複数の場所 (Exchange Onlineとオンプレミスの Exchange) 内のメールボックスを使用してメール フローを管理する
概要: Exchange ハイブリッド環境でメール フローを管理する方法。これは、一部のメールボックスがオンプレミスであり、一部が Microsoft 365 またはOffice 365にある場合です。
このトピックでは、Microsoft 365 または Office 365を使用した次の複雑なメール フロー シナリオについて説明します。
シナリオ 1: MX レコードが Microsoft 365 または Office 365 を指し、Microsoft 365 または Office 365はすべてのメッセージをフィルター処理します
シナリオ 2: MX レコードが Microsoft 365 またはOffice 365を指し示し、メールがオンプレミスでフィルター処理される
注:
このトピック内の例では、ドメイン contoso.comを所有する架空の組織 Contoso が使用されます。 Contoso 電子メール サーバーの IP アドレスは 131.107.21.231 で、サード パーティ プロバイダーは IP アドレスに 10.10.10.1 を使用します。 これらは例にすぎません。 必要に応じて、この例を流用して、組織のドメイン名と公開 IP アドレスに修正してください。
一部のメールボックスが Microsoft 365 またはOffice 365にあり、一部のメールボックスが組織の電子メール サーバー上にあるメール フローを管理する
シナリオ 1: MX レコードが Microsoft 365 または Office 365 を指し、Microsoft 365 または Office 365はすべてのメッセージをフィルター処理します
- メールボックスをExchange Onlineに移行し、組織の電子メール サーバー (オンプレミス サーバー) にいくつかのメールボックスを保持する必要があります。 スパム フィルタリング ソリューションとして Microsoft 365 または Office 365 を使用し、Microsoft 365 または Office 365を使用して、オンプレミス サーバーからインターネットにメッセージを送信する必要があります。 Microsoft 365 または Office 365は、すべてのメッセージを送受信します。
ハイブリッド メール フローの設定が必要なほとんどのお客様は、Microsoft 365 または Office 365ですべてのフィルター処理とルーティングを実行できるようにする必要があります。 この設定では最も正確なスパム フィルター処理が提供されるため、MX レコードを Microsoft 365 またはOffice 365に指定することをお勧めします。 このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
Microsoft 365 または Office 365にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Onlineでユーザー メールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 またはOffice 365に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
MX レコード: MX レコードを Microsoft 365 または Office 365の形式でポイントします:<domainKey-com.mail.protection.outlook.com>
たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 contoso-com.mail.protection.outlook.com.
SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365、EOP に接続するオンプレミス サーバーからの IP アドレス、および組織に代わって電子メールを送信するサード パーティが一覧表示されます。 たとえば、組織のメール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -allまたは、サード パーティの要件に応じて、次の例に示すように、サード パーティのドメインを含める必要がある場合があります。
v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
Exchange 管理センター (EAC) で、コネクタ ウィザードを使用して、次のシナリオで Microsoft 365 または Office 365 のコネクタを使用してメール フローを構成します。
Microsoft 365 またはOffice 365から組織の電子メール サーバーにメッセージを送信する
オンプレミス サーバーから Microsoft 365 または Office 365 にメッセージを送信する
次のいずれかのシナリオが組織に適用される場合は、オンプレミス サーバーから Microsoft 365 または Office 365 へのメール送信をサポートするコネクタを作成する必要があります。
組織はクライアントの代わりにメッセージを送信することを承認されていますが、組織はドメインを所有していません。 たとえば、contoso.com は、contoso.com に属していない fabrikam.com からメールを送信することを承認されています。
組織は、Microsoft 365 または Office 365を介して配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) をインターネットに中継します。
コネクタを作成するには、次の 2 つのスクリーンショットに示すように、[新しい EAC] と [クラシック EAC] の [電子メール サーバーの電子メールを識別 Office 365する方法] 画面で、コネクタ作成ウィザードの最初のオプションをそれぞれ選択します。
![Exchange 用ハイブリッド接続ウィザードの [新しいコネクタ] 画面を示すスクリーンショット。](../exchangeonline/media/0b3ced5f-3f0e-4cc3-aff4-f95e651189e0.png)
この構成により、Microsoft 365 またはOffice 365は、証明書を使用して電子メール サーバーを識別できます。 このシナリオでは、証明書 CN またはサブジェクトの別名 (SAN) は組織に属するドメインを含みます。 詳しくは、「Identifying email from your email server」を参照してください。 コネクタ構成の詳細については、「パート 2: メール サーバーから Microsoft 365 またはOffice 365に送信するようにメールを構成する」を参照してください。
次のシナリオでは、銀行との TLS の強制など、パートナーのいずれかとの特殊な要件がない限り、コネクタは必要ありません。
Microsoft 365 またはOffice 365からパートナー組織にメールを送信する
