自動的に作成されます。

Exchange 2003 ブリッジヘッド サーバーに電子メールを送信するエッジ トランスポート サーバー

内部

Exchange 2003 ブリッジヘッド サーバーが送信コネクタのスマート ホストとして構成されます。

ハブ トランスポート サーバーに電子メールを送信するエッジ トランスポート サーバー

カスタム

エッジ サブスクリプション プロセスを使用しない場合、手動コネクタを作成する必要があります。Add-ADPermission コマンドレットを使用して、拡張された権利を設定します。認証機構を基本認証または外部セキュリティ保護に設定します。

1 つのフォレスト内の Exchange 2010 または Exchange 2007 のハブ トランスポート サーバーに電子メールを送信する、別のフォレスト内のハブ トランスポート サーバー用のクロス フォレスト送信コネクタ

カスタム

詳細な構成手順については、「フォレスト間コネクタを構成する」を参照してください。

1 つのフォレスト内の Exchange 2003 ブリッジヘッド サーバーに電子メールを送信する、別のフォレスト内のハブ トランスポート サーバー用のクロス フォレスト送信コネクタ

カスタム

詳細な構成手順については、「フォレスト間コネクタを構成する」を参照してください。

サード パーティのスマート ホストに電子メールを送信するハブ トランスポート サーバー

カスタム

Add-ADPermission コマンドレットを使用して、拡張された権利を設定します。すべてのメッセージをスマート ホストにルーティングし、認証機構を基本認証または外部セキュリティ保護に設定します。

サード パーティのスマート ホストに電子メールを送信するエッジ トランスポート サーバー

カスタム

Add-ADPermission コマンドレットを使用して、拡張された権利を設定します。すべてのメッセージをスマート ホストにルーティングし、認証機構を基本認証または外部セキュリティ保護に設定します。

外部の中継ドメインに電子メールを送信するエッジ トランスポート サーバー

カスタム

エッジ トランスポート サーバーは、外部の中継ドメイン向けの電子メールを受け付けて、メッセージをそのドメインに対する特権のある電子メール システムへと中継することができます。すべてのメッセージをスマート ホストにルーティングし、適切な認証機構を設定し、Add-ADPermission コマンドレットを使用して、拡張された権利を設定します。

相互 TLS 認証が確立済みのドメインに電子メールを送信するエッジ トランスポート サーバー

パートナー

相互 TLS 認証は、以下の条件が満たされている場合にのみ正しく機能します。

  • DomainSecureEnabled パラメーターの値が $true である必要があります。

  • DNSRoutingEnabled パラメーターの値が $true である必要があります。

  • IgnoreStartTLS パラメーターの値が $false である必要があります。

詳細については、「Set-SendConnector」を参照してください。

送信コネクタのアクセス許可

送信コネクタのアクセス許可をセキュリティ プリンシパルに割り当てます。セキュリティ プリンシパルが送信コネクタとのセッションを確立すると、電子メール メッセージと一緒に送信できるヘッダー情報の種類が送信コネクタのアクセス許可により決まります。電子メール メッセージに送信コネクタのアクセス許可で許可されないヘッダー情報が含まれている場合、そのヘッダーは送信時にメッセージから削除されます。次の表に、送信コネクタでセキュリティ プリンシパルに割り当てることができるアクセス許可を示します。EMC を使用して送信コネクタのアクセス許可を設定することはできません。送信コネクタの既定のアクセス許可を変更するには、シェルで Add-ADPermission コマンドレットを使用する必要があります。

送信コネクタのアクセス許可

送信コネクタのアクセス許可 説明

ms-Exch-Send-Exch50

このアクセス許可は、EXCH50 コマンドを含むメッセージを送信することをセッションに許可します。このアクセス許可が与えられていなくて、EXCH50 コマンドを含むメッセージが送信された場合には、サーバーはメッセージを送信しますが、EXCH50 コマンドは含めません。

Ms-Exch-Send-Headers-Routing

このアクセス許可は、受け取ったヘッダーをすべてそのまま含んだメッセージを送信することをセッションに許可します。このアクセス許可が与えられていない場合、サーバーはすべての受信ヘッダーを削除します。

Ms-Exch-Send-Headers-Organization

このアクセス許可は、すべての組織ヘッダーをそのまま含んだメッセージを送信することをセッションに許可します。組織ヘッダーはすべて、X-MS-Exchange-Organization- で始まります。このアクセス許可が与えられていない場合、送信側のサーバーはすべての組織ヘッダーを削除します。

Ms-Exch-Send-Headers-Forest

このアクセス許可は、すべてのフォレスト ヘッダーをそのまま含んだメッセージを送信することをセッションに許可します。フォレスト ヘッダーはすべて、X-MS-Exchange-Forest- で始まります。このアクセス許可が与えられていない場合、送信側のサーバーはすべてのフォレスト ヘッダーを削除します。

