Exchange Serverでコネクタを送信する
Exchange では、送信元 Exchange サーバーから宛先メール サーバーへの送信 SMTP 接続に送信コネクタが使用されます。 メッセージを受信者へとルーティングするために使用される送信コネクタは、メッセージの分類のルーティング解決フェーズで選択されます。 詳細については、「メール ルーティング」を参照してください。
メールボックス サーバーとエッジ トランスポート サーバーのトランスポート サービスで送信コネクタを作成できます。 送信コネクタは Active Directory に格納され、(既定では) 組織内のすべてのメールボックス サーバーに表示されます。
重要
既定では、Exchange をインストールするときに外部メール フローに送信コネクタは存在しません。 送信インターネット メール フローを有効にするには、送信コネクタを作成するか、Edge トランスポート サーバーを Exchange 組織にサブスクライブする必要があります。 詳細については、「 送信コネクタを作成してインターネット および エッジ トランスポート サーバーにメールを送信する」を参照してください。
同じ Active Directory フォレスト内の Exchange サーバー間でメールを送信する場合には、送信コネクタを設定する必要はありません。 Exchange サーバー トポロジに完全に対応している暗黙的かつ不可視の送信コネクタを使用して、内部 Exchange サーバーにメールを送信できます。 こうしたコネクタについては、「暗黙的送信コネクタ」セクションで説明します。
送信コネクタ上の重要な設定を次に示します。
使用法の種類
ネットワーク設定: 送信コネクタがメールをルーティングする方法を構成します。DNS を使用するか、すべてのメールをスマート ホストに自動的に転送します。
アドレス空間: 送信コネクタが担当する宛先ドメインを構成します。
スコープ: 組織内の他の Exchange サーバーへの送信コネクタの可視性を構成します。
ソース サーバー: 送信コネクタがホストされている Exchange サーバーを構成します。 対象の送信コネクタを使用して配信する必要があるメールは、このいずれかの送信元サーバーにルーティングされます。
メールボックス サーバーでは、Exchange 管理センター または Exchange 管理シェル を使用して送信コネクタを作成および管理できます。 エッジ トランスポート サーバーで使用できるのは、Exchange 管理シェル のみです。
Exchange Serverでコネクタの変更を送信する
Exchange 2010 と比較して、Exchange 2016 または Exchange 2019 の送信コネクタに関する重要な変更点を次に示します。
送信コネクタは、フロントエンド トランスポート サービスを介して送信メールをリダイレクトまたはプロキシするように構成できます。 詳細については、「 メールをプロキシ送信するよう送信コネクタを構成する」を参照してください。
IsCoexistenceConnector パラメーターは使用できなくなりました。
LinkedReceiveConnector パラメーターは使用できなくなりました。
既定の最大メッセージ サイズが 35 MB (Base64 エンコードのため、約 25 MB) に増加されました。 詳細については、「Exchange Serverのメッセージ サイズと受信者の制限」を参照してください。
TlsCertificateName パラメーターを使用すると、証明書の発行者と証明書のサブジェクトを指定できます。 これにより、不正な証明書のリスクを最小限に抑えることができます。
暗黙的送信コネクタ
Exchange サーバーのインストール中に送信コネクタは作成されませんが、組織内 送信コネクタ という名前の特別な暗黙的な送信コネクタが存在します。 この暗黙的送信コネクタは自動的に使用可能になり、管理は不要ですが、表示されません。 トランスポート サービスに存在する組織内の送信コネクタは、ローカルの Exchange サーバー上のサービス間で内部的に、または組織内のリモートの Exchange サーバー上のサービスへ、メールを送信します。 次に例を示します。
フロントエンド トランスポート サービスから、トランスポート サービスへ。
トランスポート サービスから、他のサーバー上のトランスポート サービスへ。
トランスポート サービスから、サブスクライブ済みエッジ トランスポート サーバーへ。
トランスポート サービスから、メールボックス トランスポート配信サービスへ。
メールボックス トランスポート発信サービスから、トランスポート サービスへ。
詳細については、「Mail flow and the transport pipeline」を参照してください。
送信コネクタの使用法の種類
送信コネクタの場合、使用法の種類は、基本的に、送信コネクタの用途を示す説明的なラベルです。 使用法の種類のすべての値が、同じアクセス許可を受け取ります。
コネクタの使用法の種類を指定できるのは、送信コネクタを作成するときのみです。 EAC を使用する場合、 [種類] の値を選択する必要があります。 ただし、Exchange 管理シェルで New-SendConnector コマンドレットを使用する場合、使用の種類は必要ありません (または -<UsageType>を使用-Usage <UsageType>します)。
使用法の種類を指定すると、既定の最大メッセージ サイズが設定されます。このサイズは、コネクタの作成後に変更できます。
次の表で、選択可能な使用法の種類の値について説明します。
