承認済みドメイン、共有 SMTP アドレス スペース、および受信者フィルター処理
原文の記事の投稿日: 2011 年 10 月 7 日 (金曜日)
DNS ドメインに送られてきたメールを承認して Exchange 組織の外部にある担当メール ホストに中継すること自体は Exchange 2003
の簡単なプロセスであり、必要な説明は以下の記事に解説されています。
- KB 321721Exchange 2000 Server または Exchange Server 2003 で SMTP アドレス スペースを共有する方法
- KB 315511 [XADM] Exchange 2000 Server で独立した組織に対して SMTP ドメイン共有の集中管理を設定する方法
Exchange 2003 では、受信者ポリシーに基づいて、Exchange サーバーの電子メール承認対象ドメインを定義し、それらのドメインによる受信者の電子メール アドレスを生成していました。
また、受信者ポリシーによってメールボックス マネージャーの設定を適用することもできました。これは Messaging Retention Management (MRM) に相当する Exchange 2003 の機能です。
承認済みドメインと電子メール アドレス ポリシー
Exchange 2007 の受信者ポリシー機能は、承認済みドメインと電子メール アドレス ポリシーの 2 つのコンポーネントに分割されていました。この名前が示すように、承認済みドメインはトランスポート サーバーの電子メール承認対象 SMTP ドメインを定義するために使われ、電子メール アドレス ポリシー (EAP) は受信者の電子メール アドレスの生成に使われます。EAP では承認済みドメインが使われるので、そのドメインで電子メール アドレスを作成できる承認済みドメインを用意する必要があります。たとえば、受信者に対してドメイン contoso.com および tailspintoys.com の電子メール アドレスを提供する場合は、最初にそれらのドメインごとに承認済みドメイン コンポーネントを作成し、次に、自動的に生成される電子メール アドレスのフォーマット (たとえば、firstname.lastname@contoso.com) を定義する電子メール アドレス ポリシー コンポーネントを作成します。
Exchange 2003 ではLDAP フィルターで受信者ポリシーを適用できましたが、Exchange 2010 および 2007 ではEAP を適用する OPATH フィルター処理構文に基づいて受信者のフィルター処理が行われます。EMC の電子メール アドレス ポリシー インターフェイスの複数の 登録済みフィルター、またはシェルのパラメーターを利用すれば、会社名、部門、都道府県、カスタム属性 1-15 などのよく使われる受信者プロパティによってポリシーを簡単に適用できます。登録済みフィルターは、ほとんどの Exchange 展開のニーズを満たしています。より複雑なフィルターが必要な場合は、シェルの RecipientFilter パラメーターを使用してカスタム受信者フィルターを作成します。カスタム受信者フィルターを利用すると、フィルター可能プロパティ と呼ばれる受信者プロパティの長い一覧を受信者フィルター内で使用できます。フィルター可能プロパティの一覧については、「Exchange 2007 SP1 および SP2 の -RecipientFilter パラメーターでフィルター可能なプロパティ」をご覧ください。
承認済みドメインと、SMTP アドレス スペースの共有
ドメイン名と電子メール アドレス ポリシーが分離されたことで SMTP アドレス スペースの共有がずっと簡単になりました。Exchange 2010 および Exchange 2007 では、次の 3 種類の承認済みドメインを作成できます。
優先ドメイン: 優先ドメインとは、それに対して Exchange 組織が正式な権限を持ち、そのすべての受信者のことを知っているドメインです。一般に、優先ドメインの受信者とは Exchange 受信者 (つまり、メールボックス、配布グループ、メール対応パブリック フォルダー) を指します。受信者が他の電子メール システムに属すこともありますが、その場合は、それらの受信者に対応するメール対応連絡先 (MailContact) またはメール対応ユーザー (MailUser) オブジェクトが Exchange 側に存在しなければなりません。1 回限りのメールメール連絡先またはメール ユーザーを手動で作成することもできますが、一般にそれらは次のようなシナリオでディレクトリの同期を使用して作成されます。
- 独自の Active Directory フォレストを持つビジネス ユニットが別に存在する
- 同じ組織内で別のメッセージ システム/ディレクトリが使われている
複製が完了した段階で Exchange はそれらの受信者へのメール配信方法を知ることになります。
Exchange は、このドメインに対して正式の権限を持つので、承認したメッセージを何らかの理由 (Active Directory 内に受信者が見つからないなど) で配信できなかった場合には、配信不能レポート (NDR) を生成しなければなりません。受信者フィルター処理を利用すれば、存在しない受信者へのメールを通知なしで除去できます。
外部中継ドメイン: Exchange サーバーが電子メールを承認するドメインに関してそこに受信者が存在しないために電子メールを別のメール ホストに転送しなければならない場合には、外部中継ドメインというものを作成します。この場合、Exchange は受信者のことを何も知らないので、受信者フィルター処理や存在しない受信者のメール除去といった操作は実行できません。中央のメッセージ インフラを介して送られてきたメールを承認するというのが一般的なシナリオです。Exchange はそのドメインに対して正式の権限を持たないので、メールをそのドメインの次のホップへ転送することだけを受け持ち、配信に失敗した場合にはNDR を生成しなければなりません。
