エッジ トランスポート サーバー上での接続フィルター処理Connection filtering on Edge Transport servers

接続フィルターは、メッセージソースに基づいて電子メールを許可またはブロックする Exchange Server のスパム対策機能です。Connection filtering is an antispam feature in Exchange Server that allows or blocks email based on the message source. 接続フィルターは、エッジ トランスポート サーバー上でのみ使用可能な接続フィルター エージェントによって実行され、基本的に Exchange Server 2010 から変更されていません。Connection filtering is performed by the Connection Filtering agent that's available only on Edge Transport servers, and is basically unchanged from Exchange Server 2010. 接続フィルター エージェントは接続元メール サーバーの IP アドレスを使用して、受信メッセージに対して行う処理がある場合にどの処理を行うかを決定します。The Connection Filtering agent relies on the IP address of the connecting mail server to determine what action, if any, to take on an inbound message.

既定では、接続フィルター エージェントは、エッジ トランスポート サーバーで受信メッセージを評価する最初のスパム対策エージェントです。SMTP 接続の送信元 IP アドレスを、許可する IP アドレスやブロックする IP アドレスと照合します。送信元 IP アドレスが明示的に許可されている場合は、他のスパム対策エージェントによる追加の処理を行わずに組織内の受信者に送信されます。送信元 IP アドレスが明示的にブロックされている場合は、SMTP 接続が切断されます。送信元 IP アドレスが明示的に許可もブロックもされていない場合、メッセージはエッジ トランスポート サーバー上の他のスパム対策エージェントの処理に移されます。By default, the Connection Filtering agent is the first antispam agent to evaluate an inbound message on an Edge Transport server. The source IP address of the SMTP connection is checked against the allowed and blocked IP addresses. If the source IP address is specifically allowed, the message is sent to the recipients in your organization without additional processing by other antispam agents. If the source IP address is specifically blocked, the SMTP connection is dropped. If the source IP address isn't specifically allowed or blocked, the message flows through the other antispam agents on the Edge Transport server.

接続フィルターは、送信元メール サーバーの IP アドレスを、IP 許可一覧、IP 禁止一覧、IP 許可一覧プロバイダー、IP 禁止一覧プロバイダーの値と照合します。Connection filtering compares the IP address of the source mail server to the values in the IP Allow list, the IP Block list, IP Allow list providers, and IP Block list providers. 接続フィルターが機能するには、この 4 つの IP アドレス データ ストアの少なくとも 1 つを構成する必要があります。You need to configure at least one of these four IP address data stores for connection filtering to function. IP アドレス データを指定しない場合は、接続フィルター エージェントを無効にしてください。If you don't specify any IP address data, you should disable the Connection Filtering agent. 詳細については、「エッジトランスポートサーバーでの接続フィルター処理手順」を参照してください。For more information, see Connection filtering procedures on Edge Transport servers.

IP 禁止一覧IP Block list

IP 禁止一覧には、ブロックする電子メール サーバーの IP アドレスが含まれます。IP 禁止一覧の IP アドレスは、手動で管理します。個々の IP アドレスまたは IP アドレスの範囲を追加できます。有効期限を指定して、IP アドレス エントリをブロックする期間を設定できます。有効期限になると、IP 禁止一覧内のその IP アドレス エントリは無効になります。The IP Block list contains the IP addresses of email servers that you want to block. You manually maintain the IP addresses in the IP Block list. You can add individual IP addresses or IP address ranges. You can specify an expiration time that specifies how long the IP address entry will be blocked. When the expiration time is reached, the IP address entry in the IP Block list is disabled.

送信元 IP アドレスが IP 禁止一覧に含まれている場合、メッセージ内のすべての RCPT TO ヘッダー (エンベロープ受信者) が処理された後、その SMTP 接続は切断されます。If the Connection Filtering agent finds the source IP address on the IP Block list, the SMTP connection will be dropped after all the RCPT TO headers (envelope recipients) in the message are processed.

プロトコル分析エージェントの送信者評価機能により、IP 禁止一覧に IP アドレスを自動的に追加することもできます。詳細については、「送信者評価とプロトコル分析エージェント」をご覧ください。IP addresses can also be automatically added to the IP Block list by the Sender Reputation feature of the Protocol Analysis agent. For more information, see Sender reputation and the Protocol Analysis agent.

IP 許可一覧IP Allow list

IP 許可一覧には、信頼できる電子メールの送信元として指定された電子メール サーバーの IP アドレスが含まれます。The IP Allow list contains the IP addresses of email servers that you want to designate as trustworthy sources of email. IP 許可一覧で指定したメールサーバーからの電子メールは、他の Exchange スパム対策エージェントの処理から除外されます。Email from mail servers that you specify in the IP Allow list is exempt from processing by other Exchange antispam agents.