| 使用法の種類 | 最大メッセージ サイズ | Comments |
|---|---|---|
| Custom | 35 MB | なし |
| 内部 | 無制限 | EAC でこの使用法の種類の送信コネクタを作成するときは、 [受信者のドメインに関連付けられた MX レコード] を選択することはできません。 コネクタの作成後、送信コネクタのプロパティにある [配信] タブに移動し、 [受信者のドメインに関連付けられた MX レコード] を選択できます。 この同じ制限は、Exchange 管理シェルには存在しません。 New-SendConnector コマンドレットでは、内部スイッチを使用し、DNSRoutingEnabled を に $true設定できます。 |
| インターネット | 35 MB | なし |
| パートナー | 35 MB | EAC でこの使用法の種類の送信コネクタを作成するときは、 [スマート ホストを経由してメールをルーティングする] またはスマート ホスト認証機構を選択することはできません。 コネクタの作成後、送信コネクタのプロパティにある [配信] タブに移動し、 [スマート ホストを経由してメールをルーティングする] およびスマート ホスト認証機構を選択できます。 この同じ制限は、Exchange 管理シェルには存在しません。 パートナー スイッチを使用し、DNSRoutingEnabled を に $false設定し、New-SendConnector コマンドレットで SmartHosts パラメーターと SmartHostAuthMechanism パラメーターを使用できます。 |
送信コネクタのネットワーク設定
すべての送信コネクタにおいて、次のいずれかのオプションを設定する必要があります。
DNS を使用して、メールをルーティングします。
1 つ以上のスマート ホストを使用して、メールをルーティングします。
DNS を使用してメールをルーティングする
メールを配信するために DNS 解決を選択する場合、送信コネクタの送信元 Exchange サーバーが、対象コネクタ上に設定されているアドレス スペースについて MX レコードを解決できなければなりません。 コネクタの性質、およびサーバー内に含まれるネットワーク アダプターの数によって、送信コネクタが、内部 DNS サーバーまたは外部 (パブリック) DNS サーバーに対するアクセスを必要とする場合があります。 内部および外部の DNS 参照に関して特定の DNS サーバーを使用するよう、サーバーを設定できます。
EAC at ServersServer でサーバー>>を選択し、[編集] アイコンをクリックします
>[DNS 参照] タブ。Exchange 管理シェルでは、Set-TransportService コマンドレットで ExternalDNS* パラメーターと InternalDNS* パラメーターを使用します。
内部および外部の DNS 参照で使用するための別個の DNS 設定を持つ Exchange サーバーを既に設定済みの場合に、送信コネクタで外部アドレス スペースにメールをルーティングするときには、次のようにして外部 DNS サーバーを使用するように送信コネクタを設定する必要があります。
EAC では、 [トランスポート役割を持つサーバー上で外部 DNS 参照設定を使用する] を選択します (送信コネクタの新規作成ウィザード、または既存のコネクタのプロパティにある [配信] タブ)。
Exchange 管理シェルで、New-SendConnector コマンドレットと Set-SendConnector コマンドレットで UseExternalDNSServersEnabled パラメーターを使用します。
スマート ホストを使用してメールをルーティングする
スマート ホストを介してメールをルーティングする場合、送信コネクタはメールをスマート ホストに転送し、スマート ホストが、最終的な宛先までの間にある次のホップにメールをルーティングする責任を担います。 通常、スマート ホストによるルーティングは、スパム対策サービスまたはデバイスを経由して送信メールを送信する場合に使用します。
対象の送信コネクタが使用する 1 つ以上のスマート ホストを特定する際、個々の IP アドレス (10.1.1.1 など)、完全修飾ドメイン名 (FQDN) (spamservice.contoso.com など)、またはこの 2 種類を組み合わせて指定します。 FQDN を使用する場合、送信コネクタの送信元 Exchange サーバーが、DNS を使用して FQDN (MX レコードまたは A レコード) を解決できなければなりません。
スマート ホストのルーティングにおいて重要になるのは、スマート ホストが使用する認証機構です。 次の表で、使用できる認証機構について説明します。
| 認証機構 | 説明 |
|---|---|
なし (None) |
認証はありません。 たとえば、スマート ホストへのアクセスが送信元 IP アドレスによって制限されている場合です。 |
基本認証 (BasicAuth) |
基本認証。 ユーザー名とパスワードが必要です。 ユーザー名とパスワードはクリア テキストで送信されます。 |
TLS を開始した後にのみ基本認証を提供する (BasicAuthRequireTLS) |
TLS で暗号化されている基本認証です。 これには、送信コネクタで定義されているスマート ホストの正確な FQDN が含まれているスマート ホスト上のサーバー証明書が必要です。 送信コネクタは、 STARTTLS コマンドをスマート ホストに送信して TLS セッションを確立しようと試み、TSL セッションが確立された後にのみ基本認証を実行します。 相互 TLS 認証をサポートするには、クライアント証明書も必要です。 |
