Exchange Serverの受信コネクタ

Exchange サーバーでは、受信コネクタを使用して、受信 SMTP 接続を制御します。

  • Exchange 組織外のメッセージング サーバー。

  • ローカル Exchange サーバーまたはリモート Exchange サーバー上のトランスポート パイプラインのサービス。

  • メッセージ送信に認証済み SMTP を使用する必要がある電子メール クライアント。

受信コネクタは、メールボックス サーバー上のトランスポート サービス、メールボックス サーバー上のフロントエンド トランスポート サービス、およびエッジ トランスポート サーバーに作成できます。 既定では、受信メール フローに必要な受信コネクタは、Exchange メールボックス サーバーをインストールするとき、およびエッジ トランスポート サーバーを Exchange 組織にサブスクライブするときに自動的に作成されます。

受信コネクタは、作成場所であるメールボックス サーバーまたはエッジ トランスポート サーバーに関連付けられ、そのサーバーが SMTP 接続をリッスンする方法を決定します。 メールボックス サーバーでは、受信コネクタはサーバーの子オブジェクトとして Active Directory に格納されます。 エッジ トランスポート サーバーでは、受信コネクタは Active Directory ライトウェイト ディレクトリ サービス (AD LDS) に格納されます。

受信コネクタ上の重要な設定を次に示します。

  • ローカル アダプター バインド: 接続を受け入れるために受信コネクタが使用するローカル IP アドレスと TCP ポートの組み合わせを構成します。

  • リモート ネットワーク設定: 受信コネクタが接続をリッスンするソース IP アドレスを構成します。

  • 使用法の種類: 受信コネクタの既定のアクセス許可グループとスマート ホスト認証メカニズムを構成します。

  • アクセス許可グループ: 受信コネクタの使用を許可するユーザーと、受信するアクセス許可を構成します。

受信コネクタは、その構成設定と一致する受信接続をリッスンします。 Exchange サーバー上のそれぞれの受信コネクタは、SMTP クライアントまたはサーバーからの接続を受け入れるかどうか、およびその方法を定義するローカル IP アドレス バインド、TCP ポート、リモート IP アドレス範囲の一意の組み合わせを使用します。

ほとんどの場合には既定の受信コネクタで十分ですが、特定のシナリオに関してはカスタムの受信コネクタを作成できます。 次に例を示します。

  • 電子メール ソースに特別なプロパティを適用する場合。たとえば、最大メッセージ サイズを大きくしたり、メッセージあたりの受信者数を増やしたり、同時受信接続数を増やしたりする場合。

  • 特定の TLS 証明書を使用して暗号化されたメールを受け入れる場合。

メールボックス サーバーでは、Exchange 管理センター (EAC) または Exchange 管理シェル を使用して受信コネクタを作成および管理できます。 エッジ トランスポート サーバーで使用できるのは、Exchange 管理シェル のみです。

Exchange Serverでコネクタの変更を受信する

Exchange 2010 と比較して、Exchange 2016 および Exchange 2019 の受信コネクタに対する注目すべき変更点を次に示します。

  • TlsCertificateName パラメーターを使用すると、証明書の発行者と証明書のサブジェクトを指定できます。 これにより、不正な証明書のリスクを最小限に抑えることができます。

  • TransportRole パラメーターを使用すると、メールボックス サーバー上のフロントエンド (クライアント アクセス) コネクタとバックエンド コネクタを区別できます。

セットアップ時に作成される既定の受信コネクタ

Exchange をインストールすると、既定で複数の異なる受信コネクタが作成されます。 既定では、これらのコネクタは有効になっており、プロトコル ログはほとんどの場合無効になっています。 受信コネクタでのプロトコル ログ記録の詳細については、「 プロトコル ログ記録」を参照してください。

メールボックス サーバー上のフロントエンド トランスポート サービスでの既定の受信コネクタ

フロントエンド トランポート サービスでの受信コネクタの主要な機能は、匿名および認証済み SMTP 接続を Exchange 組織に受け入れることです。 これらのコネクタの TransportRole プロパティ値は です FrontendTransport。 フロントエンド トランスポート サービスは、これらの接続をトランスポート サービスに中継または プロキシ して、最終的な宛先への分類とルーティングを行います。

