送信コネクタ (Exchange Server

Exchange送信元サーバーから宛先電子メール サーバーへの送信 SMTP 接続Exchange送信コネクタを使用します。 メッセージを受信者へとルーティングするために使用される送信コネクタは、メッセージの分類のルーティング解決フェーズで選択されます。 詳細については、「メール ルーティング」を参照してください。

メールボックス サーバーとエッジ トランスポート サーバー上のトランスポート サービスに送信コネクタを作成できます。 送信コネクタは Active Directory に格納され、(既定では) 組織内のすべてのメールボックス サーバーに表示されます。

重要

既定では、外部メール フローをインストールするときに送信コネクタExchange。 送信インターネット メール フローを有効にするには、送信コネクタを作成するか、エッジ トランスポート サーバーを組織にサブスクライブExchangeがあります。 詳細については、「Create a Send connector to send mail to the Internet and Edge Transport servers」を参照してください

同じ Active Directory フォレスト内の Exchange サーバー間でメールを送信する場合には、送信コネクタを設定する必要はありません。Exchange サーバー トポロジに完全に対応している暗黙的かつ不可視の送信コネクタを使用して、内部 Exchange サーバーにメールを送信できます。こうしたコネクタについては、「暗黙的送信コネクタ」セクションで説明します。

送信コネクタ上の重要な設定を次に示します。

  • 使用法の種類

  • ネットワーク設定: 送信コネクタがメールをルーティングする方法を構成します。DNS を使用するか、すべてのメールをスマート ホストに自動的に転送します。

  • アドレス スペース: 送信コネクタが担当する宛先ドメインを構成します。

  • スコープ: 組織内の他のサーバーに送信コネクタExchange表示を構成します。

  • ソース サーバー: 送信コネクタがホストExchangeサーバーを構成します。 対象の送信コネクタを使用して配信する必要があるメールは、このいずれかの送信元サーバーにルーティングされます。

メールボックス サーバーでは、Exchange 管理センター または Exchange 管理シェル を使用して送信コネクタを作成および管理できます。エッジ トランスポート サーバーで使用できるのは、Exchange 管理シェル のみです。

送信コネクタの変更点 (Exchange Server

2016 または Exchange 2019 または Exchange 2010 の送信コネクタに対する特にExchangeです。

  • 送信コネクタは、フロントエンド トランスポート サービスを介して送信メールをリダイレクトまたは プロキシ するように構成できます。 詳細については、「 メールをプロキシ送信するよう送信コネクタを構成する」を参照してください。

  • IsCoexistenceConnector パラメーターは使用できなくなりました。

  • LinkedReceiveConnector パラメーターは使用できなくなりました。

  • 既定の最大メッセージ サイズが 35 MB (Base64 エンコードのため、約 25 MB) に増加されました。 詳細については、「メッセージ サイズと受信者の制限」を参照Exchange Server。

  • TlsCertificateName パラメーターを使用すると、証明書発行者と証明書のサブジェクトを指定できます。 これにより、不正な証明書のリスクを最小限に抑えることができます。

暗黙的送信コネクタ

Exchange サーバーのインストール中に送信コネクタは作成されませんが、組織内送信コネクタという名前の特別な暗黙的送信コネクタが存在します。 この暗黙的送信コネクタは自動的に使用可能になり、管理は不要ですが、表示されません。 トランスポート サービスに存在する組織内の送信コネクタは、ローカルの Exchange サーバー上のサービス間で内部的に、または組織内のリモートの Exchange サーバー上のサービスへ、メールを送信します。 次に例を示します。

  • フロントエンド トランスポート サービスから、トランスポート サービスへ。

  • トランスポート サービスから、他のサーバー上のトランスポート サービスへ。

  • トランスポート サービスから、サブスクライブ済みエッジ トランスポート サーバーへ。

  • トランスポート サービスから、メールボックス トランスポート配信サービスへ。

  • メールボックス トランスポート発信サービスから、トランスポート サービスへ。

詳細については、「Mail flow and the transport pipeline」を参照してください。

送信コネクタの使用法の種類

送信コネクタの場合、使用法の種類は、基本的に、送信コネクタの用途を示す説明的なラベルです。使用法の種類のすべての値が、同じアクセス許可を受け取ります。

コネクタの使用法の種類を指定できるのは、送信コネクタを作成するときのみです。 EAC を使用する場合、 [種類] の値を選択する必要があります。 ただし、Exchange 管理シェルで New-SendConnector コマンドレットを使用する場合、使用法の種類は (使用するか) 必要ありません-Usage <UsageType>``-<UsageType>