パートナー組織から Microsoft 365 またはOffice 365にメールを送信する
注:
組織で Exchange 2010 以降を使用している場合は、ハイブリッド構成ウィザードを使用して、Microsoft 365 またはOffice 365のコネクタとオンプレミスの Exchange サーバーでコネクタを構成することをお勧めします。 このシナリオでは、ドメインの MX レコードが組織の電子メール サーバーを指すことはできません。
シナリオ 2: MX レコードが Microsoft 365 またはOffice 365を指し示し、メールがオンプレミスでフィルター処理される
- メールボックスをExchange Onlineに移行し、組織のメール サーバー (オンプレミス サーバー) にいくつかのメールボックスを保持する必要があります。 既にオンプレミス環境に存在するフィルタリング ソリューションとコンプライアンス ソリューションを利用したいと考えています。 インターネットからクラウド メールボックスに送信されるすべてのメッセージ、またはクラウド メールボックスからインターネットに送信されるメッセージは、オンプレミス のサーバーを介してルーティングする必要があります。
オンプレミス環境でメールをフィルター処理するビジネス上または規制上の理由がある場合は、ドメインの MX レコードを Microsoft 365 または Office 365にポイントし、一元化されたメールトランスポートを有効にすることをお勧めします。 このセットアップは、最適なスパム フィルタリングを提供し、組織の IP アドレスを保護します。 このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
Microsoft 365 または Office 365にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Onlineでユーザー メールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 またはOffice 365に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
- MX レコード: MX レコードを Microsoft 365 または Office 365の形式でポイントします:<domainKey-com.mail.protection.outlook.com>
たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 contoso-com.mail.protection.outlook.com.
SPF レコード: このレコードには、有効な送信者として Microsoft 365 またはOffice 365と、EOP に接続するオンプレミス サーバーからの IP アドレス、および組織に代わって電子メールを送信するサード パーティが一覧表示されます。 たとえば、組織の電子メール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
オンプレミス コンプライアンス ソリューションでは、メール トランスポートの集中管理 (CMT) を使用します。
インターネットからExchange Onlineのメールボックスに送信されたメールは、最初にオンプレミス サーバーに送信され、メールボックスに配信されるExchange Onlineに戻ります。 シナリオ 2 の図で 1 の線はこのパスを表しています。
Exchange Onlineから送信され、インターネット宛てのメールは、まずオンプレミスサーバーに送信され、次にExchange Onlineに戻り、インターネットに配信されます。 シナリオ 2 の図の 4 の線はこのパスを表しています。
この構成を実現するには、Hybrid Configuration Wizardまたはコマンドレット経由でコネクタを作成し、CMT を有効にします。 CMT の詳細については、「 Exchange ハイブリッド展開のトランスポート オプション」を参照してください。
次のシナリオでは、銀行との TLS の強制など、パートナーのいずれかとの特殊な要件がない限り、コネクタは必要ありません。
Microsoft 365 またはOffice 365からパートナー組織にメールを送信する
パートナー組織から Microsoft 365 またはOffice 365にメールを送信する
シナリオ 3: MX レコードはオンプレミス サーバーを指している
- メールボックスをExchange Onlineに移行し、組織の電子メール サーバー (オンプレミス サーバー) にいくつかのメールボックスを保持する必要があります。 既にオンプレミス電子メール環境に存在するフィルタリング ソリューションとコンプライアンス ソリューションを利用したいと考えています。 インターネットからクラウド メールボックスに送信されるすべてのメッセージ、またはクラウド メールボックスからインターネットに送信されるメッセージは、オンプレミス サーバーを介してルーティングする必要があります。 ドメインの MX レコードがオンプレミス サーバーを指している必要があります。
シナリオ 2 の代わりに、Microsoft 365 またはOffice 365ではなく、ドメインの MX レコードを組織のメール サーバーにポイントできます。 組織によってはビジネス上または規制上の理由でこのセットアップが必要な場合がありますが、シナリオ 2 を使用すれば、フィルタリングがより適切に機能します。
このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
ドメインの MX レコードがオンプレミスの IP アドレスを指している必要がある場合は、次のベスト プラクティスを使用します。
Microsoft 365 または Office 365にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Onlineでユーザー メールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 またはOffice 365に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
SPF レコード: このレコードには、有効な送信者として Microsoft 365 またはOffice 365が一覧表示されます。 また、EOP に接続されたオンプレミス サーバーからの IP アドレスと、組織の代わりに電子メールを送信するサード パーティも含める必要があります。 たとえば、組織のメール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
Microsoft 365 または Office 365 を介してオンプレミス サーバーからインターネットにメッセージを中継していないため、次のシナリオではコネクタを技術的に作成する必要はありません。 ただし、ある時点で MX レコードを Microsoft 365 または Office 365 を指すよう変更する場合は、コネクタを作成する必要があります。そのため、前もって行うことをお勧めします。 Exchange 管理センターで、コネクタ ウィザードを使用してパート 2: メール サーバーから Microsoft 365 またはOffice 365に送信するようにメールを構成するか、ハイブリッド構成ウィザードを使用してコネクタを作成します。
