接続フィルターを構成するConfigure connection filtering

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象Applies to

Exchange Online のメールボックスを使用している Microsoft 365 のお客様、または Exchange Online メールボックスのないスタンドアロンの Exchange Online Protection (EOP) のお客様の場合は、EOP (具体的には既定の接続フィルター ポリシー) で接続フィルターを使用して、IP アドレスによって適切または悪い送信元メール サーバーを識別します。If you're a Microsoft 365 customer with mailboxes in Exchange Online or a standalone Exchange Online Protection (EOP) customer without Exchange Online mailboxes, you use connection filtering in EOP (specifically, the default connection filter policy) to identify good or bad source email servers by their IP addresses. 既定の接続フィルター ポリシーの主な構成要素は次のとおりです。The key components of the default connection filter policy are:

  • IP 許可一覧: IP アドレスまたは IP アドレス範囲で指定した送信元メール サーバーからの受信メッセージすべてについて、スパム フィルターをスキップします。IP Allow List: Skip spam filtering for all incoming messages from the source email servers that you specify by IP address or IP address range. これらのソースからのメッセージでスパム フィルター処理が引き続き発生する可能性があるシナリオについては、この記事の後半の 「IP 許可一覧のソースからのメッセージがフィルター処理されるシナリオ」セクションを参照してください。For scenarios where spam filtering might still occur on messages from these sources, see the Scenarios where messages from sources in the IP Allow List are still filtered section later in this article. IP 許可一覧が全体の差出人セーフ リスト戦略に適合する方法の詳細については、「EOP で差出人セーフ リストを作成する」 を参照してくださいFor more information about how the IP Allow List should fit into your overall safe senders strategy, see Create safe sender lists in EOP.

  • IP ブロックリスト: IP アドレスまたは IP アドレス範囲で指定した送信元メール サーバーからの受信メッセージをすべてブロックします。IP Block List: Block all incoming messages from the source email servers that you specify by IP address or IP address range. 受信メッセージは拒否され、スパムとしてマークされ、追加のフィルター処理は行われません。The incoming messages are rejected, are not marked as spam, and no additional filtering occurs. IP ブロック 一覧を全体的にブロックする送信者戦略に適合する方法の詳細については、「EOP でブロック送信者リストを作成する」 を参照してくださいFor more information about how the IP Block List should fit into your overall blocked senders strategy, see Create block sender lists in EOP.

  • セーフ リスト: セーフ リストは 、お客様の構成を必要とする Microsoft データセンターの動的な許可リストです。Safe list: The safe list is a dynamic allow list in the Microsoft datacenter that requires no customer configuration. Microsoft は、サブスクリプションからさまざまなサード パーティのリストへの信頼できる電子メール ソースを識別します。Microsoft identifies these trusted email sources from subscriptions to various third-party lists. セーフ リストの使用を有効または無効にします。セーフ リストでソース メール サーバーを構成できません。You enable or disable the use of the safe list; you can't configure the source email servers on the safe list. セーフ リスト上の電子メール サーバーからの受信メッセージでは、スパム フィルターはスキップされます。Spam filtering is skipped on incoming messages from the email servers on the safe list.

このトピックでは、セキュリティ & コンプライアンス センターまたは PowerShell で既定の接続フィルター ポリシーを構成する方法について説明します (Exchange Online のメールボックスを持つ Microsoft 365 組織の Exchange Online PowerShell、Exchange Online メールボックスのない組織のスタンドアロン EOP PowerShell)。This topic describes how to configure the default connection filter policy in the Security & Compliance Center or in PowerShell (Exchange Online PowerShell for Microsoft 365 organizations with mailboxes in Exchange Online; standalone EOP PowerShell for organizations without Exchange Online mailboxes). EOP が接続フィルターを使用する方法の詳細については、「スパム対策保護」を 参照してくださいFor more information about how EOP uses connection filtering is part of your organization's overall anti-spam settings, see see Anti-spam protection.