メールボックス サーバー上のフロントエンド トランスポート サービスで作成される既定の受信コネクタについて、次の表で説明します。

名前 説明 プロトコルのログ出力 TCP ポート ローカル IP アドレスのバインド リモート IP アドレス範囲 認証機構 アクセス許可グループ
クライアント フロントエンド <サーバー名> 認証された SMTP クライアントからの接続を受け入れます。 なし 587 使用可能なすべての IPv4 および IPv6 アドレス (0.0.0.0 および [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (すべての IPv4 アドレスと IPv6 アドレス) TLS
BasicAuth
BasicAuthRequireTLS
Integrated
ExchangeUsers
既定のフロントエンド <サーバー名> 外部 SMTP サーバーからの匿名接続を受け入れます。 これは、Exchange 組織に対する一般的なメッセージングのエントリ ポイントです 詳細 25 使用可能なすべての IPv4 および IPv6 アドレス (0.0.0.0 および [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (すべての IPv4 アドレスと IPv6 アドレス) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
AnonymousUsers
ExchangeLegacyServers
ExchangeServers
送信プロキシ フロントエンド <サーバー名> メールボックス サーバーのトランスポート サービスからの認証済み接続を受け入れます。 この接続は、Exchange サーバーの自己署名証明書によって暗号化されます。
送信コネクタが送信プロキシを使用するように構成されている場合にのみ、このコネクタが使用されます。 詳細については、「Configure Send connectors to proxy outbound mail」を参照してください。
なし 717 使用可能なすべての IPv4 および IPv6 アドレス (0.0.0.0 および [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (すべての IPv4 アドレスと IPv6 アドレス) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers

メールボックス サーバー上のトランスポート サービスでの既定の受信コネクタ

トランスポート サービスの受信コネクタの主要な機能は、組織のローカル メールボックス サーバーまたはリモート メールボックス サーバー上の他のトランスポート サービスからの認証済みおよび暗号化された SMTP 接続を受け入れることです。 Theses コネクタの TransportRole プロパティ値は です HubTransport。 クライアントは、これらのコネクタに直接接続しません。

メールボックス サーバー上のトランスポート サービスで作成される既定の受信コネクタについて、次の表で説明します。

名前 説明 プロトコルのログ出力 TCP ポート ローカル IP アドレスのバインド リモート IP アドレス範囲 認証機構 アクセス許可グループ
クライアント プロキシ <サーバー名> フロントエンド トランスポート サービスからの、プロキシされた認証済みクライアント接続を受け入れます。 なし 465 使用可能なすべての IPv4 および IPv6 アドレス (0.0.0.0 および [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (すべての IPv4 アドレスと IPv6 アドレス) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers
ExchangeUsers
既定 <の ServerName> 次の対象からの認証済み接続を受け入れます。
  • ローカルまたはリモートのメールボックス サーバー上のフロントエンド トランスポート サービス
  • リモート メールボックス サーバー上のトランスポート サービス
  • ローカルまたはリモートのメールボックス サーバー上のメールボックス トランスポート サービス
  • エッジ トランスポート サーバー

この接続は、Exchange サーバーの自己署名証明書によって暗号化されます。

なし 2525 使用可能なすべての IPv4 および IPv6 アドレス (0.0.0.0 および [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (すべての IPv4 アドレスと IPv6 アドレス) TLS
BasicAuth
ExchangeServer
Integrated
ExchangeLegacyServers
ExchangeServers
ExchangeUsers

エッジ トランスポート サーバーのトランスポート サービスの既定の受信コネクタ

エッジ トランスポート サーバー上の受信コネクタの主要な機能は、インターネットからのメールを受け入れることです。 エッジ トランスポート サーバーを Exchange 組織にサブスクライブすると、組織との間のインターネット メール フローで必要なコネクタのアクセス許可と認証機構が自動的に設定されます。 詳細については、「エッジ トランスポート サーバー」を参照してください。

