Microsoft 365 を介して電子メール メッセージを中継するように証明書ベースのコネクタを構成する

はじめに

組織にハイブリッド展開 (オンプレミスと Microsoft 365) がある場合は、Microsoft 365 を介して電子メール メッセージをインターネットに中継する必要があります。 つまり、オンプレミス環境 (メールボックス、アプリケーション、スキャナー、FAX マシンなど) からインターネット受信者に送信したメッセージは、最初に Microsoft 365 にルーティングされてから送信されます。

図は、Microsoft 365 を介してオンプレミスの電子メール サーバーからインターネットに中継された電子メールを示しています。

図: Emailオンプレミスの電子メール サーバーから Microsoft 365 を介してインターネットに中継される

このリレーを正しく機能させるには、組織は次の手順に従う必要があります。

  1. Microsoft 365 で 1 つ以上のコネクタを作成し、送信 IP アドレスまたは証明書を使用して、オンプレミスのメール サーバーからの電子メール メッセージを認証します。

  2. Microsoft 365 経由で中継するようにオンプレミス サーバーを構成します。

  3. 次のいずれかの条件に該当するように構成します。

    • 送信元ドメイン

      送信者ドメインは組織に属しています (つまり、Microsoft 365 にドメインを登録しています)。

      メモ 詳細については、「 Microsoft 365 でユーザーとドメインを追加する」を参照してください。

    • 証明書ベースのコネクタ構成

      オンプレミスの電子メール サーバーは、証明書を使用して Microsoft 365 に電子メールを送信するように構成されており、証明書のCommon-Name (CN) またはサブジェクト代替名 (SAN) には、Microsoft 365 に登録したドメイン名が含まれており、そのドメインを持つ Microsoft 365 に証明書ベースのコネクタを作成しました。

手順 3 のいずれの条件も満たしていない場合、Microsoft 365 では、オンプレミス環境から送信されたメッセージが組織に属しているかどうかを判断できません。 そのため、ハイブリッド展開を使用する場合、手順 3 のどちらかの条件が満たされていることを確認するようにお勧めします。

概要

2017 年 7 月 5 日以降、ハイブリッド環境のお客様が手順 3 のいずれかの条件に対して環境を構成していない場合、Microsoft 365 では電子メール メッセージの中継はサポートされなくなりました。 そのようなメッセージは拒否され、次のエラー メッセージをトリガーします。

550 5.7.64 Relay Access Denied ATTR36。 詳細については、「 KB 3169958」を参照してください。

さらに、組織が 2017 年 7 月 5 日以降に次のすべてのシナリオにおいて正常に動作することを必要とする場合、「はじめに」セクションの手順 3 にある 2 番目の条件 (「証明書ベースのコネクタ構成」) を満たす必要があります。

注:

この新しい処理の当初の期限は 2017 年 2 月 1 日でしたが、お客様が十分な時間をもって必要な変更を行うことができるように 2017 年 7 月 5 日に延期されました。

Microsoft 365 が既定で電子メール メッセージの中継をサポートしていないシナリオ

  • 組織は、オンプレミス環境からインターネット上の受信者に配信不能レポート (NDR) を送信する必要があり、Microsoft 365 を介してメッセージを中継する必要があります。 たとえば、だれかが john@contoso.com (以前に組織のオンプレミス環境に存在していたユーザー) に電子メール メッセージを送信したとします。 これにより、送信元に NDR が送信されます。

  • 組織は、組織が Microsoft 365 に追加していないドメインから、オンプレミス環境の電子メール サーバーからメッセージを送信する必要があります。 たとえば、組織 (contoso.com) が自分に属していない fabrikam.com をドメインとして電子メールを送信する場合です。

  • 転送ルールはオンプレミス サーバーで構成され、メッセージは Microsoft 365 経由で中継されます。

    たとえば、組織のドメインが contoso.com であるとします。 組織のオンプレミス サーバー上に存在するユーザーである kate@contoso.com は、すべてのメッセージを kate@tailspintoys.com に転送できます。 john@fabrikam.com が kate@contoso.com にメッセージを送信する場合、メッセージは自動的に kate@tailspintoys.com に転送されます。

    Microsoft 365 の観点から、メッセージは次の宛先にjohn@fabrikam.comkate@tailspintoys.com送信されます。 Kate の電子メールは転送されるため、送信者ドメインや受信者ドメインのどちらも組織に属していません。

図は、Microsoft 365 経由での中継が許可されている contoso.com からの転送されたメッセージを示しています。

図: 手順 3 の "証明書ベースのコネクタ構成" 条件が満たされているため、Microsoft 365 経由で中継できる contoso.com からの転送されたメッセージ