IP 許可一覧の IP アドレスは、手動で管理します。個々の IP アドレスまたは IP アドレスの範囲を追加できます。有効期限を指定して、IP アドレス エントリが許可される期間を設定できます。有効期限になると、IP 許可一覧内のそのエントリは無効になります。You manually maintain the IP addresses in the IP Allow list. You can add individual IP addresses or IP address ranges. You can specify an expiration time that specifies how long the IP address entry will be allowed. When the expiration time is reached, the entry in the IP Allow list is disabled.

IP 禁止一覧プロバイダーIP Block List providers

IP 禁止一覧プロバイダーは、リアルタイム ブロックリストまたは RBL とも呼ばれています。IP 禁止一覧プロバイダーは、スパムを送信するメール サーバーの IP アドレスの一覧を蓄積します。多くの IP 禁止一覧プロバイダーは、スパムに使用される可能性があるメール サーバーの IP アドレスの一覧も蓄積します。たとえば、第三者中継用に構成されたメール サーバー、動的 IP アドレスを割り当てるインターネット サービス プロバイダー (ISP)、ダイヤルアップ アカウントからの SMTP メール サーバー トラフィックを許可している ISP などです。IP Block List providers are frequently referred to as real-time block lists, or RBLs. IP Block List providers compile lists of mail server IP addresses that send spam. Many IP Block List providers also compile lists of mail server IP addresses that could be used for spam. Examples include mail servers that are configured for open relay, Internet service providers (ISPs) that assign dynamic IP addresses, and ISPs that allow SMTP mail server traffic from dial-up accounts.

接続フィルターが IP 禁止一覧プロバイダーを使用するように構成されている場合、接続フィルター エージェントは接続元メール サーバーの IP アドレスを IP 禁止一覧プロバイダーの IP アドレス一覧と照合します。IP アドレスが一致した場合、そのメッセージは組織内に許可されません。複数の IP 禁止一覧プロバイダーを使用するように接続フィルターを構成し、プロバイダーごとに異なる優先順位の値を割り当てることができます。When you configure connection filtering to use an IP Block List provider, the Connection Filtering agent compares the IP address of the connecting mail server to the list of IP addresses at the IP Block List provider. If there's a match, the message isn't allowed in your organization. You can configure connection filtering to use multiple IP Block List providers, and you assign different priority values to each provider.

接続フィルター エージェントは、IP 許可一覧と IP 禁止一覧で送信元 IP アドレスをチェックします。The Connection Filtering agent checks the source IP address at the IP Allow list and the IP Block list. IP アドレスがどちらの一覧にも存在しない場合、接続フィルター エージェントは、各プロバイダーに割り当てられた優先順位に従って、IP 禁止一覧プロバイダーに照会します。If the IP address doesn't exist on either list, the Connection Filtering agent queries the IP Block List provider according to the priority value that you assigned. Ip アドレスが IP 禁止一覧プロバイダーで定義されている場合、エッジトランスポートサーバーはRCPT toヘッダーを待って処理し、送信メールサーバーにSMTP 550エラーを返し、接続を閉じます。If the IP address is defined at an IP Block List provider, the Edge Transport server waits for and processes the RCPT TO header, responds to the sending mail server with an SMTP 550 error, and closes the connection. 接続の試みをログできるように、また、どの IP 禁止一覧プロバイダーにもメッセージをブロックされない受信者を指定できるため、接続は即時には切断されません。The connection isn't immediately dropped so that the connection attempt can be logged, and because you can specify recipients that are exempt from having messages blocked by any IP Block list providers.

IP アドレスがどの IP 禁止一覧プロバイダーにも定義されていない場合、コンテンツ フィルター エージェントはエッジ トランスポート サーバー上の次のトランスポート エージェントにメッセージを渡します。If the IP address isn't defined at any of the IP Block List providers, the Content Filtering agent hands the message off to the next transport agent on the Edge Transport server.

IP 禁止一覧プロバイダーごとに、メッセージがブロックさSMTP 550れたときに送信者に返されるエラーをカスタマイズできます。For each IP Block List provider, you can customize the SMTP 550 error that's returned to the sender when a message is blocked. メッセージの送信元をスパムと判断した IP 禁止一覧プロバイダーを特定する必要があります。You should identify the IP Block List provider that identified the message source as spam. 正当な送信元メール サーバーが間違ってスパムの送信側と見なされた場合、管理者は IP 禁止一覧プロバイダーに連絡して必要な措置を講じて、IP 禁止一覧プロバイダーからそのメール サーバーを削除できます。If a legitimate source mail server is erroneously identified as a spam source, the administrator can then contact the IP Block List provider and take the steps necessary to remove the mail server from the IP Block List provider.

