Exchange Serverのエッジ トランスポート サーバーでの接続フィルター処理
接続フィルター処理は、メッセージ ソースに基づいて電子メールを許可またはブロックするExchange Serverのスパム対策機能です。 接続フィルターは、エッジ トランスポート サーバー上でのみ使用可能な接続フィルター エージェントによって実行され、基本的に Exchange Server 2010 から変更されていません。 接続フィルター エージェントは接続元メール サーバーの IP アドレスを使用して、受信メッセージに対して行う処理がある場合にどの処理を行うかを決定します。
既定では、接続フィルター エージェントは、エッジ トランスポート サーバーで受信メッセージを評価する最初のスパム対策エージェントです。 SMTP 接続の送信元 IP アドレスを、許可する IP アドレスやブロックする IP アドレスと照合します。 送信元 IP アドレスが明示的に許可されている場合は、他のスパム対策エージェントによる追加の処理を行わずに組織内の受信者に送信されます。 送信元 IP アドレスが明示的にブロックされている場合は、SMTP 接続が切断されます。 送信元 IP アドレスが明示的に許可もブロックもされていない場合、メッセージはエッジ トランスポート サーバー上の他のスパム対策エージェントの処理に移されます。
接続フィルターは、ソース メール サーバーの IP アドレスを、IP 許可リスト、IP ブロックリスト、IP 許可リスト プロバイダー、および IP ブロックリスト プロバイダーの値と比較します。 接続フィルターが機能するには、この 4 つの IP アドレス データ ストアの少なくとも 1 つを構成する必要があります。 IP アドレス データを指定しない場合は、接続フィルター エージェントを無効にしてください。 詳細については、「 エッジ トランスポート サーバーでの接続フィルター処理手順」を参照してください。
IP ブロックリスト
IP ブロックリストには、ブロックする電子メール サーバーの IP アドレスが含まれています。 IP ブロックリストで IP アドレスを手動で管理します。 個々の IP アドレスまたは IP アドレスの範囲を追加できます。 有効期限を指定して、IP アドレス エントリをブロックする期間を設定できます。 有効期限に達すると、IP ブロックリストの IP アドレス エントリが無効になります。
接続フィルター エージェントが IP ブロックリストでソース IP アドレスを検出した場合、メッセージ内のすべての RCPT TO ヘッダー (エンベロープ受信者) が処理された後に SMTP 接続が削除されます。
IP アドレスは、プロトコル分析エージェントの Sender Reputation 機能によって IP ブロックリストに自動的に追加することもできます。 詳細については、「送信者評価とプロトコル分析エージェント」をご覧ください。
IP 許可リスト
IP 許可リストには、信頼できるメール ソースとして指定する電子メール サーバーの IP アドレスが含まれています。 IP 許可リストで指定したメール サーバーからのEmailは、他の Exchange スパム対策エージェントによる処理から除外されます。
IP 許可リストで IP アドレスを手動で管理します。 個々の IP アドレスまたは IP アドレスの範囲を追加できます。 有効期限を指定して、IP アドレス エントリが許可される期間を設定できます。 有効期限に達すると、IP 許可リストのエントリは無効になります。
IP ブロックリスト プロバイダー
IP ブロックリスト プロバイダーは、多くの場合、 リアルタイム ブロックリスト (RBL) と呼ばれます。 IP ブロックリスト プロバイダーは、スパムを送信するメール サーバーの IP アドレスの一覧をコンパイルします。 多くの IP ブロックリスト プロバイダーは、スパムに使用できるメール サーバーの IP アドレスの一覧もコンパイルします。 たとえば、第三者中継用に構成されたメール サーバー、動的 IP アドレスを割り当てるインターネット サービス プロバイダー (ISP)、ダイヤルアップ アカウントからの SMTP メール サーバー トラフィックを許可している ISP などです。
IP ブロックリスト プロバイダーを使用するように接続フィルター処理を構成すると、接続フィルター エージェントは、接続メール サーバーの IP アドレスを IP ブロックリスト プロバイダーの IP アドレスの一覧と比較します。 IP アドレスが一致した場合、そのメッセージは組織内に許可されません。 複数の IP ブロックリスト プロバイダーを使用するように接続フィルター処理を構成し、各プロバイダーに異なる優先順位の値を割り当てることができます。
接続フィルター エージェントは、IP 許可リストと IP ブロックリストのソース IP アドレスを確認します。 どちらのリストにも IP アドレスが存在しない場合、接続フィルター エージェントは、割り当てた優先順位の値に従って IP ブロックリスト プロバイダーにクエリを実行します。 IP アドレスが IP ブロックリスト プロバイダーで定義されている場合、エッジ トランスポート サーバーは RCPT TO ヘッダーを待機して処理し、送信メール サーバーにエラーで SMTP 550 応答し、接続を閉じます。 接続は直ちに削除されないため、接続試行をログに記録できます。また、IP ブロックリスト プロバイダーによってメッセージがブロックされるのを除外する受信者を指定できるためです。
IP アドレスが IP ブロックリスト プロバイダーのいずれにも定義されていない場合、コンテンツ フィルター エージェントは、エッジ トランスポート サーバー上の次のトランスポート エージェントにメッセージを送信します。
IP ブロックリスト プロバイダーごとに、メッセージがブロックされたときに送信者に返されるエラーをカスタマイズ SMTP 550 できます。 メッセージ ソースをスパムとして識別した IP ブロックリスト プロバイダーを識別する必要があります。 正当な送信元メール サーバーがスパム ソースとして誤って識別された場合、管理者は IP ブロックリスト プロバイダーに連絡し、IP ブロックリスト プロバイダーからメール サーバーを削除するために必要な手順を実行できます。