エッジ トランスポート サーバー上のトランスポート サービスで作成される既定の受信コネクタについて、次の表で説明します。

名前 説明 プロトコルのログ出力 TCP ポート ローカル IP アドレスのバインド リモート IP アドレス範囲 認証機構 アクセス許可グループ
既定の内部受信コネクタ <ServerName> 外部 SMTP サーバーからの匿名接続を受け入れます。 なし 25 使用可能なすべての IPv4 アドレス (0.0.0.0) {0.0.0.0-255.255.255.255} (すべての IPv4 アドレス) TLS
ExchangeServer
AnonymousUsers
ExchangeServers
Partners

メールボックス サーバー上のメールボックス トランスポート配信サービスの暗黙的受信コネクタ

Exchange サーバーのインストール中に受信コネクタが作成されるだけでなく、メールボックス サーバー上のメールボックス トランスポート配信サービスには特別な 暗黙的な受信コネクタ があります。 この暗黙的受信コネクタは自動的に使用可能になり、管理は不要ですが、表示されません。 このコネクタの主要な機能は、組織のローカルまたはリモートのメールボックス サーバーからの電子メールを受け入れることです。

メールボックス サーバーのメールボックス トランスポート配信サービスに存在する暗黙的受信コネクタについて、以下の表にまとめます。

名前 説明 プロトコルのログ出力 TCP ポート ローカル IP アドレスのバインド リモート IP アドレス範囲 認証機構 アクセス許可グループ
メールボックス配信の受信コネクタ ローカルまたはリモートのメールボックス サーバーのトランスポート サービスからの認証済み接続を受け入れます。 なし 475 使用可能なすべての IPv4 および IPv6 アドレス (0.0.0.0 および [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (すべての IPv4 アドレスと IPv6 アドレス) ExchangeServer ExchangeServers

受信コネクタのローカル アドレス バインド

ローカル アドレス バインドは、受信コネクタが、特定のローカル IP アドレス (ネットワーク アダプター) および TCP ポートでの SMTP 接続をリッスンするよう制限します。 通常、サーバー上の受信コネクタごとに、ローカル IP アドレスと TCP ポートの組み合わせは一意です。 ただし、リモート IP アドレス範囲が異なる場合には、特定のサーバー上の複数の受信コネクタが同じローカル IP アドレスと TCP ポートを共有できます。 詳細については、『受信コネクタのリモート アドレス』セクションをご覧ください。

既定では、受信コネクタは、使用可能なすべてのローカル IPv4 アドレスと IPv6 アドレス (0.0.0.0 と ) で接続を [::]:リッスンします。 サーバーに複数のネットワーク アダプターが含まれる場合、特定のネットワーク アダプター用に構成された IP アドレスからの接続のみを受け入れるように受信コネクタを設定できます。 たとえば、インターネット接続している Exchange サーバーに、匿名インターネット接続をリッスンする外部ネットワーク アダプターの IP アドレスにバインドする受信コネクタを設定できます。 それとは別に、内部 Exchange サーバーからの認証済み接続をリッスンする内部ネットワーク アダプターの IP アドレスにバインドする受信コネクタを配置できます。

注:

受信コネクタを特定の IP アドレスにバインドする場合、そのアドレスをローカル ネットワーク アダプターで設定してください。 無効なローカル IP アドレスを指定すると、Microsoft Exchange Transport サービスはサーバーまたはサービスを再開するときに失敗する可能性があります。

EAC では、[ ネットワーク アダプター バインド ] フィールドを使用して、新しい受信コネクタ ウィザードまたは既存の受信コネクタのプロパティの [スコープ] タブでローカル アドレス バインド 構成します。 Exchange 管理シェルでは、New-ReceiveConnector コマンドレットと Set-ReceiveConnector コマンドレットで Bindings パラメーター使用します。 選択した使用状況の種類によっては、受信コネクタの作成時にローカル アドレス バインドを構成できない場合がありますが、受信コネクタを作成した後で変更できます。 影響を受ける使用の種類は、「 受信コネクタの使用状況の種類 」セクションで識別されます。