アドレス スペースおよびコネクタのスコープ

送信コネクタのアドレス スペースは、送信コネクタが電子メールをルーティングする受信者ドメインを指定します。ハブ トランスポート サーバー上で構成されている送信コネクタで、SMTP アドレス スペースまたは SMTP 以外のアドレス スペースを指定できます。エッジ トランスポート サーバー上に構成されている送信コネクタでは、SMTP アドレス スペースのみ指定できます。SMTP 以外のアドレス スペースの種類を使用する場合は、スマート ホストを使用して電子メールをルーティングする必要があります。

注意

ハブ トランスポート サーバー上の送信コネクタで SMTP 以外のアドレス スペースを構成できますが、送信コネクタはトランスポート メカニズムとして SMTP を使用して他のメッセージング サーバーにメッセージを送信します。ハブ トランスポート サーバーの配信エージェント コネクタと外部コネクタは、サード パーティの FAX ゲートウェイ サーバーなどの SMTP 以外のローカルのメッセージング サーバーにメッセージを送信するために使用されます。詳細については、「配信エージェントについて」および「外部コネクタについて」を参照してください。

次の表に、送信コネクタの SMTP アドレス スペースに有効なエントリの一覧を示します。

送信コネクタの SMTP アドレス スペースの有効なエントリ

アドレス スペースのエントリ 送信コネクタがメールをルーティングする先

*

別の送信コネクタのエントリで明示的なアドレス スペースのエントリを持たないすべてのドメイン、または別の送信コネクタのアドレス スペースに含まれるサブドメインではないすべてのドメイン。

Contoso.com

Contoso.com ドメイン内の電子メール アドレスを持つすべての受信者。

*.Contoso.com

Contoso.com ドメイン内または Contoso.com の任意のサブドメイン内の電子メール アドレスを持つすべての受信者。EMC では、[すべてのサブドメインを含む] を選択するとこの構成を設定できます。

--

このアドレス スペースは、ハブ トランスポート サーバーにメッセージを送信するために、エッジ トランスポート サーバー上で構成されている送信コネクタでのみ使用されます。このアドレス スペースを使用する場合、このコネクタによって承認済みドメイン宛てのすべてのメッセージがルーティングされます。

ルーティング解決中に、電子メールが送信先アドレス スペースに配信されるためにルーティングされるルーティング先の送信コネクタが選択されます。受信者の電子メール アドレスに最も近いアドレス スペースを持つ送信コネクタが選択されます。たとえば、Recipient@marketing.contoso.com が宛先になっている電子メール メッセージなら、*.Contoso.com アドレス スペースを使用するように構成されているコネクタを通じてルーティングされます。特定のアドレス スペースのための送信コネクタを構成すると、そのアドレス スペース宛てに送信された電子メールは必ずそのコネクタを通じてルーティングされます。また、そのアドレス スペース宛てに送信された電子メールには、常にそのコネクタ用の構成設定が適用されます。

送信コネクタのスコープを使用して Exchange 組織内の送信コネクタの可視性を制御できます。既定では、作成したすべての送信コネクタは、Exchange 組織内のすべてのハブ トランスポート サーバーが使用できます。ただし、同じ Active Directory サイトに存在する他のハブ トランスポート サーバーのみが使用できるように送信コネクタのスコープを制限できます。

Exchange 2010 の場合、アドレス スペースを指定するための完全な構文は以下のとおりです。

<AddressSpaceType>:<AddressSpace>;<AddressSpaceCost>

次の方法を使用して、送信コネクタのスコープを指定できます。

  • EMC で、SMTP 送信コネクタの新規作成ウィザードの [アドレス スペース] ページ、または既存の送信コネクタのプロパティにある [アドレス スペース] タブにある "範囲を限定した送信コネクタ" プロパティを使用します。

    [範囲を限定した送信コネクタ] を選択すると、同じ Active Directory サイト内のハブ トランスポート サーバーのみがこのコネクタを使用できます。[範囲を限定した送信コネクタ] を選択しないと、Exchange 組織内のすべてのハブ トランスポート サーバーがこのコネクタを使用できます。

  • シェルで、New-SendConnector コマンドレットまたは Set-SendConnector コマンドレットを使用して IsScopedConnector パラメーターを指定します。

    このパラメーターの値が $true の場合、同じ Active Directory サイトのハブ トランスポート サーバーのみが該当コネクタを使用できます。このパラメーターの値が $false である場合、Exchange 組織内のすべてのハブ トランスポート サーバーが該当コネクタを使用できます。