Exchange Server認証 (ExchangeServer) |
Generic Security Services アプリケーション プログラミング インターフェイス (GSS-API) および相互 GSS-API 認証。 |
外部でセキュリティで保護された (ExternalAuthoritative) |
Exchange 外部にあるセキュリティ メカニズムを使用して接続のセキュリティが保護されると想定されています。 この接続はインターネット プロトコル セキュリティ (IPsec) アソシエーションまたは仮想プライベート ネットワーク (VPN) である場合があります。 または、信頼され、物理的に管理されたネットワーク上にサーバーが存在する可能性もあります。 |
送信コネクタのアドレス スペース
アドレス スペースは、送信コネクタがサービスを提供する宛先ドメインを指定します。 メールは、受信者のメール アドレスのドメインに基づいて、送信コネクタ経由でルーティングされます。
次の表で、選択可能な SMTP アドレス スペースの値について説明します。
| アドレス スペース | 説明 |
|---|---|
* |
送信コネクタは、すべてのドメイン内の受信者にメールをルーティングします。 |
ドメイン (例: contoso.com) |
送信コネクタは、指定したドメインの受信者にメールをルーティングしますが、サブドメイン内の受信者にはルーティングしません。 |
ドメインとサブドメイン (例: *.contoso.com) |
送信コネクタは、指定したドメインとすべてのそのサブドメイン内の受信者にメールをルーティングします。 |
-- |
送信コネクタは、Exchange 組織内のすべての承認済みドメインの受信者にメールをルーティングします。 この値を選択できるのは、内部 Exchange 組織にメールを送信するエッジ トランスポート サーバー上の送信コネクタのみです。 |
アドレス スペースには、 [種類] と [コスト] の値も設定できます。
エッジ トランスポート サーバーでは、 Type 値は である SMTP必要があります。 メールボックス サーバーでは、SMTP 以外のアドレス空間の種類 (またはその他のテキスト文字列など X400 ) を使用することもできます。 X.400 アドレスは RFC 1685 に準拠している必要がありますが (たとえば)、 o=MySite;p=MyOrg;a=adatum;c=us他の Type 値はアドレス空間の任意のテキスト値を受け入れます。 SMTP 以外のアドレス空間の種類を指定する場合、送信コネクタはスマート ホスト ルーティングを使用する必要があり、SMTP を使用してスマート ホストにメッセージを送信します。 配信エージェント コネクタと外部コネクタは、SMTP を使用せずに SMTP 以外のサーバーに SMTP 以外のメッセージを送信します。 詳細については、「配信エージェントと配信エージェント コネクタと外部コネクタ」を参照してください。
アドレス スペースの [コスト] 値は、異なる送信元サーバー上にある複数の送信コネクタで同じアドレス スペースが設定されている場合のメール フローの最適化や、フォールト トレランスを目的として使用されます。 優先順位の値が小さくなるほど、優先度の高い送信コネクタであることを示します。
メッセージを受信者へとルーティングするために使用される送信コネクタは、メッセージの分類のルーティング解決フェーズで選択されます。 受信者のメール アドレスに最も近いアドレス スペースを持ち、優先順位の値が小さい送信コネクタが選択されます。
たとえば、受信者が であると julia@marketing.contoso.comします。 送信コネクタが *.contoso.com 用に設定されている場合、メッセージはそのコネクタを経由してルーティングされます。 *.contoso.com 用に設定されている送信コネクタがない場合、メッセージは * 用に設定されているコネクタを経由してルーティングされます。 同じ Active Directory サイト内の複数の送信コネクタが *.contoso.com 用に構成されている場合は、優先度の低い値のコネクタが選択されます。
送信コネクタのスコープ
送信コネクタの送信元サーバーによって、その送信コネクタを経由してルーティングする必要があるメールの宛先 Exchange サーバーが決まります。 送信コネクタのスコープによって、Exchange 組織内におけるコネクタの可視性を制御します。
既定では、送信コネクタは Active Directory フォレスト全体ですべての Exchange サーバーに表示され、ルーティングの決定に使用されます。 ただし、送信コネクタのスコープを制限すると、同じ Active Directory サイトにある他の Exchange サーバーにのみ表示することができます。 送信コネクタは他の Active Directory サイトの Exchange サーバーには表示されず、そのルーティング決定にも使用されません。 この方法で制限されている送信コネクタは 、スコープが設定されているといいます。
EAC でスコープが限定された送信コネクタを設定するには、送信コネクタの新規作成ウィザード、または既存の送信コネクタのプロパティにある [スコープ] タブで、 [アドレス スペース] セクションの [スコープ指定した送信コネクタ] を選択します。 Exchange 管理シェルでは、New-SendConnector コマンドレットと Set-SendConnector コマンドレットで IsScopedConnector パラメーターを使用します。