注意

IP 許可一覧、セーフ リスト、および IP ブロック リストは、組織内の電子メールを許可またはブロックする全体的な戦略の 1 部です。The IP Allow List, safe list, and the IP Block List are one part of your overall strategy to allow or block email in your organization. 詳細については、「差出人セーフ リストの作成」および 「受信拒否 リストの作成」を参照してくださいFor more information, see Create safe sender lists and Create blocked sender lists.

はじめに把握しておくべき情報What do you need to know before you begin?

  • https://protection.office.com/ でセキュリティ/コンプライアンス センターを開きます。You open the Security & Compliance Center at https://protection.office.com/. [スパム対策の設定] ページに直接移動するには、https://protection.office.com/antispam を使用します。To go directly to the Anti-spam settings page, use https://protection.office.com/antispam.

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。To connect to Exchange Online PowerShell, see Connect to Exchange Online PowerShell. スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。To connect to standalone EOP PowerShell, see Connect to Exchange Online Protection PowerShell.

  • この記事の手順を実行する際には、あらかじめ Exchange Online でアクセス許可を割り当てる必要があります。You need to be assigned permissions in Exchange Online before you can do the procedures in this article:

    • 既定の接続フィルター ポリシーを変更するには、組織の管理役割グループまたはセキュリティ管理者役割グループの メンバーである 必要があります。To modify the default connection filter policy, you need to be a member of the Organization Management or Security Administrator role groups.
    • 既定の接続フィルター ポリシーへの読み取り専用アクセスでは、グローバル リーダーまたはセキュリティリーダーの役割グループの メンバーである 必要があります。For read-only access to the default connection filter policy, you need to be a member of the Global Reader or Security Reader role groups.

    詳細については、「Exchange Online のアクセス許可」を参照してください。For more information, see Permissions in Exchange Online.

    :Notes:

    • Microsoft 365 管理センターで、対応する Azure Active Directory の役割にユーザーを追加すると、ユーザーには、必要なアクセス許可 および Microsoft 365 のその他の機能に必要なアクセス許可が付与されます。Adding users to the corresponding Azure Active Directory role in the Microsoft 365 admin center gives users the required permissions and permissions for other features in Microsoft 365. 詳細については、「管理者の役割について」を参照してください。For more information, see About admin roles.
    • Exchange Online閲覧専用の組織管理 の役割グループが この機能への読み取り専用アクセス権も付与します。The View-Only Organization Management role group in Exchange Online also gives read-only access to the feature.
  • 許可またはブロックする電子メール サーバー (送信者) の送信元 IP アドレスを検索するには、メッセージ ヘッダーの接続 IP (CIP) ヘッダー フィールドを確認します。To find the source IP addresses of the email servers (senders) that you want to allow or block, you can check the connecting IP (CIP) header field in the message header. さまざまな電子メール クライアントでメッセージ ヘッダーを表示するには 、「Outlook でインターネット メッセージ ヘッダーを表示する」を参照してくださいTo view a message header in various email clients, see View internet message headers in Outlook.

  • IP 許可一覧は IP ブロック リストよりも優先されます (両方のリストのアドレスはブロックされません)。The IP Allow List takes precedence over the IP Block List (an address on both lists is not blocked).

  • IP 許可一覧と IP ブロック リストは、それぞれ最大 1273 エントリをサポートします。エントリは単一の IP アドレス、IP アドレス範囲、または Classless InterDomain Routing (CIDR) IP です。The IP Allow List and the IP Block List each support a maximum of 1273 entries, where an entry is a single IP address, an IP address range, or a Classless InterDomain Routing (CIDR) IP.

既定の接続&ポリシーを変更するには、セキュリティ コンプライアンス センターを使用します。Use the Security & Compliance Center to modify the default connection filter policy

  1. [セキュリティ & コンプライアンス センター] で、[脅威管理ポリシー スパム > > 対策] に移動しますIn the Security & Compliance Center and go to Threat management > Policy > Anti-Spam.