ネットワーク設定

送信コネクタは、DNS アドレス解決を使用して電子メールを配信するか、または電子メールをスマート ホストにルーティングするように設定できます。

電子メールのルーティングに DNS を使用

DNS MX リソース レコードを使用してメールを自動的にルーティングするように送信コネクタを設定する場合は、送信元サーバー上の DNS クライアントがパブリック DNS レコードを解決できる必要があります。既定では、送信元サーバーの内部ネットワーク アダプターで構成されている DNS サーバーが名前解決に使用されます。EMC を使用して Exchange サーバーのプロパティの DNS 設定を変更することにより、内部 DNS 参照および外部 DNS 参照に特定の DNS サーバーが使用されるように構成できます。また、Exchange 管理シェルを使用して、Set-TransportServer コマンドレットでパラメーターを構成することもできます。

外部 DNS 検索にトランスポート サーバー上の特定の DNS サーバーが使用されるように構成する場合は、SMTP 送信コネクタの新規作成ウィザードの [ネットワーク設定] ページで [トランスポート サーバーで外部 DNS 参照の設定を使用する] を選択するか、またはシェルで、Set-TransportServer コマンドレットの UseExternalDNSServersEnabled パラメーターを $true に設定する必要があります。また、送信コネクタの DnsRoutingEnabled パラメーターも $true に設定する必要があります。

詳細については、以下のトピックを参照してください。

電子メールのルーティングにスマート ホストを使用

送信コネクタの使用法の種類に「内部」を選択した場合は、スマート ホストを指定する必要があります。スマート ホストを通じてメールをルーティングする場合は、配信先までの次のホップへの配信をスマート ホストが処理します。スマート ホストの識別情報を指定するには、スマート ホストの IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。スマート ホストの識別情報としては、スマート ホスト サーバーの FQDN、MX レコード、または A (アドレス) リソース レコードを使用できます。FQDN をスマート ホストの識別情報として構成する場合は、送信コネクタの送信元サーバーがスマート ホスト サーバーの場所を特定するために DNS 名前解決を使用できる必要があります。

使用法の種類が "インターネット" の送信コネクタのスマート ホストは、インターネット サービス プロバイダーによりホストされているサーバーでもかまいません。使用法の種類が "カスタム" または "内部" の送信コネクタのスマート ホストには、組織内の他の電子メール サーバーまたはリモート ドメイン内の電子メール サーバーを使用できます。

スマート ホストのセキュリティ設定

スマート ホストを通じてメールをルーティングする場合は、送信元サーバーがスマート ホスト コンピューターに対してどのように認証されるかを指定する必要があります。スマート ホストの送信先が指定されないと、送信コネクタのセキュリティ設定を要求することはできません。たとえば、インターネットに面しているコネクタを TLS を要求するように設定することはできません。

次の表に、送信コネクタに構成できるスマート ホストの認証機構の一覧を示します。

スマート ホストの認証機構

セキュリティ設定 説明

なし

匿名アクセスが許可されます。

基本認証

基本認証では、ユーザー名とパスワードの入力が要求されます。基本認証では、資格情報がクリア テキストで送信されます。この送信コネクタが認証される必要のあるすべてのスマート ホストが、同じユーザー名とパスワードを受け付けるようになっている必要があります。

TLS 経由の基本認証

資格情報の送信を暗号化するには、TLS を選択します。受信サーバーがサーバー証明書を持っている必要があります。また、送信コネクタ上でスマート ホストの識別情報として定義されるスマート ホストの正確な FQDN、MX レコード、または A レコードが、サーバー証明書に存在する必要があります。送信コネクタは、STARTTLS コマンドを送信先サーバーに送信して TLS セッションの確立を試行し、TLS セッションが確立された後にのみ基本認証を実行します。相互 TLS 認証をサポートするには、クライアント証明書も必要です。

Exchange Server 認証

Exchange Server 認証 (GSSAPI (Generic Security Services application programming interface) および相互 GSSAPI)

外部的にセキュリティで保護 (たとえば、IPsec を使用)

ネットワーク接続のセキュリティが、Exchange サーバーの外部にある方法を使用して確保されます。

送信元サーバー

送信コネクタには、少なくとも 1 つの送信元サーバーを選択する必要があります。送信元サーバーとは、選択した送信コネクタを通じて配信するためのメッセージのルーティング先となるトランスポート サーバーです。Exchange 組織用に構成された送信コネクタには、複数の送信元サーバーを設定できます。複数の送信元サーバーを指定すると、負荷分散や、サーバーに障害が発生した場合の冗長性を提供できます。Exchange 組織用に構成された送信コネクタに関連付ける送信元サーバーには、ハブ トランスポート サーバーまたは購読済みエッジ トランスポート サーバーを使用できます。

