サードパーティのクラウド サービスを使用してメール フローを管理Exchange Online

このトピックでは、次に示す複雑なメール フローシナリオについて説明Exchange Online。

シナリオ 1 - MX レコードがサード パーティ製のスパム フィルタリングを指している

シナリオ 2 - MX レコードがスパム フィルタリングを使用しないサード パーティ製のソリューションを指している

注意

このトピックの例では、架空の組織 Contoso を使用します。この組織は、ドメイン contoso.com を所有し、Exchange Online のテナントです。 これは単なる例です。 この例は、必要に応じて、組織のドメイン名とサード パーティのサービス IP アドレスに合わせて調整できます。

サード パーティ製のクラウド サービスを使用して、Microsoft 365またはOffice 365

シナリオ 1 - MX レコードがサード パーティ製のスパム フィルターをポイントする

重要

Microsoft では、メール フロー ルール (チェックアウト ポイント 5) を使用して、コネクタの拡張フィルターを有効にするか、フィルター処理を完全にバイパスする方法を強く推奨します。 この手順に従う必要がない場合、必然的に、組織への受信メールの誤分類や、電子メールと保護機能のOffice 365経験が生じてしまう可能性があります。

組織のすべてのメールボックスをホストExchange Onlineを使用する予定です。 組織では、スパム、マルウェア、フィッシング フィルターにサードパーティのクラウド サービスを使用しています。 インターネットからのすべての電子メールは、最初にこのサード パーティのクラウド サービスによってフィルター処理され、その後、Microsoft 365またはOffice 365。

このシナリオでは、組織のメール フロー セットアップが次の図のようになります。

インターネットからサードパーティのフィルター サービスから Microsoft 365 または Office 365 への受信メールと、Microsoft 365 または Office 365 からインターネットへの送信メールを示すメール フロー図。

サード パーティ製のクラウド フィルター サービスをユーザーまたはユーザーが使用して使用Microsoft 365ベスト プラクティスOffice 365

  1. カスタム ドメインをユーザー設定またはMicrosoft 365にOffice 365。 ドメインを所有している場合は、「ドメインをドメインに追加する」の手順にMicrosoft 365。

  2. ユーザー メールボックスを作成して、Exchange Onlineユーザーのメールボックスをユーザーまたはユーザーに移動Microsoft 365またはOffice 365。

  3. 手順 1 で追加したドメインの DNS レコードを更新します。(方法が分からない場合は、このページの手順に従ってください。) 次の DNS レコードがメール フローを制御します。

    • MX レコード: ドメインの MX レコードは、サード パーティのサービス プロバイダーを指している必要があります。 MX レコードを構成する方法については、サードパーティのガイドラインに従ってください。

    • SPF レコード: ドメインからインターネットに送信されるメールはすべて Microsoft 365 または Office 365 で送信され、SPF レコードには Microsoft 365 または Office 365 の標準値が必要です。

      v=spf1 include:spf.protection.outlook.com -all
      

      SPF レコードにサードパーティ サービスを含める必要があるのは、組織がサービスを介して送信インターネット メールを送信する場合のみです (サード パーティ サービスはドメインからのメールの送信元になります)。

    このシナリオを構成する場合は、サード パーティサービスから電子メールを受信するために構成する必要がある "ホスト" が MX Record で指定されます。 次に例を示します。

    ホスト名の値の例。

    この例では、ホストまたはホストのホストMicrosoft 365をOffice 365する必要 hubstream-mx.mail.protection.outlook.com。 この値はドメインごとに異なる場合があります。構成ドメインで値を確認して、実際の値 > > <select domain> を確認します。

  4. サードパーティ のサービスExchange Onlineメールのみを受け入れるには、組織をロックダウンします。

    TlsSenderCertificateName (優先) パラメーターまたは SenderIpAddresses パラメーターを使用してパートナー 受信コネクタを作成および構成し、対応する RestrictDomainsToCertificate パラメーターまたは RestrictDomainsToIPAddresses パラメーターを $True に設定します。 スマート ホストが Exchange Online に直接ルーティングされたメッセージは拒否されます (指定した証明書または指定した IP アドレスを使用して接続を通して受信しなかったため)。

