Exchange Onlineを使用してサードパーティのクラウド サービスを使用してメール フローを管理する

このトピックでは、Exchange Onlineを使用した次の複雑なメール フロー シナリオについて説明します。

シナリオ 1 - MX レコードがサード パーティ製のスパム フィルタリングを指している

シナリオ 2 - MX レコードがスパム フィルタリングを使用しないサード パーティ製のソリューションを指している

注:

このトピックの例では、ドメイン contoso.com を所有し、Exchange Onlineのテナントである架空の組織 Contoso を使用します。 これは単なる例です。 この例は、必要に応じて組織のドメイン名とサード パーティのサービス IP アドレスに合わせて調整できます。

Microsoft 365 または Office 365 でサード パーティのクラウド サービスを使用する

シナリオ 1 - MX レコードがサード パーティのスパム フィルター処理を指す

重要

Microsoftでは、コネクタの拡張フィルター処理を有効にするか、メール フロー ルールを使用してフィルター処理を完全にバイパスすることを強くお勧めします (チェックアウト ポイント 5)。 これに従わないと、受信メールが組織に誤って分類され、Office 365メールと保護機能の下位エクスペリエンスが失われます。

Exchange Onlineを使用して、組織のすべてのメールボックスをホストする予定です。 組織では、スパム、マルウェア、フィッシング フィルタリングにサードパーティのクラウド サービスを使用しています。 インターネットからのすべての電子メールは、365 またはOffice 365にルーティングされる前に、このサード パーティのクラウド サービスによってフィルター処理Microsoft必要があります。

このシナリオでは、組織のメール フロー セットアップが次の図のようになります。

インターネットからサードパーティのフィルタリング サービスへの受信メールを示すメール フロー図。365 または Office 365 をMicrosoftし、Microsoft 365 または Office 365からインターネットへの送信メールから送信します。

Microsoft 365 または Office 365 でサード パーティ製クラウド フィルタリング サービスを使用するためのベスト プラクティス

  1. Microsoft 365 または Office 365にカスタム ドメインを追加します。 ドメインを所有していることを証明するには、「ドメインを Microsoft 365 に追加する」の手順に従います。

  2. Exchange Onlineでユーザー メールボックスを作成するか、すべてのユーザーのメールボックスを Microsoft 365 またはOffice 365に移動します。

  3. 手順 1 で追加したドメインの DNS レコードを更新します。 (これを行う方法がわからない場合は? このページの指示に従ってください。次の DNS レコードは、メール フローを制御します。

    • MX レコード: ドメインの MX レコードは、サード パーティのサービス プロバイダーを指している必要があります。 MX レコードを構成する方法については、サードパーティのガイドラインに従ってください。

    • SPF レコード: ドメインからインターネットに送信されるすべてのメールは、Microsoft 365 または Office 365 で送信されるため、SPF レコードには、Microsoft 365 または Office 365の標準値が必要です。

      v=spf1 include:spf.protection.outlook.com -all
      

      組織がサービスを介して 送信 インターネットメールを送信する場合にのみ、SPF レコードにサードパーティサービスを含める必要があります (サード パーティのサービスがドメインからのメールの送信元になります)。

    このシナリオを構成する場合は、サード パーティのサービスから電子メールを受信するように構成する必要がある "ホスト" が MX レコードで指定されます。 例:

    ホスト名の値の例。

    この例では、Microsoft 365 または Office 365 ホストのホスト名を hubstream-mx.mail.protection.outlook.com する必要があります。 この値はドメインによって異なる場合があるため、実際の値を確認するには、Configuration>Domain select domain><> で値を確認します。

  4. サード パーティサービスからのメールのみを受け入れるように、Exchange Online組織をロックダウンします。

    TlsSenderCertificateName (優先) または SenderIpAddresses パラメーターを使用してパートナー受信コネクタを作成して構成し、対応する RestrictDomainsToCertificate パラメーターまたは RestrictDomainsToIPAddresses パラメーターを$Trueに設定します。 Exchange Onlineに直接ルーティングされたスマート ホストのメッセージはすべて拒否されます (指定した証明書または指定した IP アドレスを使用して接続経由で受信されなかったためです)。

