複数の場所にあるメールボックスを使用してメール フローを管理する (Exchange Online とオンプレミスの Exchange)
概要
このドキュメントでは、Microsoft 365 または Office 365 を利用する環境での複雑なメール フロー シナリオの処理に関する詳細なガイダンスを提供します。
このドキュメントで説明されている例では、ドメイン contoso.com
を所有する架空の組織Contoso
を使用します。 Contoso 電子メール サーバーの IP アドレスは 131.107.21.231
され、サード パーティプロバイダーは IP アドレスに 10.10.10.1
を使用します。 これらは例にすぎません。 必要に応じて、この例を流用して、組織のドメイン名と公開 IP アドレスに修正してください。
このドキュメントでは、次の複雑なメール フロー シナリオについて説明します。
-
複数の場所にあるメールボックスを使用してメール フローを管理する (Exchange Online とオンプレミスの Exchange)
-
概要
- インストールに関する重要な情報
- シナリオ 1: MX レコードが Microsoft 365 または Office 365 を指し示し、Microsoft 365 または Office 365 によってすべてのメッセージがフィルター処理される
- シナリオ 2: MX レコードが Microsoft 365 または Office 365 を指し示し、メールがオンプレミスでフィルター処理される
- シナリオ 3: MX レコードがオンプレミス サーバーを指す
- シナリオ 4: MX レコードは、メッセージをフィルタリングして、コンプライアンス ソリューションを提供するオンプレミス サーバーを指している。 オンプレミス サーバーは、Microsoft 365 または Office 365 を介してインターネットにメッセージを中継する必要があります。
- 関連項目
-
概要
インストールに関する重要な情報
特定のハイブリッド メール フローシナリオでは、お客様は、オンプレミスの Exchange サーバーまたは電子メール ゲートウェイから送信または中継された送信メールが、最初に Office 365 テナントを介してルーティングされる状況に遭遇する場合があります。 これは、電子メール ゲートウェイまたはオンプレミスの Exchange サーバーが特定の証明書 ( gateway.contoso.com
や exchange.contoso.com
など) を使用し、ハイブリッド構成ウィザード (HCW) によって作成された受信コネクタが既定のワイルドカード証明書構成 (*.contoso.com
) を使用している場合に発生します。 そのため、オンプレミスサーバーまたはゲートウェイから送信されたメールは、Exchange Online を指す MX レコードを持つ受信者に到達する前に、Office 365 テナントに帰属します。 意図しないが、これは一致する Office 365 テナントの標準的な電子メール属性プロセスです。 Microsoft 365 でのメッセージ属性のしくみについては、「 Office 365 メッセージ属性」を参照してください。
そのため、オンプレミスのサーバーまたはゲートウェイからインターネットに電子メールが直接送信された場合でも、ドメインの SPF レコードに spf.protection.outlook.com
を含めます。 テナントが Microsoft 365 Global
環境でホストされていない場合、含めるドメインは異なります。 それぞれの環境の正しいエントリについては、「SPF のセットアップ」で 、Microsoft 365 ドメインの有効なメール ソースを特定 できます。
このシナリオでルーティング動作を変更する場合は、 ブログ投稿「Office 365 Message Attribution」の FAQ #6(b) セクション に記載されている手順に従うことができます。
シナリオ 1: MX レコードが Microsoft 365 または Office 365 を指し示し、Microsoft 365 または Office 365 によってすべてのメッセージがフィルター処理される
- メールボックスを Exchange Online に移行し、組織のメール サーバー (オンプレミス サーバー) にメールボックスを保持する必要があります。 スパム フィルタリング ソリューションとして Microsoft 365 または Office 365 を使用し、Microsoft 365 または Office 365 を使用して、オンプレミス サーバーからインターネットにメッセージを送信する必要があります。 Microsoft 365 または Office 365 は、すべてのメッセージを送受信します。
ハイブリッド メール フローの設定が必要なほとんどのお客様は、Microsoft 365 または Office 365 ですべてのフィルター処理とルーティングを実行できるようにする必要があります。 この設定では最も正確なスパム フィルター処理が提供されるため、MX レコードを Microsoft 365 または Office 365 にポイントすることをお勧めします。 このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
Microsoft 365 または Office 365 にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザー メールボックスを作成 するか、 すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
MX レコード: 次の形式で MX レコードを Microsoft 365 または Office 365 にポイントします: <domainKey>-com.mail.protection.outlook.com
たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 contoso-com.mail.protection.outlook.com.
SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 が一覧表示されます。EOP に接続するオンプレミス サーバーからの IP アドレス。組織に代わって電子メールを送信するサード パーティ。 たとえば、組織のメール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
または、サード パーティの要件によっては、次の例に示すように、サード パーティのドメインを含める必要がある場合があります。
v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
Exchange 管理センター (EAC) で、コネクタ ウィザードを使用 して、次のシナリオで Microsoft 365 または Office 365 のコネクタを使用してメール フローを構成 します。
Microsoft 365 または Office 365 から組織のメール サーバーにメッセージを送信する
オンプレミス サーバーから Microsoft 365 または Office 365 にメッセージを送信する
次のいずれかのシナリオが組織に適用される場合は、オンプレミス サーバーから Microsoft 365 または Office 365 へのメール送信をサポートするコネクタを作成する必要があります。
組織はクライアントの代わりにメッセージを送信することを承認されていますが、組織はドメインを所有していません。 たとえば、contoso.com は、contoso.com に属していない fabrikam.com からメールを送信することを承認されています。
組織は、Microsoft 365 または Office 365 を介して配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) をインターネットに中継します。
コネクタを作成するには、次の 2 つのスクリーンショットに示すように、[Office 365 で電子メール サーバーの電子メールを識別する方法 ] 画面のコネクタ作成ウィザードで、それぞれ [新しい EAC] と [クラシック EAC] の最初のオプションを選択します。
この構成により、Microsoft 365 または Office 365 は証明書を使用して電子メール サーバーを識別できます。 このシナリオでは、証明書 CN またはサブジェクトの別名 (SAN) は組織に属するドメインを含みます。 詳しくは、「Identifying email from your email server」を参照してください。 コネクタ構成の詳細については、「 パート 2: メール サーバーから Microsoft 365 または Office 365 に送信するようにメールを構成する」を参照してください。
次のシナリオでは、銀行との TLS の強制など、パートナーのいずれかとの特殊な要件がない限り、コネクタは必要ありません。
Microsoft 365 または Office 365 からパートナー組織にメールを送信する
パートナー組織から Microsoft 365 または Office 365 にメールを送信する
注:
組織で Exchange 2010 以降を使用している場合は、 ハイブリッド構成ウィザード を使用して、Microsoft 365 または Office 365 およびオンプレミスの Exchange サーバーでコネクタを構成することをお勧めします。 このシナリオでは、ドメインの MX レコードが組織の電子メール サーバーを指すことはできません。
シナリオ 2: MX レコードが Microsoft 365 または Office 365 を指し示し、メールがオンプレミスでフィルター処理される
- メールボックスを Exchange Online に移行し、組織のメール サーバー (オンプレミス サーバー) にメールボックスを保持する必要があります。 既にオンプレミス環境に存在するフィルタリング ソリューションとコンプライアンス ソリューションを利用したいと考えています。 インターネットからクラウド メールボックスに送信されるすべてのメッセージ、またはクラウド メールボックスからインターネットに送信されるメッセージは、オンプレミス のサーバーを介してルーティングする必要があります。
オンプレミス環境でメールをフィルター処理するビジネス上または規制上の理由がある場合は、ドメインの MX レコードを Microsoft 365 または Office 365 にポイントし、一元化されたメール転送を有効にすることをお勧めします。 このセットアップは、最適なスパム フィルタリングを提供し、組織の IP アドレスを保護します。 このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
Microsoft 365 または Office 365 にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザー メールボックスを作成 するか、 すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
- MX レコード: 次の形式で MX レコードを Microsoft 365 または Office 365 にポイントします: <domainKey>-com.mail.protection.outlook.com
たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 contoso-com.mail.protection.outlook.com.
SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 と、EOP に接続するオンプレミス サーバーからの IP アドレスと、組織に代わってメールを送信するサード パーティが一覧表示されます。 たとえば、組織の電子メール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
オンプレミス コンプライアンス ソリューションでは、メール トランスポートの集中管理 (CMT) を使用します。
インターネットから Exchange Online のメールボックスに送信されるメールは、最初にオンプレミス サーバーに送信され、Exchange Online に戻ってメールボックスに配信されます。 シナリオ 2 の図で 1 の線はこのパスを表しています。
Exchange Online から送信され、インターネット宛てのメールは、最初にオンプレミス サーバーに送信され、次に Exchange Online に戻り、インターネットに配信されます。 シナリオ 2 の図の 4 の線はこのパスを表しています。
この構成を実現するには、Hybrid Configuration Wizardまたはコマンドレット経由でコネクタを作成し、CMT を有効にします。 CMT の詳細については、「 Exchange ハイブリッド展開のトランスポート オプション」を参照してください。
次のシナリオでは、銀行との TLS の強制など、パートナーのいずれかとの特殊な要件がない限り、コネクタは必要ありません。
Microsoft 365 または Office 365 からパートナー組織にメールを送信する
パートナー組織から Microsoft 365 または Office 365 にメールを送信する
シナリオ 3: MX レコードはオンプレミス サーバーを指している
- メールボックスを Exchange Online に移行し、組織のメール サーバー (オンプレミス サーバー) にメールボックスを保持する必要があります。 既にオンプレミス電子メール環境に存在するフィルタリング ソリューションとコンプライアンス ソリューションを利用したいと考えています。 インターネットからクラウド メールボックスに送信されるすべてのメッセージ、またはクラウド メールボックスからインターネットに送信されるメッセージは、オンプレミス サーバーを介してルーティングする必要があります。 ドメインの MX レコードがオンプレミス サーバーを指している必要があります。
シナリオ 2 の代わりに、Microsoft 365 または Office 365 ではなく、ドメインの MX レコードを組織のメール サーバーにポイントできます。 組織によってはビジネス上または規制上の理由でこのセットアップが必要な場合がありますが、シナリオ 2 を使用すれば、フィルタリングがより適切に機能します。
このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
ドメインの MX レコードがオンプレミスの IP アドレスを指している必要がある場合は、次のベスト プラクティスを使用します。
Microsoft 365 または Office 365 にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザー メールボックスを作成 するか、 すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 が一覧表示されます。 また、EOP に接続されたオンプレミス サーバーからの IP アドレスと、組織の代わりに電子メールを送信するサード パーティも含める必要があります。 たとえば、組織のメール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
Microsoft 365 または Office 365 を介してオンプレミス サーバーからインターネットにメッセージをリレーしないため、次のシナリオではコネクタを技術的に作成する必要はありません。 ただし、ある時点で MX レコードを Microsoft 365 または Office 365 をポイントするように変更する場合は、コネクタを作成する必要があります。そのため、それを前もって行うのが最善です。 Exchange 管理センターで、次のシナリオでコネクタ ウィザードを使用して パート 2: メール サーバーから Microsoft 365 または Office 365 に送信するようにメールを構成 するか、 ハイブリッド構成ウィザード を使用してコネクタを作成します。
Microsoft 365 または Office 365 から組織のメール サーバーにメールを送信する
オンプレミス サーバーから Microsoft 365 または Office 365 にメールを送信する
メッセージが MX を介して組織のオンプレミス サーバーに送信されるようにするには、「パートナー組織から送信される電子メールに適用できるセキュリティ制限の例」の「例 3: パートナー組織のドメイン ContosoBank.com からのすべてのメールが特定の IP アドレスの範囲から送信されるよう要求する」に従ってください。
シナリオ 4: MX レコードは、メッセージをフィルタリングして、コンプライアンス ソリューションを提供するオンプレミス サーバーを指している。 オンプレミス サーバーは、Microsoft 365 または Office 365 を介してインターネットにメッセージを中継する必要があります。
- メールボックスを Exchange Online に移行し、組織のメール サーバー (オンプレミス サーバー) にメールボックスを保持する必要があります。 既にオンプレミス電子メール環境に存在するフィルタリング ソリューションとコンプライアンス ソリューションを利用したいと考えています。 オンプレミス サーバーから送信されるすべてのメッセージは、Microsoft 365 または Office 365 を介してインターネットに中継する必要があります。 ドメインの MX レコードがオンプレミス サーバーを指している必要があります。
このシナリオでは、組織のメール フロー セットアップが次の図のようになります。
ベスト プラクティス
ドメインの MX レコードがオンプレミスの IP アドレスを指している必要がある場合は、次のベスト プラクティスを使用します。
Microsoft 365 または Office 365 にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
Exchange Online でユーザー メールボックスを作成 するか、 すべてのユーザーのメールボックスを Microsoft 365 または Office 365 に移動します。
手順 1 で追加したドメインの DNS レコードを更新します。 (このタスクを実行する方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。
MX レコード: 次の形式を使用してオンプレミス サーバーを指すように MX レコードを設定します。mail.<domainKey>.com
たとえば、ドメインが contoso.comの場合は、MX レコードを次のようにする必要があります。 .mail.contoso.com.