受信コネクタのリモート アドレス

リモート アドレスによって、受信コネクタが SMTP 接続をどこから受信するかが定義されます。 既定では、受信コネクタはすべての IPv4 アドレスと IPv6 アドレス (0.0.0.0-255.255.255.255 と ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff) からの接続をリッスンします。 特定の送信元からのメールを受信するカスタムの受信コネクタを作成する場合、特定の IP アドレスまたはアドレス範囲からの接続のみをリッスンするようコネクタを設定します。

ある IP アドレス範囲が別の IP アドレス範囲に完全に重複しているのであれば、対象サーバー上の複数の受信コネクタでリモート IP アドレスの範囲が重複していてもかまいません。 リモート IP アドレスの範囲が重複している場合は、接続元サーバーの IP アドレスに一致する最も限定的な範囲が使用されます。

たとえば、Exchange01 という名前のサーバー上のフロントエンド トランスポート サービスの次の受信コネクタについて考慮してください。

  • コネクタ名: クライアント フロントエンド Exchange01

    • ネットワーク アダプター バインド: ポート 25 で使用可能なすべての IPv4。

    • リモート ネットワーク設定: 0.0.0.0-255.255.255.255

  • コネクタ名: カスタム コネクタ A

    • ネットワーク アダプター バインド: ポート 25 で使用可能なすべての IPv4。

    • リモート ネットワーク設定: 192.168.1.0-192.168.1.255

  • コネクタ名: カスタム コネクタ B

    • ネットワーク アダプター バインド: ポート 25 で使用可能なすべての IPv4。

    • リモート ネットワーク設定: 192.168.1.75

192.168.1.75 からの SMTP 接続はカスタム コネクタ B で受け入れられます。このコネクタには、一致する最も限定的な IP アドレスが設定されているからです。

192.168.1.100 からの SMTP 接続はカスタム コネクタ A で受け入れられます。このコネクタには、一致する最も限定的な IP アドレスが設定されているからです。

EAC では、受信コネクタの新規作成ウィザード、または既存の受信コネクタのプロパティにある [スコープ] タブで、 [リモート ネットワーク設定] フィールドを使用してリモート IP アドレスを設定します。 Exchange 管理シェルでは、New-ReceiveConnector コマンドレットと Set-ReceiveConnector コマンドレットで RemoteIPRanges パラメーターを使用します。

受信コネクタの使用法の種類

使用法の種類によって、受信コネクタの既定のセキュリティ設定が決定されます。 使用法の種類では、コネクタを使用する権限を持つユーザー、それらのユーザーが取得するアクセス許可、およびサポートされる認証方法を指定します。

EAC を使用して受信コネクタを作成する場合、ウィザードによって対象コネクタの [種類] の値を選択するよう求めるダイアログが表示されます。 Exchange 管理シェルで New-ReceiveConnector コマンドレットを使用する場合は、 使用可能 な値の 1 つ (例: -Usage Custom) または使用の種類に指定されたスイッチ (例: -Custom) で Usage パラメーターを使用します。

コネクタの使用の種類は、受信コネクタを作成する場合にのみ指定できます。 コネクタを作成したら、EAC で使用できる認証メカニズムとアクセス許可グループを変更するか、Exchange 管理シェルの Set-ReceiveConnector コマンドレットを使用して変更できます。

