Office 365 を介してメールを中継できるように証明書ベースのコネクタを構成する

はじめに

組織がハイブリッド展開 (オンプレミスおよび Microsoft Office 365) を使用している場合、Office 365 を経由してインターネットに電子メール メッセージを頻繁に中継する必要があります。 つまり、オンプレミス環境 (メールボックス、アプリケーション、スキャナー、FAX 機器など) からインターネットの受信者に送信するメッセージは、まず Office 365 にルーティングされてから送信されます。

メールのルーティング

図: Office 365 を経由してオンプレミス電子メール サーバーからインターネットに中継された電子メール

このリレーを正しく設定するには、組織は次の手順に従う必要があります。

  1. Office 365 で少なくとも 1 つのコネクタを作成して、送信 IP アドレスまたは証明書を使用してオンプレミス電子メール サーバーから電子メール メッセージを認証します。

  2. Office 365 を経由して中継するようにオンプレミス サーバーを構成します。

  3. 次のいずれかの条件に該当するように構成します。

    • 送信元ドメイン

      送信元ドメインは組織に属しています (つまり、ドメインは Office 365 に登録済み)。

      注: 詳細については、「Office 365 でユーザーとドメインを追加する」を参照してください。

    • 証明書ベースのコネクタ構成

      オンプレミス電子メール サーバーは Office 365 に電子メールを送信する際に証明書を使用するように構成されています。証明書の共通名 (CN) またはサブジェクト代替名 (SAN) には Office 365 で登録したドメイン名が含まれており、そのドメインを使った証明書ベースのコネクタは Office 365 で作成されました。

手順 3 のどちらも該当しない場合、Office 365 は、オンプレミス環境から送信されたメッセージが組織に属しているかどうかを特定できません。 そのため、ハイブリッド展開を使用する場合、手順 3 のどちらかの条件が満たされていることを確認するようにお勧めします。

概要

2017 年 7 月 5 日以降、ハイブリッド環境を使用しているお客様で環境を手順 3 のどちらかの条件に合わせて構成していない場合、Office 365 は電子メール メッセージのリレーのサポートを終了します。 そのようなメッセージは拒否され、次のエラー メッセージをトリガーします。

550 5.7.64 Relay Access Denied ATTR36.詳細については、KB 3169958 を参照してください。

さらに、組織が 2017 年 7 月 5 日以降に次のすべてのシナリオにおいて正常に動作することを必要とする場合、「はじめに」セクションの手順 3 にある 2 番目の条件 ("証明書ベースのコネクタ構成") を満たす必要があります。

注意

この新しい処理の当初の期限は 2017 年 2 月 1 日でしたが、お客様が十分な時間をもって必要な変更を行うことができるように 2017 年 7 月 5 日に延期されました。

Office 365 が電子メール メッセージのリレーを既定でサポートしないシナリオ

  • 組織がオンプレミス環境からインターネット上の受信者に配信不能レポート (NDR) を送信する必要があり、Office 365 を経由してメッセージを中継しなければならない場合。 たとえば、だれかが john@contoso.com (以前に組織のオンプレミス環境に存在していたユーザー) に電子メール メッセージを送信したとします。 これにより、送信元に NDR が送信されます。

  • 組織がオンプレミス環境の電子メール サーバーで、Office 365 に追加していないドメインからメッセージを送信する必要がある場合。 たとえば、組織 (contoso.com) が自分に属していない fabrikam.com をドメインとして電子メールを送信する場合です。

  • オンプレミス サーバーで転送ルールが構成され、メッセージが Office 365 を経由して中継されている場合。

    たとえば、組織のドメインが contoso.com であるとします。 組織のオンプレミス サーバー上に存在するユーザーである kate@contoso.com は、すべてのメッセージを kate@tailspintoys.com に転送できます。 john@fabrikam.com が kate@contoso.com にメッセージを送信する場合、メッセージは自動的に kate@tailspintoys.com に転送されます。

    Office 365 の視点では、メッセージは john@fabrikam.com から kate@tailspintoys.com 宛てに送信されます。 Kate の電子メールは転送されるため、送信者ドメインや受信者ドメインのどちらも組織に属していません。

メールの転送 

図: 手順 3 の "証明書ベースのコネクタ構成" 条件を満たし、Office 365 を経由したリレーが許可された contoso.com からの転送メッセージ