IP 禁止一覧プロバイダーは、IP アドレスが禁止一覧に定義された理由を示す様々のコードを返すことができます。ほとんどの IP 禁止一覧プロバイダーから返されるデータの種類は、ビットマスクまたは絶対値です。IP 禁止一覧プロバイダーは、これらのデータの種類内でさまざまな値を使用して IP アドレスを脅威の種類ごとに分類できます。IP Block List providers can return different codes to identify why an IP address is defined in their lists. Most IP Block List providers return bitmask or absolute value data types. Within these data types, the IP Block List provider can use multiple values to classify the IP address by threat type.

IP 禁止一覧プロバイダーを使用する場合は、以下の問題について考慮してください。There are issues to consider when using IP Block list providers:

  • IP 禁止一覧プロバイダー サービスの停止や遅延によって、エッジ トランスポート サーバーのメッセージ処理が遅れる場合があります。信頼できる IP 禁止一覧プロバイダーを選択する必要があります。Outages or delays at the IP Block list provider service can cause delays in the processing of messages on the Edge Transport server. You should always select reliable IP Block list providers.

  • 正当な送信元サーバーが間違ってスパムの送信元として特定される場合があります。たとえば、メール サーバーが間違って第三者中継として動作するように構成されることがあります。評価の手順やサービスから削除するための措置を明確に示している IP 禁止一覧プロバイダーを選択する必要があります。Source servers that you know to be legitimate can be erroneously identified as spam sources. For example, the mail server can be unintentionally configured to act as an open relay. You should always select IP Block list providers that provide clear procedures for evaluation and removal from their services.

ビットマスクと絶対値の例Bitmask and absolute value examples

ここでは、ほとんどの禁止一覧プロバイダーが返す状態コードの例を示します。プロバイダーが返す状態コードの詳細については、特定のプロバイダーから提供されるドキュメントを参照してください。This section shows an example of the status codes returned by most Block List providers. For details about the status codes that the provider returns, see the documentation from the specific provider.

ビットマスクデータ型の場合、IP 禁止一覧プロバイダーサービスは127.0.0 の状態コードを返します。For bitmask data types, the IP Block List provider service returns a status code of 127.0.0. _x_を指定します。整数_x_は、次の表に示す値のいずれかです。x, where the integer x is any one of the values listed in the following table.

ビットマスクの種類のデータの値と状態コードValues and status codes for bitmask data types

Value 状態コードStatus code
1-d1 IP アドレスは IP 禁止一覧に記載されています。The IP address is on an IP Block list.
pbm-22 SMTP サーバーは第三者中継として機能するように構成されています。The SMTP server is configured to act as an open relay.
2/44 IP アドレスはダイヤル アップ IP アドレスをサポートします。The IP address supports a dial-up IP address.

絶対値の種類の場合、IP 禁止一覧プロバイダーは、IP アドレスが禁止一覧に定義された理由を示す明示的な応答を返します。以下の表に、絶対値と明示的な応答の例を示します。For absolute value types, the IP Block List provider returns explicit responses that define why the IP address is defined in their block lists. The following table shows examples of absolute values and the explicit responses.

絶対値の種類のデータの値と状態コードValues and status codes for absolute value data types

Value 明示的な応答Explicit response
127.0.0.2127.0.0.2 IP アドレスは直接のスパムの送信元です。The IP address is a direct spam source.
127.0.0.4127.0.0.4 IP アドレスは大容量メーラーです。The IP address is a bulk mailer.
127.0.0.5127.0.0.5 メッセージを送信しているリモート サーバーは多段階第三者中継をサポートすることがわかっています。The remote server sending the message is known to support multistage open relays.

IP 許可一覧プロバイダーIP Allow List providers

IP 許可一覧プロバイダーは、セーフリストまたはホワイトリストとも呼ばれます。IP Allow List providers are also known as safe lists or white lists. Ip 許可一覧プロバイダーは IP 禁止一覧プロバイダーと同様に構成されていますが、結果は次のようになります。これらは、スパムアクティビティに関連付けられていないメールサーバーの IP アドレスを定義します。IP Allow List providers are configured just like IP Block List providers, but the results are the opposite: they define mail server IP addresses that are definitely not associated with spam activity. 接続しているメールサーバーの IP アドレスが IP 許可一覧プロバイダーで定義されている場合、そのメッセージは他の Exchange スパム対策エージェントによる処理から除外されます。If the IP address of the connecting mail server is defined at an IP Allow List provider, the message is exempt from processing by other Exchange antispam agents. このため、ip 禁止一覧プロバイダーは、IP 許可一覧プロバイダーよりもはるかに頻繁に使用されます。For this reason, IP Block List providers are used much more frequently than IP Allow List providers. IP 許可一覧プロバイダーを慎重に選択します。Choose your IP Allow List providers carefully.