送信コネクタのアクセス許可
送信コネクタが宛先メール サーバーとの接続を確立すると、送信コネクタのアクセス許可によって、メッセージで送信できるヘッダーの種類が決まります。 アクセス許可で使用が許容されていないヘッダーがメッセージに含まれている場合、そのようなヘッダーはメッセージから削除されます。
アクセス許可は、既知のセキュリティ プリンシパルによって送信コネクタに割り当てられます。 セキュリティ プリンシパルには、ユーザー アカウント、コンピューター アカウント、およびセキュリティ グループ (ユーザーに割り当てるアクセス許可を含めることができる、セキュリティ識別子 (SID) によって識別可能なオブジェクト) が含まれます。 既定では、送信コネクタを作成したときに選択した使用法の種類にかかわらず、すべての送信コネクタに対して同じアクセス許可が含まれる同じセキュリティ プリンシパルが割り当てられます。 送信コネクタの既定のアクセス許可を変更するには、Exchange 管理シェル で Add-ADPermission コマンドレットと Remove-ADPermission コマンドレットを使用する必要があります。
次の表で、選択できる送信コネクタのアクセス許可について説明します。
| アクセス許可 | 割り当て先 | 説明 |
|---|---|---|
ms-Exch-Send-Headers-Forest |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
メッセージにおける Exchange フォレスト ヘッダーの保持について制御します。 フォレスト ヘッダー名は、 X-MS-Exchange-Forest- で始まります。 このアクセス許可が与えられていない場合、メッセージからすべてのフォレスト ヘッダーが削除されます。 |
ms-Exch-Send-Headers-Organization |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
メッセージにおける Exchange 組織ヘッダーの保持について制御します。 組織ヘッダー名は、 X-MS-Exchange-Organization- で始まります。 このアクセス許可が与えられていない場合、メッセージからすべての組織ヘッダーが削除されます。 |
ms-Exch-Send-Headers-Routing |
NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers |
メッセージにおける RECEIVED ヘッダーの保持について制御します。 このアクセス許可が与えられていない場合、メッセージからすべての受信ヘッダーが削除されます。 |
ms-Exch-SMTP-Send-Exch50 |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers |
送信元 Exchange サーバーが送信コネクタで XEXCH50 コマンドを送信できるようにします。 Exchange データ (Spam Confidence Level または SCL など) をメッセージに格納するため、 X-EXCH50 バイナリ ラージ オブジェクト (BLOB) が旧バージョンのExchange (Exchange 2003 以前) では使用されていました。 このアクセス許可が付与されていない場合、メッセージに X-EXCH50 BLOB が含まれていると、Exchange サーバーは X-EXCH50 BLOB を含めないでメッセージを送信します。 |
ms-Exch-SMTP-Send-XShadow |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
このアクセス許可は Microsoft の内部使用のために予約済みです。参考のためにのみ、以下に示します。 |
注: 含まれている ms-Exch-Send-Headers- アクセス許可名は、 ヘッダー ファイアウォール 機能の一部です。 詳細については、「ヘッダー ファイアウォール」を参照してください。
送信コネクタのアクセス許可のプロシージャ
送信コネクタ上でセキュリティ プリンシパルに割り当てられているアクセス許可を確認するには、Exchange 管理シェル で次の構文を使用します。
Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
たとえば、To Fabrikam.com という送信コネクタ上のすべてのセキュリティ プリンシパルに割り当てられているアクセス許可を確認する場合、次のコマンドを実行します。
Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
To Fabrikam という名前の送信コネクタでセキュリティ プリンシパル NT AUTHORITY\ANONYMOUS LOGON にのみ割り当てられているアクセス許可を確認するには、次のコマンドを実行します。
Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
送信コネクタのセキュリティ プリンシパルにアクセス許可を追加するには、次の構文を使用します。
Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
送信コネクタのセキュリティ プリンシパルからアクセス許可を削除するには、次の構文を使用します。
Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...