Microsoft 365 またはOffice 365から組織のメール サーバーにメールを送信する
オンプレミス サーバーから Microsoft 365 または Office 365 にメールを送信する
メッセージが MX を介して組織のオンプレミス サーバーに送信されるようにするには、「パートナー組織から送信される電子メールに適用できるセキュリティ制限の例」の「例 3: パートナー組織のドメイン ContosoBank.com からのすべてのメールが特定の IP アドレスの範囲から送信されるよう要求する」に従ってください。
シナリオ 4: MX レコードは、メッセージをフィルタリングして、コンプライアンス ソリューションを提供するオンプレミス サーバーを指している。 オンプレミス サーバーは、Microsoft 365 またはOffice 365を介してインターネットにメッセージを中継する必要があります。
- メールボックスをExchange Onlineに移行し、組織の電子メール サーバー (オンプレミス サーバー) にいくつかのメールボックスを保持する必要があります。 既にオンプレミス電子メール環境に存在するフィルタリング ソリューションとコンプライアンス ソリューションを利用したいと考えています。 オンプレミス サーバーから送信されるすべてのメッセージは、Microsoft 365 経由で中継するか、インターネットにOffice 365する必要があります。 ドメインの MX レコードがオンプレミス サーバーを指している必要があります。
このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
ドメインの MX レコードがオンプレミスの IP アドレスを指している必要がある場合は、次のベスト プラクティスを使用します。
Microsoft 365 または Office 365にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Onlineでユーザー メールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 またはOffice 365に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
MX レコード: 次の形式を使用してオンプレミス サーバーを指すように MX レコードを設定します。mail.<domainKey>.com
たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 .mail.contoso.com.
SPF レコード: このレコードには、有効な送信者として Microsoft 365 またはOffice 365が一覧表示されます。 また、EOP に接続されたオンプレミス サーバーからの IP アドレスと、組織の代わりに電子メールを送信するサード パーティも含める必要があります。 たとえば、組織の電子メール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
EAC で、コネクタ ウィザードを使用して、Microsoft 365 または Office 365 で次のシナリオのコネクタを使用してメール フローを構成します。
Microsoft 365 またはOffice 365から組織のメール サーバーにメールを送信する
オンプレミス サーバーから Microsoft 365 または Office 365 にメールを送信する
次のいずれかのシナリオが組織に適用される場合、"オンプレミス サーバーから Microsoft 365 または Office 365 にメールを送信する" シナリオをサポートするコネクタを作成します。
組織はクライアントの代わりにメールを送信することを承認されていますが、組織はドメインを所有していません。 たとえば、contoso.com は、contoso.com に属していない fabrikam.com からメールを送信することを承認されています。
組織は、Microsoft 365 または Office 365を介して配信不能レポート (NDR) をインターネットに中継します。
ドメイン contoso.com の MX レコードは、オンプレミス サーバーを指し、組織内のユーザーはメッセージを自動的に組織外のメール アドレスに転送しています。 たとえば、 kate@contoso.com 転送が有効になっており、すべてのメッセージが に移動します kate@tailspintoys.com。 メッセージが Microsoft 365 またはOffice 365に到着する時点で、 にkate@contoso.comメッセージを送信する場合john@fabrikam.com、送信者ドメインは fabrikam.com され、受信者ドメインは tailspin.com されます。 送信者ドメインと受信者ドメインは、組織に属していません。
コネクタを作成するには、次の 2 つのスクリーンショットに示すように、コネクタ作成ウィザードの [How should Microsoft 365 or Office 365 identify email for your email server]\(電子メール サーバーの電子メールを識別する方法\) 画面で、それぞれ [新しい EAC] と [クラシック EAC] の最初のオプションを選択します。
このオプションを使用すると、Microsoft 365 または Office 365 は、証明書を使用して電子メール サーバーを識別できます。 このシナリオでは、証明書 CN またはサブジェクトの別名 (SAN) は組織に属するドメインを含みます。 詳しくは、「Identifying email from your email server」を参照してください。 コネクタ構成の詳細については、「パート 2: メール サーバーから Microsoft 365 またはOffice 365に送信するようにメールを構成する」を参照してください。
- パートナー組織とのセキュリティで保護されたメール フロー用のコネクタを設定する を行い、MX を介して組織のオンプレミス サーバーにメッセージが送信されるようにします。
関連項目
Exchange Online、Microsoft 365、Office 365のメール フローのベスト プラクティス (概要)
Microsoft 365 または Office 365を使用して、すべてのメールボックスとメール フローを管理する
Microsoft 365 または Office 365 でサード パーティのクラウド サービスを使用してメール フローを管理する
Microsoft 365 または Office 365 とオンプレミスのメールボックスを使用して、サード パーティのクラウド サービスを使用してメール フローを管理する