  2. [スパム対策 の設定] ページで、[展開] アイコンをクリックして [接続フィルター ポリシー] を展開し、ポリシーの編集 ![ ] をクリックしますOn the Anti-spam settings page, expand Connection filter policy by clicking Expand icon, and then click Edit policy.

  3. 表示される 既定の フライアウトで、次の設定を構成します。In the Default flyout that appears, configure any of the following settings:

    • 説明: 省略可能な説明テキストを入力します。Description: Enter optional descriptive text.

    • IP 許可一覧: [編集] をクリックしますIP Allow List: Click Edit. 表示される IP 許可一覧 のフライアウトで、次の構文を使用して、[アドレスまたはアドレス範囲] ボックスに IPV4 アドレスを入力します。In the IP Allow List flyout that appears, enter an IPV4 address in the Address or address range box using the following syntax:

      • 単一 IP: たとえば、192.168.1.1。Single IP: For example, 192.168.1.1.

      • IP 範囲: たとえば、192.168.0.1-192.168.0.254 です。IP range: For example, 192.168.0.1-192.168.0.254.

      • CIDR IP: たとえば、192.168.0.1/25。CIDR IP: For example, 192.168.0.1/25. 有効なネットワーク マスクの値は、/24 ~ /32 です。Valid network mask values are /24 through /32. CIDR IP マスク値 /1 ~ /23 のスパム フィルター処理をスキップするには、この記事の後半の「利用可能な範囲外の CIDR IP のスパム フィルターをスキップする」を参照してください。To skip spam filtering for CIDR IP mask values /1 to /23, see the Skip spam filtering for a CIDR IP outside of the available range section later in this article.

      IP アドレスまたはアドレス範囲を追加するには、[アイコンの追加 ] を  クリックします To add the IP address or address range, click Add Add Icon. エントリを削除するには、[許可された IP アドレス] でエントリを選択 し、[ 削除] をクリック  します To remove an entry, select the entry in Allowed IP Address and then click Remove Remove. 完了したら、[保存] をクリックします。When you're finished, click Save.

    • IP ブロック リスト: [編集] をクリックしますIP Block List: Click Edit. 表示される [IP ブロック一 覧] フライアウトで、[IP 許可一覧] 設定で説明したように、[アドレスまたはアドレス範囲] ボックスに単一の IP、IP 範囲、または CIDR IP を入力します。In the IP Block List flyout that appears, enter a single IP, IP range, or CIDR IP in the Address or address range box as previously described in the IP Allow List setting.

      IP アドレスまたはアドレス範囲を追加するには、[アイコンの追加 ] を  クリックします To add the IP address or address range, click Add Add Icon. エントリを削除するには、[ブロックされた IP アドレス] でエントリを選択 し、[ 削除] をクリック  します To remove an entry, select the entry in Blocked IP Address and then click Remove Remove. 完了したら、[保存] をクリックします。When you're finished, click Save.

    • セーフ リストを有効にする: スパム フィルターをスキップする既知の優れた送信者を識別するために、セーフ リストの使用を有効または無効にします。Turn on safe list: Enable or disable the use of the safe list to identify known, good senders that will skip spam filtering.

  4. 完了したら、[保存] をクリックします。When you're finished, click Save.

既定の接続&ポリシーを表示するには、セキュリティ コンプライアンス センターを使用します。Use the Security & Compliance Center to view the default connection filter policy

  1. [セキュリティ & コンプライアンス センター] で、[脅威管理ポリシー スパム > > 対策] に移動しますIn the Security & Compliance Center and go to Threat management > Policy > Anti-Spam.

  2. [スパム 対策の設定] ページ で、[接続フィルター ポリシー] という名前の既定のポリシーの横にあるドロップダウン をクリックしますOn the Anti-spam settings page, click the drop down next to the default policy named Connection filter policy.