詳細

メッセージが Office 365 からインターネットに中継されるように、証明書ベースのコネクタを設定できます。 そのためには、次の方法に従います。

手順 1: Office 365 で証明書ベースのコネクタの作成または変更

証明書ベースのコネクタを作成または変更するには、次の手順に従ってください。

  1. Office 365 ポータル (https://portal.office.com) にサインインし、[管理者] をクリックして Exchange 管理センターを開きます。 詳細については、「Exchange Online の Exchange 管理センター」を参照してください。

    管理者のサインイン

  2. [メール フロー]、[コネクタ] をクリックして、次のいずれかを行います。

    • コネクタが存在しない場合、プラス型の様な追加アイコン  (追加) をクリックしてコネクタを作成します。

      コネクタを追加します

    • コネクタが既に存在している場合、そのコネクタを選択して、ペンシェイプの様な編集アイコン (編集) をクリックします。

      コネクタを編集する

  3. メール フローのシナリオを選択」ページで [差出人] ボックスから [組織のメール サーバー] を選択して、[宛先] ボックスから [Office 365] を選択します。

    注意

    これにより、オンプレミス サーバーがメッセージの送信元であることを示すコネクタが作成されます。

    メール フロー シナリオの選択

  4. コネクタ名や他の情報を記入して [次へ] をクリックします。

  5. 新しいコネクタ」または「コネクタを編集」ページで最初のオプションを選択します。これにより、トランスポート層セキュリティ (TLS) 証明書を使用して、組織のメッセージの送信元を特定します。 オプションのドメイン名は、使用している証明書の CN 名や SAN 名と一致する必要があります。

    注意

    このドメインは組織に属し、Office 365 に追加したドメインである必要があります。 詳細については、「Office 365 でドメインを追加する」を参照してください。

    たとえば、Contoso.com は組織に属し、組織が Office 365 と通信する際に使用される証明書の CN 名または SAN 名の一部であるとします。 証明書のドメインに複数のドメインが含まれる場合 (mail1.contoso.com、mail2.contoso.com など)、コネクタ UI のドメインを "*.contoso.com" にするようにお勧めします。

    注意

    ハイブリッド構成ウィザードを使用してコネクタを構成した既存のハイブリッドのお客様は、既存のコネクタが mail.contoso.com<hostname>.contoso.com ではなく  *.contoso.com などを使用していることを確認する必要があります。これは、 mail.contoso.com  および <hostname>.contoso.com が Office 365 のドメインに登録されていない可能性があるためです。

    新しいコネクタ 

    図: 例として "contoso.com" 形式を使用するようにコネクタを設定

手順 2: Office 365 でドメインを登録

ドメインを登録するには、次の Office 記事の手順に従ってください。

Office 365 でユーザーとドメインを追加する

Office 365 管理センターで [ 設定]、[ ドメイン] をクリックして、登録されているドメインの一覧を表示します。

ドメインの登録

手順 3: オンプレミス環境の構成

オンプレミス環境を構成するには、次の手順を実行します。

  1. 組織がオンプレミス環境向けに Exchange Server を使用している場合、サーバーを構成して TLS 上でメッセージを送信します。 これを行うには、「Office 365 を介してインターネットへメールを中継するように電子メール サーバーを設定する」を参照してください。 (これは「Office 365 と独自の電子メール サーバーの間のメールをルーティングするようにコネクタを設定する」ページのパート 2.2 です。)

    注意

    ハイブリッド構成ウィザードを既に使用している場合、ウィザードを引き続き利用できます。 このセクションにある手順 1 のサブステップ 5 に記載された条件を満たす証明書を使用するようにしてください。

  2. オンプレミス環境に証明書をインストールします。 これを行うには、「メール フローおよびクライアント アクセスの構成」の「手順 6: SSL 証明書を構成する」を参照してください。

関連情報

コネクタの設定要件に対処する方法の詳細については、「 コネクタに関する重要な注意事項」(英語情報) を参照してください。

Office 365 を介してメッセージを中継する方法の詳細については、「一部のメールボックスは Office 365 内にあり、残りのメールボックスは組織の電子メール サーバー上にある場合にメール フローを設定する」セクション (「Exchange Online および Office 365 でのメール フローのベスト プラクティス」記事内) を参照してください。

さらにヘルプが必要ですか? Microsoft コミュニティまたは Exchange TechNet フォーラムにアクセスしてください。