SPF レコード: このレコードには、有効な送信者として Microsoft 365 または Office 365 が一覧表示されます。 また、EOP に接続されたオンプレミス サーバーからの IP アドレスと、組織の代わりに電子メールを送信するサード パーティも含める必要があります。 たとえば、組織の電子メール サーバーのインターネットに接続する IP アドレスが 131.107.21.231 の場合、contoso.com の SPF レコードは次のようになります。
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
EAC で、コネクタ ウィザードを使用して、次のシナリオ で Microsoft 365 または Office 365 のコネクタを使用してメール フローを構成 します。
Microsoft 365 または Office 365 から組織のメール サーバーにメールを送信する
オンプレミス サーバーから Microsoft 365 または Office 365 にメールを送信する
次のいずれかのシナリオが組織に適用される場合、"オンプレミス サーバーから Microsoft 365 または Office 365 にメールを送信する" シナリオをサポートするコネクタを作成します。
組織はクライアントの代わりにメールを送信することを承認されていますが、組織はドメインを所有していません。 たとえば、contoso.com は、contoso.com に属していない fabrikam.com からメールを送信することを承認されています。
組織は、Microsoft 365 または Office 365 を介して配信不能レポート (NDR) をインターネットに中継します。
ドメイン contoso.com の MX レコードは、オンプレミス サーバーを指し、組織内のユーザーはメッセージを自動的に組織外のメール アドレスに転送しています。 たとえば、 kate@contoso.com 転送が有効になっていて、すべてのメッセージが kate@tailspintoys.comに移動します。 john@fabrikam.comがメッセージをkate@contoso.comに送信する場合、メッセージが Microsoft 365 または Office 365 に到着する時点で、送信者ドメインが fabrikam.com され、受信者ドメインが tailspin.com されます。 送信者ドメインと受信者ドメインは、組織に属していません。
コネクタを作成するには、次の 2 つのスクリーンショットに示すように、[新しい EAC] と [従来の EAC] でそれぞれ[ Microsoft 365 または Office 365 がメール サーバーの電子メールを識別する方法 ] 画面で、コネクタ作成ウィザードの最初のオプションを選択します。
このオプションを使用すると、Microsoft 365 または Office 365 は、証明書を使用してメール サーバーを識別できます。 このシナリオでは、証明書 CN またはサブジェクトの別名 (SAN) は組織に属するドメインを含みます。 詳しくは、「Identifying email from your email server」を参照してください。 コネクタ構成の詳細については、「 パート 2: メール サーバーから Microsoft 365 または Office 365 に送信するようにメールを構成する」を参照してください。
- パートナー組織とのセキュリティで保護されたメール フロー用のコネクタを設定する を行い、MX を介して組織のオンプレミス サーバーにメッセージが送信されるようにします。
関連項目
Exchange Online、Microsoft 365、Office 365 のメール フローのベスト プラクティス (概要)
Microsoft 365 または Office 365 を使用して、すべてのメールボックスとメール フローを管理する
Microsoft 365 または Office 365 でサード パーティのクラウド サービスを使用してメール フローを管理する
Microsoft 365 または Office 365 とオンプレミスのメールボックスを使用して、サード パーティのクラウド サービスを使用してメール フローを管理する