IP ブロックリスト プロバイダーは、さまざまなコードを返して、IP アドレスがリストで定義されている理由を識別できます。 ほとんどの IP ブロックリスト プロバイダーは、ビットマスクまたは絶対値データ型を返します。 これらのデータ型内で、IP ブロックリスト プロバイダーは複数の値を使用して、脅威の種類別に IP アドレスを分類できます。
IP ブロックリスト プロバイダーを使用する場合に考慮すべき問題があります。
IP ブロックリスト プロバイダー サービスの停止または遅延により、エッジ トランスポート サーバー上のメッセージの処理に遅延が発生する可能性があります。 常に信頼できる IP ブロックリスト プロバイダーを選択する必要があります。
正当な送信元サーバーが間違ってスパムの送信元として特定される場合があります。 たとえば、メール サーバーが間違って第三者中継として動作するように構成されることがあります。 サービスの評価と削除の明確な手順を提供する IP ブロックリスト プロバイダーを常に選択する必要があります。
ビットマスクと絶対値の例
このセクションでは、ほとんどのブロックリスト プロバイダーから返される状態コードの例を示します。 プロバイダーが返す状態コードの詳細については、特定のプロバイダーから提供されるドキュメントを参照してください。
ビットマスク データ型の場合、IP ブロックリスト プロバイダー サービスは状態コード 127.0.0 を返します。 x。ここで、整数 x は次の表に示す値のいずれかです。
ビットマスクの種類のデータの値と状態コード
| 値 | 状態コード |
|---|---|
| 1 | IP アドレスは IP ブロックリストにあります。 |
| 2 | SMTP サーバーは第三者中継として機能するように構成されています。 |
| 4 | IP アドレスはダイヤル アップ IP アドレスをサポートします。 |
絶対値の種類の場合、IP ブロックリスト プロバイダーは、IP アドレスがブロックリストで定義される理由を定義する明示的な応答を返します。 以下の表に、絶対値と明示的な応答の例を示します。
絶対値の種類のデータの値と状態コード
| 値 | 明示的な応答 |
|---|---|
| 127.0.0.2 | IP アドレスは直接のスパムの送信元です。 |
| 127.0.0.4 | IP アドレスは大容量メーラーです。 |
| 127.0.0.5 | メッセージを送信しているリモート サーバーは多段階第三者中継をサポートすることがわかっています。 |
IP 許可リスト プロバイダー
IP 許可リスト プロバイダーは、 セーフ リストとも呼ばれます。 IP 許可リスト プロバイダーは IP ブロックリスト プロバイダーと同じように構成されますが、結果は逆です。スパム アクティビティに確実に関連付けられていないメール サーバーの IP アドレスを定義します。 接続するメール サーバーの IP アドレスが IP 許可プロバイダーで定義されている場合、メッセージは他の Exchange スパム対策エージェントによる処理から除外されます。 このため、IP ブロックリスト プロバイダーは IP allowlis プロバイダーよりもはるかに頻繁に使用されます。 IP allowlis プロバイダーを慎重に選択してください。
IP ブロックリスト プロバイダーと IP allowlis プロバイダーをテストする
IP ブロックリスト プロバイダーまたは IP 許可リスト プロバイダーを使用するように接続フィルター処理を構成した後、テストを実行して、プロバイダーが正しく動作していることを確認できます。 多くのプロバイダーでは、サービスのテスト用の IP アドレスを提供しています。 プロバイダーのテストを行うと、接続フィルター エージェントが DNS クエリを発行し、プロバイダーから特定の応答が返されます。 IP ブロックリスト プロバイダー サービスまたは IP allowlis プロバイダー サービスに対して IP アドレスをテストする方法の詳細については、「 エッジ トランスポート サーバーでの接続フィルター処理手順」を参照してください。
インターネットに直接接続していないエッジ トランスポート サーバーの接続フィルターを構成する
電子メールをインターネットから直接に受信しないエッジ トランスポート サーバーで接続フィルターを使用できます。 この場合、エッジ トランスポート サーバーは、インターネットから直接メッセージを受信して処理する別のメール サーバーの背後に置かれています。 たとえば、メッセージがエッジ トランスポート サーバーに到達する前に、組織がスパム対策サーバー、サービス、アプライアンスを介して電子メール トラフィックを送信する場合があります。 この場合、接続フィルター エージェントは、メッセージから正しい送信元 IP アドレスを抽出する必要があります。 送信元 IP アドレスを抽出するには、接続フィルター エージェントがメッセージ ヘッダーの Received ヘッダー フィールド値を解析し、その値をエッジ トランスポート サーバーとインターネットの間に置かれているメール サーバーの既知の IP アドレスと照合する必要があります。
メール サーバーは、受信した SMTP メッセージを配信パス上の次の中継点に転送するとき、メッセージ ヘッダーに独自の Received ヘッダー フィールドを追加します。 通常、 Received ヘッダーには、メッセージを処理したメール サーバーのドメイン名と IP アドレスが含まれます。
エッジ トランスポート サーバーがインターネットからのメッセージを直接受け入れない場合は、Exchange メールボックス サーバーの Set-TransportConfig コマンドレットの InternalSMTPServers パラメーターを使用して、エッジ トランスポート サーバーとインターネットの間にあるメール サーバーの IP アドレスを識別する必要があります。 IP アドレス データは EdgeSync によりエッジ トランスポート サーバーにレプリケートされます。 エッジ トランスポート サーバーによってメッセージが受信されると、接続フィルター エージェントは、InternalSMTPServers パラメーターで指定された値と一致しない受信ヘッダー フィールドの IP アドレスが、チェックする必要があるソース IP アドレスであると想定します。 したがって、接続フィルターが正しく機能するには、すべての内部 SMTP サーバーを指定する必要があります。