次の表で、選択可能な使用法の種類について説明します。

使用法の種類 割り当てられるアクセス許可グループ 使用可能な認証機構 Comments
Client Exchange ユーザー (ExchangeUsers) トランスポート層のセキュリティ (TLS)
基本認証 (BasicAuth)
TLS を開始した後にのみ基本認証を提供する (BasicAuthRequireTLS)
統合Windows 認証 (Integrated)
認証済み SMTP を使用して電子メール メッセージを送信する必要がある POP3 クライアントと IMAP4 クライアントが使用します。
EAC または Exchange 管理シェル でこの使用法の種類の受信コネクタを作成する場合、ローカル IP バインドまたは TCP ポートは選択できません。 既定では、この使用法の種類は TCP ポート 587 ですべてのローカル IPv4 アドレスおよび IPv6 アドレスにバインドされます。 コネクタの作成後にこうしたバインドを変更できます。
この使用法の種類は、エッジ トランスポート サーバーでは使用できません。
Custom [なし] が選択されています (None) トランスポート層のセキュリティ (TLS) クロス フォレスト シナリオで、サード パーティのメッセージング サーバーからメールを受信したり、外部中継を行ったりするために使用されます。
この使用法の種類の受信コネクタの作成後、EAC または Exchange 管理シェル でアクセス許可グループを追加する必要があります。
内部 レガシ Exchange サーバー (ExchangeLegacyServers)
Exchange サーバー (ExchangeServers)
トランスポート層のセキュリティ (TLS)
Exchange Server認証 (ExchangeServers)
クロス フォレスト シナリオで、以前のバージョンの Exchange からメールを受信したり、サーバー パーティのメッセージング サーバーからメールを受信したり、エッジ トランスポート サーバーで内部 Exchange 組織からの送信メールを受信したりするために使用されます。
EAC または Exchange 管理シェル でこの使用法の種類の受信コネクタを作成する場合、ローカル IP バインドまたは TCP ポートは選択できません。 既定では、このコネクタは TCP ポート 25 ですべてのローカル IPv4 アドレスおよび IPv6 アドレスにバインドされます。 コネクタの作成後にこうしたバインドを変更できます。
ExchangeLegacyServersアクセス許可グループは、エッジ トランスポート サーバーでは使用できません。
インターネット 匿名ユーザー (AnonymousUsers) トランスポート層のセキュリティ (TLS) インターネットからメールを受信するために使用されます。
EAC または Exchange 管理シェル でこの使用法の種類の受信コネクタを作成する場合、リモート IP アドレスは選択できません。 既定では、このコネクタは、すべての IPv4 アドレス (0.0.0.0-255.255.255.255) からのリモート接続を受け入れます。 コネクタの作成後にこうしたバインドを変更できます。
パートナー パートナー (Partners) トランスポート層のセキュリティ (TLS) 外部パートナーとのセキュリティで保護された通信を設定するために使用されます (相互 TLS 認証、別名ドメイン セキュア)。

受信コネクタの認証機構

認証機構は、受信 SMTP 接続に使用されるログオンと暗号化の設定を指定します。 1 つの受信コネクタについて、複数の認証機構を設定できます。 EAC の場合、受信コネクタのプロパティにある [セキュリティ] タブで認証機構を選択できます。 Exchange 管理シェルでは、New-ReceiveConnector コマンドレットと Set-ReceiveConnector コマンドレットの AuthMechanisms パラメーターでアクセス許可グループを使用できます。

次の表で、使用できる認証機構について説明します。

認証機構 説明
[なし] が選択されています (None) 認証はありません。
トランスポート層セキュリティ (TLS) (TLS) EHLO 応答で STARTTLS を提供します。 TLS 暗号化接続では、受信コネクタが EHLO 応答で提供する名前が含まれるサーバー証明書が必要になります。 詳細については、「 受信コネクタの SMTP バナーを変更する」を参照してください。 組織内の他の Exchange サーバーはその自己署名証明書を信頼しますが、通常、クライアントと他の外部サーバーは信頼できるサード パーティ証明書を使用します。
基本認証 (BasicAuth) 基本認証 (クリア テキスト)。
TLS を開始した後にのみ基本認証を提供する (BasicAuthRequireTLS) TLS で暗号化されている基本認証です。
統合Windows 認証 (Integrated) NTLM と Kerberos 認証。
Exchange Server認証 (ExchangeServer) Generic Security Services アプリケーション プログラミング インターフェイス (GSS-API) および相互 GSS-API 認証。
外部でセキュリティで保護された (ExternalAuthoritative) Exchange 外部にあるセキュリティ メカニズムを使用して接続のセキュリティが保護されると想定されています。 この接続はインターネット プロトコル セキュリティ (IPsec) アソシエーションまたは仮想プライベート ネットワーク (VPN) である場合があります。 または、信頼され、物理的に管理されたネットワーク上にサーバーが存在する可能性もあります。
この認証メカニズムには、アクセス許可グループが必要です ExchangeServers 。 認証機構とセキュリティ グループをこのように組み合わせることで、このコネクタ経由で受信したメッセージについて、匿名の送信者の電子メール アドレスを解決できます。