詳細情報

Microsoft 365 用の証明書ベースのコネクタを設定して、メッセージをインターネットに中継できます。 そのためには、次の方法に従います。

手順 1: Microsoft 365 で証明書ベースのコネクタを作成または変更する

証明書ベースのコネクタを作成または変更するには、次の手順に従ってください。

  1. Microsoft 365 ポータル (https://portal.office.com) にサインインし、[管理] をクリックして、Exchange 管理センターを開きます。 詳細については、「Exchange Online の Exchange 管理センター[」を参照してください。

    スクリーンショットは、Exchange 管理センターを開く手順を示しています。

  2. [メール フロー]、[コネクタ] をクリックして、次のいずれかを行います。

    • コネクタがない場合は、(追加) をクリックしてコネクタを作成します。

      スクリーンショットは、Exchange 管理センターにコネクタがないことを示しています。[追加] アイコンと図形をクリックしてコネクタを作成します。

    • コネクタが既に存在する場合は、コネクタを選択し、(編集) をクリックします

      スクリーンショットは、Exchange 管理センターでコネクタを選択し、[編集] アイコンをクリックするとペンの図形が好きです。

  3. [メール フローの選択] シナリオ ページで、[出人] ボックスで [組織のメール サーバー] を選択し、[To] ボックスで Microsoft 365 を選択します。

    注:

    これにより、オンプレミス サーバーがメッセージの送信元であることを示すコネクタが作成されます。

    [差出人] ボックスで組織の電子メール サーバーを選択し、[To] ボックスで Microsoft 365 を選択する[メール フローの選択] シナリオ ページのスクリーンショット。

  4. コネクタ名や他の情報を記入して [次へ] をクリックします。

  5. 新しいコネクタ」または「コネクタを編集」ページで最初のオプションを選択します。これにより、トランスポート層セキュリティ (TLS) 証明書を使用して、組織のメッセージの送信元を特定します。 オプションのドメイン名は、使用している証明書の CN 名や SAN 名と一致する必要があります。

    注:

    このドメインは、組織に属するドメインである必要があり、Microsoft 365 に追加する必要があります。 詳細については、「 Microsoft 365 でドメインを追加する」を参照してください。

    たとえば、Contoso.com は組織に属しており、組織が Microsoft 365 との通信に使用する証明書の CN 名または SAN 名の一部です。 証明書のドメインに複数のドメインが含まれる場合 (mail1.contoso.com、mail2.contoso.com など)、コネクタ UI のドメインを "*.contoso.com" にするようにお勧めします。

    注:

    ハイブリッド構成ウィザードを使用してコネクタを構成した既存のハイブリッドのお客様は、既存のコネクタを確認して、mail.contoso.com や<ホスト名>の代わりに *.contoso.com などを使用していることを確認する必要があります。contoso.com。 これは、mail.contoso.com<hostname.contoso.com> が Microsoft 365 のドメインに登録されていない可能性があるためです。

    図は、contoso.com 形式を使用するようにコネクタを設定する例を示しています。

    図: 例として "contoso.com" 形式を使用するようにコネクタを設定

手順 2: Microsoft 365 でドメインを登録する

ドメインを登録するには、次の Office 記事の手順に従ってください。

Microsoft 365 にユーザーとドメインを追加する

Microsoft 365 管理センターで [設定]、[ドメイン] をクリックして、登録されているドメインの一覧を表示します。

スクリーンショットは、登録済みドメインを表示する手順を示しています。

手順 3: オンプレミス環境の構成

オンプレミス環境を構成するには、次の手順を実行します。

  1. 組織がオンプレミス環境向けに Exchange Server を使用している場合、サーバーを構成して TLS 上でメッセージを送信します。 これを行うには、「 Microsoft 365 経由でメールをインターネットに中継するようにメール サーバーを設定する」を参照してください

    注:

    ハイブリッド構成ウィザードを既に使用している場合、ウィザードを引き続き利用できます。 このセクションにある手順 1 のサブステップ 5 に記載された条件を満たす証明書を使用するようにしてください。

  2. オンプレミス環境に証明書をインストールします。 これを行うには、「手順 6: SSL 証明書を構成する」を参照してください。

関連情報

コネクタの設定要件に対処する方法の詳細については、「コネクタに関する重要な注意事項」(英語情報) を参照してください。

Microsoft 365 経由でメッセージを中継する方法の詳細については、メール フローのベスト プラクティスの「一部のメールボックスが Microsoft 365 にあり、一部のメールボックスが組織のメール サーバーにあるメール フローを設定する」セクションを参照してください。Exchange Online および Microsoft 365 のメール フローのベスト プラクティス

さらにヘルプが必要ですか? Microsoft コミュニティまたは Exchange TechNet フォーラムにアクセスしてください。