使用法の種類を指定すると、既定の最大メッセージ サイズが設定されます。このサイズは、コネクタの作成後に変更できます。

次の表で、選択可能な使用法の種類の値について説明します。

使用法の種類 最大メッセージ サイズ コメント
カスタム 35 MB なし
内部 無制限 EAC でこの使用法の種類の送信コネクタを作成するときは、 [受信者のドメインに関連付けられた MX レコード] を選択することはできません。コネクタの作成後、送信コネクタのプロパティにある [配信] タブに移動し、 [受信者のドメインに関連付けられた MX レコード] を選択できます。

この同じ制限は、管理シェルExchange存在しません。 内部スイッチを 使用してNew-SendConnector コマンドレットで DNSRoutingEnabled $true を設定できます。
インターネット 35 MB なし
パートナー 35 MB EAC でこの使用法の種類の送信コネクタを作成するときは、 [スマート ホストを経由してメールをルーティングする] またはスマート ホスト認証機構を選択することはできません。コネクタの作成後、送信コネクタのプロパティにある [配信] タブに移動し、 [スマート ホストを経由してメールをルーティングする] およびスマート ホスト認証機構を選択できます。

この同じ制限は、管理シェルExchange存在しません。 パートナー スイッチ を使用してNew-SendConnector コマンドレットの SmartHosts および SmartHostAuthMechanism パラメーターに DNSRoutingEnabled $false を設定し、使用できます。

送信コネクタのネットワーク設定

すべての送信コネクタにおいて、次のいずれかのオプションを設定する必要があります。

  • DNS を使用して、メールをルーティングします。

  • 1 つ以上のスマート ホストを使用して、メールをルーティングします。

DNS を使用してメールをルーティングする

メールを配信するために DNS 解決を選択する場合、送信コネクタの送信元 Exchange サーバーが、対象コネクタ上に設定されているアドレス スペースについて MX レコードを解決できなければなりません。コネクタの性質、およびサーバー内に含まれるネットワーク アダプターの数によって、送信コネクタが、内部 DNS サーバーまたは外部 (パブリック) DNS サーバーに対するアクセスを必要とする場合があります。内部および外部の DNS 参照に関して特定の DNS サーバーを使用するよう、サーバーを設定できます。

  • サーバー サーバーの EAC で サーバー > >を選択し、[編集] アイコンをクリックします。 >[DNS 参照] タブ。

  • 管理シェルExchange Set-TransportService コマンドレットで ExternalDNS* パラメーターと InternalDNS* パラメーターを使用します。

内部および外部の DNS 参照で使用するための別個の DNS 設定を持つ Exchange サーバーを既に設定済みの場合に、送信コネクタで外部アドレス スペースにメールをルーティングするときには、次のようにして外部 DNS サーバーを使用するように送信コネクタを設定する必要があります。

  • EAC では、 [トランスポート役割を持つサーバー上で外部 DNS 参照設定を使用する] を選択します (送信コネクタの新規作成ウィザード、または既存のコネクタのプロパティにある [配信] タブ)。

  • 管理シェルExchange、New-SendConnector コマンドレットと Set-SendConnector コマンドレットで UseExternalDNSServersEnabled パラメーターを使用します。

スマート ホストを使用してメールをルーティングする

スマート ホストを介してメールをルーティングする場合、送信コネクタはメールをスマート ホストに転送し、スマート ホストが、最終的な宛先までの間にある次のホップにメールをルーティングする責任を担います。通常、スマート ホストによるルーティングは、スパム対策サービスまたはデバイスを経由して送信メールを送信する場合に使用します。

対象の送信コネクタが使用する 1 つ以上のスマート ホストを特定する際、個々の IP アドレス (10.1.1.1 など)、完全修飾ドメイン名 (FQDN) (spamservice.contoso.com など)、またはこの 2 種類を組み合わせて指定します。FQDN を使用する場合、送信コネクタの送信元 Exchange サーバーが、DNS を使用して FQDN (MX レコードまたは A レコード) を解決できなければなりません。