受信コネクタの許可グループ

アクセス許可グループ は、既知のセキュリティ プリンシパルに付与され、受信コネクタに割り当てられる定義済みのアクセス許可のセットです。 セキュリティ プリンシパルには、ユーザー アカウント、コンピューター アカウント、およびセキュリティ グループ (ユーザーに割り当てるアクセス許可を含めることができる、セキュリティ識別子 (SID) によって識別可能なオブジェクト) が含まれます。 アクセス許可グループによって、対象の受信コネクタを使用できるユーザーと、それらのユーザーが取得するアクセス許可が定義されます。 アクセス許可グループを作成することも、アクセス許可グループのメンバーまたはアクセス許可グループの既定のアクセス許可を変更することもできません。

EAC の場合、アクセス許可グループは、受信コネクタのプロパティにある [セキュリティ] タブで選択できます。 Exchange 管理シェルでは、New-ReceiveConnector コマンドレットと Set-ReceiveConnector コマンドレットの PermissionGroups パラメーターでアクセス許可グループを使用できます。

次の表で、選択できるアクセス許可グループについて説明します。

アクセス許可グループ 関連付けられたセキュリティ プリンシパル 付与されるアクセス許可
匿名ユーザー (Anonymous) NT AUTHORITY\ANONYMOUS LOGON ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Submit
Exchange ユーザー (ExchangeUsers) NT AUTHORITY\Authenticated Users ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Submit
Exchange サーバー (ExchangeServers) <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers
メモ: これらのセキュリティ プリンシパルには、他の内部アクセス許可も割り当てられます。 詳細については、『受信コネクタのアクセス許可』セクションの最後の部分を参照してください。
ms-Exch-Accept-Headers-Forest
ms-Exch-Accept-Headers-Organization
ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Exchange サーバー (ExchangeServers) MS Exchange\Externally Secured Servers ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
s-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
レガシ Exchange サーバー (ExchangeLegacyServers) <Domain>\ExchangeLegacyInterop ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
パートナー (Partner) MS Exchange\Partner Servers ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Submit

許可については、このトピックの『受信コネクタのアクセス許可』セクションで後述します。

受信コネクタのアクセス許可

通常は、アクセス許可グループを使用して受信コネクタにアクセス許可を適用します。 ただし、 Add-ADPermission コマンドレットと Remove-ADPermission コマンドレットを使用して、受信コネクタの詳細なアクセス許可を設定できます。

受信コネクタのアクセス許可は、そのコネクタのアクセス許可グループによってセキュリティ プリンシパルに割り当てられます。 STMP サーバーまたはクライアントが受信コネクタとの接続を確立するときに、受信コネクタのアクセス許可によって、その接続が受け付けられるかどうかと、メッセージの処理方法が決定されます。