    次に例を示します。

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true
    

    または

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>
    

    注意

    同じ証明書または送信者 IP アドレスに対して OnPremises 受信コネクタが既にある場合でも、パートナー受信コネクタを作成する必要があります (RestrictDomainsToCertificate パラメーターと RestrictDomainsToIPAddresses パラメーターはパートナー コネクタにのみ適用されます)。 2 つのコネクタは問題なく共存できます。

  5. この手順には、次の 2 つのオプションがあります。

    • コネクタに対して 拡張フィルターを使用する (強くお勧めします) : サード パーティ製アプリケーションからメッセージを受信するパートナー 受信コネクタで、 コネクタの拡張 フィルター処理 (スキップ リストとも呼ばれる) を使用します。 これにより、EOP とMicrosoft 365 DefenderメッセージOffice 365スキャンを実行できます。

      注意

      サードパーティ アプリケーションが Exchange オンプレミスに依存して Exchange Online に送信するハイブリッド シナリオの場合は、オンプレミスの受信コネクタでコネクタの拡張フィルターを有効にする必要もあります。

    • [スパム フィルターのバイパス]: スパム フィルターをバイパスするには、メール フロー ルール (トランスポート ルールとも呼ばれる) を使用します。 このオプションを使用すると、ほとんどの EOP コントロールと Defender Office 365し、スパム対策チェックを 2 重に防止します。

      ダブル スキャンを防止するメール フロー ルール。

      重要

      メール フロー ルールを使用してスパム フィルターをバイパスする代わりに、コネクタの拡張フィルター処理 (リストのスキップとも呼ばれる) を有効にすることを 強くお勧めします。 ほとんどのサード パーティ製クラウドスパム対策プロバイダーは、多くのお客様間で IP アドレスを共有しています。 これらの IP でスキャンをバイパスすると、これらの IP アドレスからのスプーフィングメッセージとフィッシング メッセージが許可される場合があります。

シナリオ 2 - MX レコードがスパム フィルターなしでサード パーティ製ソリューションをポイントする

組織のすべてのメールボックスをホストExchange Onlineを使用する予定です。 インターネットから自分のドメインに送信される電子メールはすべて、最初にサード パーティのアーカイブまたは監査サービスを経由して、Exchange Online に到着する必要があります。 自分の組織からインターネットに送信Exchange Online送信される送信メールも、すべてサービスを経由する必要があります。 ただし、このサービスはスパム フィルター ソリューションを提供します。

このシナリオでは、コネクタの拡張 フィルターを使用する必要があります。 それ以外の場合、すべてのインターネット送信者からのメールは、インターネット上の真のソースからではなく、サードパーティのサービスから発信されたと見なされます。

Office 365 または Microsoft 365 へのインターネットからの受信メールと、Microsoft 365 または Office 365 からサード パーティ ソリューションへの送信メール、およびインターネットへの送信メールの表示を示すメール フロー図。

サード パーティ製のクラウド サービスを使用する場合のベスト プラクティスは、Microsoft 365またはOffice 365

ユーザーとユーザーが提供するアーカイブおよび監査ソリューションを使用することを強Microsoft 365。Office 365。

関連項目

メール フローのベスト プラクティスExchange Online、Microsoft 365、Office 365 (概要)

パートナー組織とのセキュリティで保護されたメール フロー用のコネクタを設定する

すべてのメールボックスとメール フローを管理するには、Microsoft 365またはOffice 365

複数の場所にあるメールボックスを使用してメール フローを管理する (Microsoft 365またはOffice 365 Exchangeオンプレミスのメールボックス)

サードパーティのクラウド サービスを使用してメール フローを管理し、Exchange Onlineメールボックスを使用する

メール フロー Microsoft 365またはOffice 365のトラブルシューティング

コネクタを検証してメール フローをテストする