スマート ホストのルーティングにおいて重要になるのは、スマート ホストが使用する認証機構です。次の表で、使用できる認証機構について説明します。

認証機構 説明
None (None) 認証はありません。たとえば、スマート ホストへのアクセスが送信元 IP アドレスによって制限されている場合です。
基本認証 (BasicAuth) 基本認証。 ユーザー名とパスワードが必要です。 ユーザー名とパスワードはクリア テキストで送信されます。
TLS の開始後にのみ基本認証を提供 する (BasicAuthRequireTLS) TLS で暗号化されている基本認証です。これには、送信コネクタで定義されているスマート ホストの正確な FQDN が含まれているスマート ホスト上のサーバー証明書が必要です。

送信コネクタは、 STARTTLS コマンドをスマート ホストに送信して TLS セッションを確立しようと試み、TSL セッションが確立された後にのみ基本認証を実行します。

相互 TLS 認証をサポートするには、クライアント証明書も必要です。
Exchange Server認証 (ExchangeServer) Generic Security Services アプリケーション プログラミング インターフェイス (GSS-API) および相互 GSS-API 認証。
外部的にセキュリティで保護 された (ExternalAuthoritative) Exchange 外部にあるセキュリティ メカニズムを使用して接続のセキュリティが保護されると想定されています。この接続はインターネット プロトコル セキュリティ (IPsec) アソシエーションまたは仮想プライベート ネットワーク (VPN) である場合があります。または、信頼され、物理的に管理されたネットワーク上にサーバーが存在する可能性もあります。

送信コネクタのアドレス スペース

アドレス スペースは、送信コネクタがサービスを提供する宛先ドメインを指定します。メールは、受信者のメール アドレスのドメインに基づいて、送信コネクタ経由でルーティングされます。

次の表で、選択可能な SMTP アドレス スペースの値について説明します。

アドレス スペース 説明
* 送信コネクタは、すべてのドメイン内の受信者にメールをルーティングします。
ドメイン (たとえば contoso.com) 送信コネクタは、指定したドメインの受信者にメールをルーティングしますが、サブドメイン内の受信者にはルーティングしません。
ドメインとサブドメイン (たとえば) *.contoso.com 送信コネクタは、指定したドメインとすべてのそのサブドメイン内の受信者にメールをルーティングします。
-- 送信コネクタは、Exchange 組織内のすべての承認済みドメインの受信者にメールをルーティングします。この値を選択できるのは、内部 Exchange 組織にメールを送信するエッジ トランスポート サーバー上の送信コネクタのみです。

アドレス スペースには、 [種類][コスト] の値も設定できます。

エッジ トランスポート サーバーでは、 Type 値は 、 である必要があります SMTP。 メールボックス サーバーでは、SMTP 以外のアドレス空間の種類や他 X400 のテキスト文字列を使用することもできます。 X.400 アドレスは RFC 1685 準拠 ( o=MySite;p=MyOrg;a=adatum;c=usたとえば) である必要がありますが、他の Type 値はアドレス空間の任意のテキスト値を受け入れる必要があります。 SMTP 以外のアドレス空間の種類を指定する場合、送信コネクタはスマート ホスト ルーティングを使用する必要があります。SMTP を使用してスマート ホストにメッセージを送信します。 配信エージェント コネクタと外部コネクタは、SMTP を使用せずに SMTP 以外のサーバーに SMTP 以外のメッセージを送信します。 詳細については、「Delivery Agent and Delivery Agent Connectors and Foreign Connectors」を参照してください

アドレス スペースの [コスト] 値は、異なる送信元サーバー上にある複数の送信コネクタで同じアドレス スペースが設定されている場合のメール フローの最適化や、フォールト トレランスを目的として使用されます。優先順位の値が小さくなるほど、優先度の高い送信コネクタであることを示します。

メッセージを受信者へとルーティングするために使用される送信コネクタは、メッセージの分類のルーティング解決フェーズで選択されます。受信者のメール アドレスに最も近いアドレス スペースを持ち、優先順位の値が小さい送信コネクタが選択されます。

たとえば、受信者が julia@marketing.contoso.com であるとします。送信コネクタが *.contoso.com 用に設定されている場合、メッセージはそのコネクタを経由してルーティングされます。*.contoso.com 用に設定されている送信コネクタがない場合、メッセージは * 用に設定されているコネクタを経由してルーティングされます。同じ Active Directory サイト内に *.contoso.com 用に設定されている複数の送信コネクタがある場合、優先順位の値の小さいコネクタが選択されます。

送信コネクタのスコープ

送信コネクタの送信元サーバーによって、その送信コネクタを経由してルーティングする必要があるメールの宛先 Exchange サーバーが決まります。送信コネクタのスコープによって、Exchange 組織内におけるコネクタの可視性を制御します。