  3. 開くドロップダウンにポリシー設定が表示されます。The policy settings are displayed in the drop down that opens.

Exchange Online PowerShell またはスタンドアロン EOP PowerShell を使用して既定の接続フィルター ポリシーを変更するUse Exchange Online PowerShell or standalone EOP PowerShell to modify the default connection filter policy

次の構文を使用してください。Use the following syntax:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

:Notes:

  • 有効な IP アドレスまたはアドレス範囲の値は次のとおりです。Valid IP address or address range values are:

    • 単一 IP: たとえば、192.168.1.1。Single IP: For example, 192.168.1.1.

    • IP 範囲: たとえば、192.168.0.1-192.168.0.254 です。IP range: For example, 192.168.0.1-192.168.0.254.

    • CIDR IP: たとえば、192.168.0.1/25。CIDR IP: For example, 192.168.0.1/25. 有効なネットワーク マスクの値は、/24 ~ /32 です。Valid network mask values are /24 through /32.

  • 指定 した 値で既存のエントリを上書きするには、次の構文を使用します IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeNTo overwrite any existing entries with the values you specify, use the following syntax: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.

  • の既存のエントリ に影響を与えることなく IP アドレスまたはアドレス範囲を追加または削除するには、次の構文を使用します @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}To add or remove IP addresses or address ranges without affecting other existing entries, use the following syntax: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.

  • IP 許可一覧または IP ブロック 一覧を空にするには、値を使用します $nullTo empty the IP Allow List or IP Block List, use the value $null.

次の使用例は、IP 許可一覧と IP ブロック 一覧を、指定した IP アドレスとアドレス範囲で構成します。This example configures the IP Allow List and the IP Block List with the specified IP addresses and address ranges.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

次の使用例は、指定した IP アドレスとアドレス範囲を IP 許可一覧から追加および削除します。This example adds and removes the specified IP addresses and address ranges from the IP Allow List.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

構文とパラメーターの詳細については 、「Set-HostedConnectionFilterPolicy」を参照してくださいFor detailed syntax and parameter information, see Set-HostedConnectionFilterPolicy.

正常な動作を確認する方法How do you know this worked?

既定の接続フィルター ポリシーが正常に変更されたことを確認するには、次の手順を実行します。To verify that you've successfully modified the default connection filter policy, do any of the following steps:

  • [セキュリティ & コンプライアンス センター] で、[脅威管理ポリシー] [スパム対策] に移動し、[接続フィルター ポリシー ] (常にオン) の横にあるドロップダウン をクリックし、 > > > 設定を確認します。 In the Security & Compliance Center, go to Threat management > Policy > Anti-Spam > click the drop down next to Connection filter policy (always ON), and verify the settings.

  • Exchange Online PowerShell またはスタンドアロン EOP PowerShell で、次のコマンドを実行し、設定を確認します。In Exchange Online PowerShell or standalone EOP PowerShell, run the following command and verify the settings:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • IP 許可一覧のエントリからテスト メッセージを送信します。Send a test message from an entry on the IP Allow List.

IP 許可一覧に関するその他の考慮事項Additional considerations for the IP Allow List

次のセクションでは、IP 許可一覧を構成する際に知る必要があるその他の項目を特定します。The following sections identify additional items that you need to know about when you configure the IP Allow List.