    例:

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true
    

    または

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>
    

    注:

    同じ証明書または送信者 IP アドレスの OnPremises 受信コネクタが既にある場合でも、 パートナー 受信コネクタを作成する必要があります ( RestrictDomainsToCertificate パラメーターと RestrictDomainsToIPAddresses パラメーターは パートナー コネクタにのみ適用されます)。 2 つのコネクタは問題なく共存できます。

  5. この手順には、次の 2 つのオプションがあります。

    • コネクタの拡張フィルター処理を使用する (強くお勧めします): サード パーティ製アプリケーションからメッセージを受信するパートナー受信コネクタで 、コネクタの拡張フィルター処理 (リストのスキップとも呼ばれます) を使用します。 これにより、EOP とMicrosoft 365 DefenderでメッセージをOffice 365スキャンできます。

      注:

      サード パーティ製アプリケーションがオンプレミスの Exchange サーバーを使用してExchange Onlineに送信するハイブリッド シナリオでは、Exchange Onlineの OnPremises 受信コネクタでコネクタの拡張フィルター処理を有効にする必要もあります。

    • スパム フィルター処理をバイパスする: スパム フィルター処理をバイパスするには、メール フロー ルール (トランスポート ルールとも呼ばれます) を使用します。 このオプションは、ほとんどの EOP およびDefender for Office 365コントロールを防止するため、二重スパム対策チェックを防ぎます。

      二重スキャンを防ぐためのメール フロー ルール。

      重要

      メール フロー ルールを使用してスパム フィルター処理をバイパスする代わりに、 コネクタの拡張フィルター処理 (リストのスキップとも呼ばれます) を有効にすることを強くお勧めします。 ほとんどのサードパーティのクラウドスパム対策プロバイダーは、多くの顧客の間で IP アドレスを共有しています。 これらの IP でスキャンをバイパスすると、これらの IP アドレスからのなりすましメッセージやフィッシング メッセージが発生する可能性があります。

シナリオ 2 - MX レコードがスパム フィルター処理を行わずにサード パーティ製ソリューションを指す

Exchange Onlineを使用して、組織のすべてのメールボックスをホストする予定です。 インターネットから自分のドメインに送信されるすべての電子メールは、Exchange Onlineに到着する前に、まずサード パーティのアーカイブまたは監査サービスを経由する必要があります。 Exchange Online組織からインターネットに送信されるすべての送信メールも、サービス経由で送信する必要があります。 ただし、サービスではスパム フィルタリング ソリューションは提供されません。

このシナリオでは、コネクタの 拡張フィルター処理を使用する必要があります。 それ以外の場合、すべてのインターネット送信者からのメールは、インターネット上の真のソースからではなく、サードパーティのサービスから発信されているようです。

インターネットからサード パーティ ソリューションへの受信メールを示すメール フロー図。Office 365または Microsoft 365、および Microsoft 365 または Office 365 からサード パーティ ソリューションへの送信メールを表示し、インターネットに送信する図。

Microsoft 365 または Office 365 でサード パーティのクラウド サービスを使用するためのベスト プラクティス

Microsoft 365 およびOffice 365によって提供されるアーカイブおよび監査ソリューションを使用することを強くお勧めします。

関連項目

Exchange Online、Microsoft 365、Office 365のメール フローのベスト プラクティス (概要)

一元化されたメール トランスポートを使用すると、一部のメッセージがオンプレミス組織を経由してルーティングされない

パートナー組織とのセキュリティで保護されたメール フロー用のコネクタを設定する

Microsoft 365 または Office 365を使用して、すべてのメールボックスとメール フローを管理する

複数の場所のメールボックスを使用してメール フローを管理する (Microsoft 365 または Office 365、オンプレミスの Exchange)

Exchange Onlineとオンプレミスのメールボックスを使用してサード パーティのクラウド サービスを使用してメール フローを管理する

Microsoft 365 または Office 365 メール フローのトラブルシューティング

コネクタを検証してメール フローをテストする