既定では、送信コネクタは Active Directory フォレスト全体ですべての Exchange サーバーに表示され、ルーティングの決定に使用されます。 ただし、送信コネクタのスコープを制限すると、同じ Active Directory サイトにある他の Exchange サーバーにのみ表示することができます。 送信コネクタは他の Active Directory サイトの Exchange サーバーには表示されず、そのルーティング決定にも使用されません。 この方法で制限されている送信コネクタは、スコープが設定されている と言います

EAC でスコープが限定された送信コネクタを設定するには、送信コネクタの新規作成ウィザード、または既存の送信コネクタのプロパティにある [スコープ] タブで、 [アドレス スペース] セクションの [スコープ指定した送信コネクタ] を選択します。 管理シェルExchange、New-SendConnector コマンドレットおよび Set-SendConnector コマンドレットで IsScopedConnector パラメーターを使用します。

送信コネクタのアクセス許可

送信コネクタが宛先電子メール サーバーとの接続を確立すると、送信コネクタのアクセス許可によって、メッセージで送信できるヘッダーの種類が決定されます。 アクセス許可で使用が許容されていないヘッダーがメッセージに含まれている場合、そのようなヘッダーはメッセージから削除されます。

アクセス許可は、既知のセキュリティ プリンシパルによって送信コネクタに割り当てられます。セキュリティ プリンシパルには、ユーザー アカウント、コンピューター アカウント、およびセキュリティ グループ (ユーザーに割り当てるアクセス許可を含めることができる、セキュリティ識別子 (SID) によって識別可能なオブジェクト) が含まれます。既定では、送信コネクタを作成したときに選択した使用法の種類にかかわらず、すべての送信コネクタに対して同じアクセス許可が含まれる同じセキュリティ プリンシパルが割り当てられます。送信コネクタの既定のアクセス許可を変更するには、Exchange 管理シェル で Add-ADPermission コマンドレットと Remove-ADPermission コマンドレットを使用する必要があります。

次の表で、選択できる送信コネクタのアクセス許可について説明します。

アクセス許可 割り当て先 説明
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
メッセージにおける Exchange フォレスト ヘッダーの保持について制御します。フォレスト ヘッダー名は、 X-MS-Exchange-Forest- で始まります。このアクセス許可が与えられていない場合、メッセージからすべてのフォレスト ヘッダーが削除されます。
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
メッセージにおける Exchange 組織ヘッダーの保持について制御します。組織ヘッダー名は、 X-MS-Exchange-Organization- で始まります。このアクセス許可が与えられていない場合、メッセージからすべての組織ヘッダーが削除されます。
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers
メッセージにおける RECEIVED ヘッダーの保持について制御します。このアクセス許可が与えられていない場合、メッセージからすべての受信ヘッダーが削除されます。
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers
送信元 Exchange サーバーが送信コネクタで XEXCH50 コマンドを送信できるようにします。Exchange データ (Spam Confidence Level または SCL など) をメッセージに格納するため、 X-EXCH50 バイナリ ラージ オブジェクト (BLOB) が旧バージョンのExchange (Exchange 2003 以前) では使用されていました。

このアクセス許可が付与されていない場合、メッセージに X-EXCH50 BLOB が含まれていると、Exchange サーバーは X-EXCH50 BLOB を含めないでメッセージを送信します。
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
このアクセス許可は Microsoft の内部使用のために予約済みです。参考のためにのみ、以下に示します。

: 含まれるアクセス許可名は ms-Exch-Send-Headers- 、ヘッダー ファイアウォール 機能の一部 です。 詳細については、「ヘッダー ファイアウォール」を参照してください。

送信コネクタのアクセス許可のプロシージャ

送信コネクタ上でセキュリティ プリンシパルに割り当てられているアクセス許可を確認するには、Exchange 管理シェル で次の構文を使用します。

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

たとえば、To Fabrikam.com という送信コネクタ上のすべてのセキュリティ プリンシパルに割り当てられているアクセス許可を確認する場合、次のコマンドを実行します。

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

To Fabrikam という名前の NT AUTHORITY\ANONYMOUS LOGON 送信コネクタのセキュリティ プリンシパルにのみ割り当てられているアクセス許可を表示するには、次のコマンドを実行します。

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

送信コネクタのセキュリティ プリンシパルにアクセス許可を追加するには、次の構文を使用します。

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

送信コネクタのセキュリティ プリンシパルからアクセス許可を削除するには、次の構文を使用します。

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...