次の表で、選択できる受信コネクタのアクセス許可について説明します。

受信コネクタのアクセス許可 説明
ms-Exch-Accept-Headers-Forest メッセージにおける Exchange フォレスト ヘッダーの保持について制御します。 フォレスト ヘッダー名は、 X-MS-Exchange-Forest- で始まります。 このアクセス許可が与えられていない場合、メッセージからすべてのフォレスト ヘッダーが削除されます。
ms-Exch-Accept-Headers-Organization メッセージにおける Exchange 組織ヘッダーの保持について制御します。 組織ヘッダー名は、 X-MS-Exchange-Organization- で始まります。 このアクセス許可が与えられていない場合、メッセージからすべての組織ヘッダーが削除されます。
ms-Exch-Accept-Headers-Routing メッセージ内の Received ヘッダーと Resent-* ヘッダーの 保持を制御します。 このアクセス許可が与えられていない場合、メッセージからこれらすべてのヘッダーが削除されます。
ms-Exch-Bypass-Anti-Spam SMTP クライアントまたはサーバーがスパム対策フィルター処理をバイパスできるようにします。
ms-Exch-Bypass-Message-Size-Limit SMTP クライアントまたはサーバーが、受信コネクタに関して設定されている最大メッセージ サイズを超えるメッセージを送信できるようにします。
ms-Exch-SMTP-Accept-Any-Recipient SMTP クライアントまたはサーバーが、受信コネクタを介してメッセージを中継できるようにします。 このアクセス許可が与えられていない場合、Exchange 組織に関して設定されている承認済みドメイン内の受信者宛てのメッセージのみが受信コネクタで受け付けられます。
ms-Exch-SMTP-Accept-Any-Sender SMTP クライアントまたはサーバーが、スプーフィング チェックをバイパスできるようにします。このスプーフィング チェックでは、通常、Exchange 組織に設定されている承認済みドメイン内に送信者の電子メール アドレスがあることが必要です。
ms-Exch-SMTP-Accept-Authentication-Flag SMTP クライアントまたはサーバーからのメッセージが認証済みとして扱われるかどうかを制御します。 このアクセス許可が与えられていない場合は、これらの送信元からのメッセージは (認証されていない) 外部メッセージとして識別されます。 この設定は、内部受信者からのメールのみを受け入れるように構成されている配布グループにとって重要です (たとえば、グループの RequireSenderAuthenticationEnabled パラメーター値は です $true)。
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Exchange 組織に設定されている権限のあるドメインにある電子メール アドレスの送信者が、受信コネクタにアクセスするのを許可します。
ms-Exch-SMTP-Accept-Exch50 SMTP クライアントまたはサーバーが、受信コネクタで XEXCH50 コマンドを送信できるようにします。 メッセージ内の Exchange データ (Spam Confidence Level つまり SCL など) を格納するため、 X-EXCH50 バイナリ ラージ オブジェクト (BLOB) が旧バージョンの Exchange (Exchange 2003 以前) では使用されていました。
ms-Exch-SMTP-Submit このアクセス許可は、受信コネクタにメッセージを送信するために必要になります。 このアクセス許可が与えられていない場合、 MAIL FROM コマンドと AUTH コマンドは失敗します。

:

  • 文書化されたアクセス許可に加えて、 を除く MS Exchange\Externally Secured ServersExchange サーバー (ExchangeServers) アクセス許可グループ内のすべてのセキュリティ プリンシパルに割り当てられるアクセス許可があります。 これらのアクセス許可は、Microsoft の内部で使用するために予約されており、参照目的でのみここに表示されます。

    • ms-Exch-SMTP-Accept-Xattr

    • ms-Exch-SMTP-Accept-XProxyFrom

    • ms-Exch-SMTP-Accept-XSessionParams

    • ms-Exch-SMTP-Accept-XShadow

    • ms-Exch-SMTP-Accept-XSysProbe

    • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

    • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

    • ms-Exch-SMTP-Send-XMessageContext-FastIndex

  • 含まれる ms-Exch-Accept-Headers- アクセス許可名は、 ヘッダー ファイアウォール 機能の一部です。 詳細については、「ヘッダー ファイアウォール」を参照してください。

受信コネクタのアクセス許可のプロシージャ

受信コネクタ上でセキュリティ プリンシパルに割り当てられているアクセス許可を確認するには、Exchange 管理シェル で次の構文を使用します。

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

たとえば、Client Frontend Mailbox01 という受信コネクタ上のすべてのセキュリティ プリンシパルに割り当てられているアクセス許可を確認する場合、次のコマンドを実行します。

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Default Mailbox01 という名前の受信コネクタのセキュリティ プリンシパル NT AUTHORITY\Authenticated Users にのみ割り当てられているアクセス許可を確認するには、次のコマンドを実行します。

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

受信コネクタのセキュリティ プリンシパルにアクセス許可を追加するには、次の構文を使用します。

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

受信コネクタのセキュリティ プリンシパルからアクセス許可を削除するには、次の構文を使用します。

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...