外部中継ドメインの電子メールを転送して、そのドメインに対する正式の権限を持つホスト (またはそれを中継できる次のホップ)に配信するためには、そのドメインの送信コネクタを作成し、次のホップをスマート ホストとして指定しなければなりません。エッジ トランスポート サーバーを配したトポロジでは、このような電子メールはエッジ トランスポートで中継され、ハブ トランスポート サーバーでメッセージを処理する必要はありません。
内部中継ドメイン: 内部中継ドメインには重要な役割があり、そのために Exchange 2003 ではかなり複雑な設定が必要でした。これらのドメインを利用すると、電子メールを承認するドメインに関して、一部の受信者が Exchange 組織内に存在し、一部の受信者が別のメッセージ システムに存在する、というような設定を行えます。Exchange は、他のメッセージ システム内の受信者のことを知るためにメール連絡先またはメール ユーザーを使用します。また、(組織内の Exchange サーバー上で) ローカルに配信可能なメッセージをすべて配信し、未知の受信者へのメッセージは、同じドメインの送信コネクタを使用して別のメール ホストへ中継します。Exchange はこのドメインに対する正式の権限を持たないので、担当外の受信者については NDR を生成しません。
内部中継ドメインと送信コネクタ
内部中継ドメインを使用するとき注意すべき点は、未知の受信者へのメールを別のメール ホストへ送信する送信コネクタをソースとしてエッジ トランスポート サーバーに接続できないことです。エッジ トランスポート サーバーは、そのドメインのすべてのメールを承認してハブ トランスポート サーバーへ転送するように設定されているからです。そのため、送信コネクタからハブ トランスポート サーバーに接続し、別のメール ホストをスマート ホストとして指定しなければなりません。
図 1: 承認済みドメインを EMC で作成する
詳細は、「承認済みドメインについて」をご覧ください。
承認済みドメインと受信者フィルター処理
承認済みドメインを作成するときは受信者フィルター処理について検討する必要があります。Exchange に組み込まれている迷惑メール対策フィルターを使えば、受信者フィルター処理によって組織に存在しない受信者を除外できます。これで大部分の迷惑メールを (エッジ トランスポート サーバーが EdgeSync で実装してあれば、ゲートウェイで) 除去できます。さらに、これはサーバーにおいて存在しない受信者のメールが処理されず、送信者へのNDR が生成されないことを意味します。これで迷惑メッセージ送信者によって存在しないアドレスや有効なアドレスがスプーフィングされるのを防ぐことにもなります。
エッジ トランスポート サーバーを配したトポロジで EdgeSync が構成してある場合は、受信者の情報がハブ トランスポート サーバーとエッジ トランスポート サーバーの間で同期されるため、この情報に基づいて組織に存在しない受信者への電子メールを除去できます。エッジ トランスポート サーバーを展開していない場合は、ハブ トランスポート サーバーに迷惑メール対策エージェントをインストールして、受信者フィルター処理を有効にすればよいでしょう。
境界領域ネットワークに通常展開されるサード パーティ製の多くの SMTP セキュリティ ソリューションでは Active Directory 内の受信者も探索できます。ただし、その場合は LDAP から Active Directory の DC/GC への接続が生じ、これを内部ネットワークに置くか、受信者の情報を複製する別の手段が必要になります。比較上の話ですが、EdgeSync による通信は、ハブ トランスポート サーバーからエッジ トランスポート サーバーへの出力方向 (セキュリティで保護された LDAP) で行われ、入力方向のトラフィックに対して内部ファイアウォールにポートを開かなくて済みます。
受信者フィルター処理では、さまざまな承認済みドメインの受信者がそれぞれの状況に応じて処理されます。優先ドメインの場合、Exchange はすべての受信者のことを知っているので、受信者フィルター処理は Active Directory に存在しない受信者へのメールを除去します。外部中継ドメインの場合、Exchange は受信者のことを知らないので、フィルター処理は不可能です。内部中継ドメインはその中間にあり、Exchange は受信者のことを知っていることもあれば、知らないこともあります。
承認済みドメインで受信者フィルター処理を有効にするには、AddressBookEnabled プロパティを設定します。次の表に、承認済みドメインの種類ごとの既定値を示します。
| 承認済みドメインの種類 | AddressBookEnabled |
|---|---|
| 優先ドメイン | true |
| 外部中継ドメイン | false |
| 内部中継ドメイン | false |
内部中継ドメインは、既定で false に設定されています。これは Exchange (すなわち、Active Directory に存在しない受信者へのメールを除去するように構成された受信者フィルター処理エージェント) が受信者の存在をチェックしないことを意味します。受信者を別の Exchange 組織または Exchange 以外のメッセージ システムから Active Directory に複製する機構を使用している場合は、このプロパティを true に設定して受信フィルターで有効な受信者をチェックできます。
Set-AcceptedDomain foo.com –AddressBookEnabled $true
これはローカライズされたブログ投稿です。原文の記事は、「Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering」をご覧ください。