利用可能な範囲外の CIDR IP のスパム フィルター処理をスキップするSkip spam filtering for a CIDR IP outside of the available range

この記事で前述したように、IP 許可一覧では、ネットワーク マスク /24 ~ /32 の CIDR IP のみを使用できます。As described earlier in this article, you can only use a CIDR IP with the network mask /24 to /32 in the IP Allow List. /1 ~ /23 範囲の送信元メール サーバーからのメッセージに対するスパム フィルターをスキップするには、Exchange メール フロー ルール (トランスポート ルールとも呼ばれる) を使用する必要があります。To skip spam filtering on messages from source email servers in the /1 to /23 range, you need to use Exchange mail flow rules (also known as transport rules). ただし、/1 ~ /23 CIDR IP 範囲の IP アドレスが Microsoft の独自のブロック リストまたはサード パーティ製のブロック リストに表示される場合、メッセージはブロックされますので、可能な限りこれを行う必要はありません。But, we recommend that you don't do this if at all possible, because the messages will be blocked if an IP address in the /1 to /23 CIDR IP range appears on any of Microsoft's proprietary or third-party block lists.

潜在的な問題を十分に認識したので、(少なくとも) 次の設定でメール フロー ルールを作成して、これらの IP アドレスからのメッセージがスパム フィルター処理をスキップする必要があります。Now that you're fully aware of the potential issues, you can create a mail flow rule with the following settings (at a minimum) to ensure that messages from these IP addresses will skip spam filtering:

  • ルールの条件:送信者 IP アドレスがこれらの範囲または完全に一致する場合は、このルールを適用します > > > (/1 ~ /23 ネットワーク マスクを使用して CIDR IP を入力します)。Rule condition: Apply this rule if > The sender > IP address is in any of these ranges or exactly matches > (enter your CIDR IP with a /1 to /23 network mask).

  • ルール アクション: メッセージのプロパティを変更 > する スパム信頼レベル (SCL) > バイパス スパム フィルターを設定しますRule action: Modify the message properties > Set the spam confidence level (SCL) > Bypass spam filtering.

ルールの監査、ルールのテスト、特定の期間中のルールのアクティブ化、その他の選択を行います。You can audit the rule, test the rule, activate the rule during a specific time period, and other selections. ルールを施行する前に一定期間ルールをテストすることをお勧めします。We recommend testing the rule for a period before you enforce it. 詳細については 、「Exchange Online でメール フロー ルールを管理する」を参照してくださいFor more information, see Manage mail flow rules in Exchange Online.

同じソースからの選択的なメール ドメインのスパム フィルターをスキップするSkip spam filtering on selective email domains from the same source

通常、IP 許可一覧に IP アドレスまたはアドレス範囲を追加すると、そのメール ソースからのすべての受信メッセージを信頼できます。Typically, adding an IP address or address range to the IP Allow List means you trust all incoming messages from that email source. しかし、そのソースが複数のドメインから電子メールを送信し、それらのドメインの一部に対するスパム フィルターをスキップするが、他のドメインには送信しない場合は、どうなるでしょうか。But what if that source sends email from multiple domains, and you want to skip spam filtering for some of those domains, but not others? IP 許可一覧を単独で使用することはできませんが、メール フロー ルールと組み合わせて IP 許可一覧を使用できます。You can't use the IP Allow List alone to do this, but you can use the IP Allow List in combination with a mail flow rule.

たとえば、送信元電子メール サーバー 192.168.1.25 は、ドメイン contoso.com、fabrikam.com、および tailspintoys.com から電子メールを送信しますが、fabrikam.com の送信者からのメッセージに対するスパム フィルター処理のみをスキップする必要があります。For example, the source email server 192.168.1.25 sends email from the domains contoso.com, fabrikam.com, and tailspintoys.com, but you only want to skip spam filtering for messages from senders in fabrikam.com. これを行うには、次の手順を使用します。To do this, use the following steps:

  1. IP 許可一覧に 192.168.1.25 を追加します。Add 192.168.1.25 to the IP Allow List.

  2. 次の設定を使用してメール フロー ルールを構成します (少なくとも)。Configure a mail flow rule with the following settings (at a minimum):

    • ルール の条件: 送信者 IP アドレスがこれらの範囲にある場合、または > > > 192.168.1.25 と完全に一致する場合は、このルールを適用します (前の手順で IP 許可一覧に追加したのと同じ IP アドレスまたはアドレス範囲)。Rule condition: Apply this rule if > The sender > IP address is in any of these ranges or exactly matches > 192.168.1.25 (the same IP address or address range that you added to the IP Allow List in the previous step).