FQDN

EMC 内の送信コネクタ プロパティの [全般] タブには、[HELO または EHLO に応答してこのコネクタが提供する FQDN を指定する] というオプションがあります。シェルでは、このプロパティは、Set-SendConnector コマンドレットで Fqdn パラメーターを使用することにより設定されます。SMTP セッションが確立されると、送信側の電子メール サーバーと受信側の電子メール サーバーとの間で SMTP プロトコル通信が開始されます。送信側の電子メール サーバーまたはクライアントは、EHLO または HELO SMTP コマンドとその FQDN を受信側のサーバーに送信します。それに応答して、受信側のサーバーは成功コードを送信し、自身の FQDN を提供します。Exchange 2010 では、送信コネクタでこのプロパティを構成する場合、送信側のサーバーによって提供される FQDN をカスタマイズすることができます。Fqdn パラメーターの値は、以下の例に示すように送信元サーバー名が必要な場合に常に接続済みメッセージング サーバーで表示されます。

  • ハブ トランスポート サーバーまたはエッジ トランスポート サーバーからのメッセージの送信後、次ホップのメッセージング サーバーによりメッセージに追加される、メッセージの最新の Received: ヘッダー フィールド内

  • TLS 認証中

メールボックス サーバーの役割もインストールされているハブ トランスポート サーバー上で送信コネクタを構成する場合、Fqdn パラメーターに指定する値は使用されません。代わりに、Get-ExchangeServer コマンドレットを使用することで表示されるサーバーの FQDN が常に使用されます。

ハブ トランスポート サーバーの役割およびメールボックス サーバーの役割の両方がインストールされているサーバーでは、送信メッセージの Recieved: ヘッダーからサーバー名を削除する唯一の方法は、Remove-ADPermission コマンドレットを使用して、送信コネクタを使用するセキュリティ プリンシパルから Ms-Exch-Send-Headers-Routing アクセス許可を削除することです。この操作により、ハブ トランスポート サーバーからメッセージが送信されるときに、メッセージからすべての Received: ヘッダーが削除されます。Received: ヘッダーは最大ホップ数の計算に使用されるため、内部メッセージの Received: ヘッダーを削除することはお勧めしません。Remove-ADPermission コマンドレットおよび Get-ExchangeServer コマンドレットの詳細については、以下のトピックを参照してください。

Exchange 2010 Service Pack 1 の新機能

Exchange Server 2010 の Service Pack 1 (SP1) では、送信コネクタに新機能が追加されました。ここでは、これらの新しい機能の概要について説明します。

接続エラーのダウングレード サポート

Microsoft Office 365 やプライベート チャネルを介するパートナーの 1 人にメッセージを送信する専用の送信コネクタなど、常時利用可能であることが期待される、定義済みの通信チャネルを介したメッセージ転送を行う専用の送信コネクタが備えられている場合があります。このような接続では、インターネット上の通常の送信先で起こり得る典型的なエラーは多く発生しないことが期待されます。この場合、配信不能レポート (NDR) の発行しないで、一時的なエラーとして通信エラーを処理することをお勧めします。Exchange 2010 SP1 では、通常 NDR となる認証および名前解決エラーを一時的なエラーにダウングレードするように送信コネクタを構成できます。この場合、Exchange は NDR を発行しないで、再度、配信を試みます。

信頼性の高い接続では、接続エラーをダウングレードすることによって、ユーザーに影響を与えずに問題のトラブルシューティングや問題の解決を実行できます。

重要

この機能は、定義済みの信頼性の高いネットワーク上でメッセージを転送する送信コネクタに対してのみ有効にしてください。インターネットに接続されている送信コネクタに対しては、この機能を有効にしないでください。

この機能を構成するには、Set-SendConnector コマンドレットの ErrorPolicies パラメーターを使用します。送信コネクタの認証エラー、DNS エラー、またはその両方をダウングレードするように設定できます。このプロパティの構成の詳細については、「Set-SendConnector」を参照してください。

TLS ドメイン検証のサポート

Exchange 2010 SP 1 では、送信 TLS 接続のドメイン検証がサポートされています。ドメイン検証は付加的なセキュリティ機能で、悪意のあるユーザーが受信側のサーバーになりすます危険性を低減します。送信コネクタでドメイン検証を有効にすると、トランスポート サーバーは送信接続で次のセキュリティ チェックを実行します。

  • 通信チャネルは TLS を使用して暗号化されます。

  • 受信側のサーバーの証明書は検証され、失効リストのチェックが実行されます。

  • トランスポート サーバーは、受信側のサーバーの証明書に記載されている FQDN が送信コネクタのプロパティで構成されるドメインに一致していることを確認します。

送信コネクタのドメイン検証を有効にする際には、検証するドメイン名も指定する必要があります。これらのプロパティは共に、Set-SendConnector コマンドレットの TlsAuthLevel および TlsDomain パラメーターを使用して構成できます。この機能の構成の詳細については、「Set-SendConnector」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.