IP 禁止一覧プロバイダーと IP 許可一覧プロバイダーのテストTest IP Block List providers and IP Allow List providers

IP 禁止一覧プロバイダーまたは IP 許可一覧プロバイダーを使用するように接続フィルターを構成したら、テストを実行してプロバイダーが適切に動作するかどうかを確認します。After you configure connection filtering to use an IP Block List provider or an IP Allow List provider, you can run tests to verify that the providers are working correctly. 多くのプロバイダーでは、サービスのテスト用の IP アドレスを提供しています。Most providers provide test IP addresses that you can use to test their services. プロバイダーのテストを行うと、接続フィルター エージェントが DNS クエリを発行し、プロバイダーから特定の応答が返されます。When you test a provider, the Connection Filtering agent issues a DNS query that should result in a specific response from the provider. Ip 禁止一覧プロバイダーサービスまたは IP 許可一覧プロバイダーサービスに対して IP アドレスをテストする方法の詳細については、「エッジトランスポートサーバーでの接続フィルター処理手順」を参照してください。For more information about how to test IP addresses against an IP Block List provider service or an IP Allow List provider service, see Connection filtering procedures on Edge Transport servers.

インターネットに直接接続していないエッジ トランスポート サーバーの接続フィルターを構成するConfigure connection filtering on Edge Transport servers that aren't directly connected to the Internet

電子メールをインターネットから直接に受信しないエッジ トランスポート サーバーで接続フィルターを使用できます。You can use connection filtering on Edge Transport servers that don't directly receive email from the Internet. この場合、エッジ トランスポート サーバーは、インターネットから直接メッセージを受信して処理する別のメール サーバーの背後に置かれています。In this scenario, the Edge Transport server is behind another mail server that receives and processes messages directly from the Internet. たとえば、組織では、メッセージがエッジトランスポートサーバーに届く前に、スパム対策サーバー、サービス、またはアプライアンスを経由して電子メールトラフィックを送信する場合があります。For example, your organization might send email traffic through an antispam server, service, or appliance before the messages reach the Edge Transport server. この場合、接続フィルター エージェントは、メッセージから正しい送信元 IP アドレスを抽出する必要があります。In this scenario, the Connection Filtering agent needs to extract the correct source IP address from the message. 送信元 IP アドレスを抽出するには、接続フィルター エージェントがメッセージ ヘッダーの Received ヘッダー フィールド値を解析し、その値をエッジ トランスポート サーバーとインターネットの間に置かれているメール サーバーの既知の IP アドレスと照合する必要があります。To do this, the Connection Filtering agent needs to parse the Received header field values in the message header and compare those values to the known IP addresses of the mail server that sits between the Edge Transport server and the Internet.

メール サーバーは、受信した SMTP メッセージを配信パス上の次の中継点に転送するとき、メッセージ ヘッダーに独自の Received ヘッダー フィールドを追加します。通常、 Received ヘッダーには、メッセージを処理したメール サーバーのドメイン名と IP アドレスが含まれます。Every mail server that accepts and relays an SMTP message along the delivery path adds its own Received header field in the message header. The Received header typically contains the domain name and IP address of the mail server that processed the message.

エッジトランスポートサーバーがインターネットから直接メッセージを受け付けない場合は、Exchange メールボックスサーバー上のTransportConfigコマンドレットで_internalsmtpservers_パラメーターを使用して、エッジトランスポートサーバーとインターネットの間にあるメールサーバーの IP アドレスを識別する必要があります。If the Edge Transport server doesn't accept messages directly from the Internet, you need to use the InternalSMTPServers parameter on the Set-TransportConfig cmdlet on an Exchange Mailbox server to identify the IP address of the mail server that sit between the Edge Transport server and the Internet. IP アドレス データは EdgeSync によりエッジ トランスポート サーバーにレプリケートされます。The IP address data is replicated to Edge Transport servers by EdgeSync. エッジトランスポートサーバーによってメッセージが受信されると、接続フィルターエージェントは、 _Internalsmtpservers_パラメーターで指定された値と一致しない受信ヘッダーフィールド内の ip アドレスを、チェックする必要がある送信元 ip アドレスと見なします。When messages are received by the Edge Transport server, the Connection Filtering agent assumes an IP address in a Received header field that doesn't match a value specified by the InternalSMTPServers parameter is the source IP address that needs to be checked. したがって、接続フィルターが正しく機能するには、すべての内部 SMTP サーバーを指定する必要があります。Therefore, you need specify all internal SMTP servers in order for connection filtering to function correctly.