    • ルールアクション: メッセージのプロパティを変更 > する スパム信頼レベル (SCL) > 0 を設定しますRule action: Modify the message properties > Set the spam confidence level (SCL) > 0.

    • ルール例外:送信者ドメイン は fabrikam.com (スパム フィルターをスキップするドメインまたはドメイン > > のみ) です。Rule exception: The sender > domain is > fabrikam.com (only the domain or domains that you want to skip spam filtering).

IP 許可一覧のソースからのメッセージがまだフィルター処理されるシナリオScenarios where messages from sources in the IP Allow List are still filtered

IP 許可一覧内の電子メール サーバーからのメッセージは、次のシナリオでスパム フィルター処理の対象になります。Messages from an email server in your IP Allow List are still subject to spam filtering in the following scenarios:

  • IP 許可一覧の IP アドレスは、Microsoft 365 の任意のテナント内のオンプレミスの IP ベースの受信コネクタ (このテナント Aと呼ぶ)、および最初にメッセージを検出したテナント A と EOP サーバーで構成され、両方とも Microsoft データセンター内の同じ Active Directory フォレストに存在します。An IP address in your IP Allow List is also configured in an on-premises, IP-based inbound connector in any tenant in Microsoft 365 (let's call this Tenant A), and Tenant A and the EOP server that first encounters the message both happen to be in the same Active Directory forest in the Microsoft datacenters. このシナリオでは 、IPV:CAL がメッセージのスパム対策メッセージ ヘッダー (メッセージによってバイパスされたスパム フィルターを示す) に追加されますが、メッセージはスパム フィルター処理の対象です。In this scenario, IPV:CAL is added to the message's anti-spam message headers (indicating the message bypassed spam filtering), but the message is still subject to spam filtering.

  • IP 許可一覧と、最初にメッセージが検出された EOP サーバーを含むテナントは、Microsoft データセンター内 の異なる Active Directory フォレストに存在します。Your tenant that contains the IP Allow List and the EOP server that first encounters the message both happen to be in different Active Directory forests in the Microsoft datacenters. このシナリオでは 、IPV:CAL はメッセージ ヘッダーに追加されないので、メッセージはスパム フィルター処理の対象になります。In this scenario, IPV:CAL is not added to the message headers, so the message is still subject to spam filtering.

これらのシナリオのどちらかが発生した場合は、(少なくとも) 次の設定を使用してメール フロー ルールを作成して、問題のある IP アドレスからのメッセージがスパム フィルター処理をスキップします。If you encounter either of these scenarios, you can create a mail flow rule with the following settings (at a minimum) to ensure that messages from the problematic IP addresses will skip spam filtering:

  • ルールの条件:送信者 IP アドレスがこれらの範囲にある場合、または完全に一致する (IP アドレスまたはアドレス) 場合は、この > > > ルールを適用します。Rule condition: Apply this rule if > The sender > IP address is in any of these ranges or exactly matches > (your IP address or addresses).

  • ルール アクション: メッセージのプロパティを変更 > する スパム信頼レベル (SCL) > バイパス スパム フィルターを設定しますRule action: Modify the message properties > Set the spam confidence level (SCL) > Bypass spam filtering.

Microsoft 365 の新機能New to Microsoft 365?


LinkedIn Learning New to Microsoft 365 のショート アイコンThe short icon for LinkedIn Learning New to Microsoft 365? LinkedIn Learning が提供する Microsoft 365 管理者と IT プロ向け無料のビデオ コースをご覧ください。Discover free video courses for Microsoft 365 admins and IT pros, brought to you by LinkedIn Learning.