Exchange Hosted Services または外部の SMTP ゲートウェイを介してインターネット メール フローを構成する
適用先 : Exchange Server 2010
EMC またはシェルを使用して、Microsoft Exchange Hosted Services または外部 SMTP ゲートウェイを経由するインターネット メールの流れを構成できます。
Exchange Hosted Services は、次の 4 つの個別のホスト サービスで構成されています。
- Hosted Filtering は、電子メールから感染するマルウェアから組織を保護します。
- Hosted Archive は、規制準拠のための保存要件に対応するために役立ちます。
- Hosted Encryption は、データを暗号化して機密を保持します。
- Hosted Continuity は、緊急事態が発生したときやその直後に電子メールへのアクセス状態を維持するために役立ちます。
これらのサービスは、社内で管理されている業務用の Exchange サーバーや、サービス プロバイダーを通じて提供される Hosted Exchange 電子メール サービスと統合することができます。Exchange Hosted Services の詳細については、「Microsoft Exchange Hosted Services」を参照してください (このサイトは英語の場合があります)。
Exchange Server 2010 で Exchange Hosted Services または外部の SMTP ゲートウェイ経由のインターネット メール フローを確立するには、Exchange 組織内のハブ トランスポート サーバーと、インターネット電子メールの処理およびルーティングを行う外部の SMTP サーバーとの間に送信コネクタと受信コネクタを作成します。
このシナリオでは以下の認証方法を使用できます。
基本認証 Exchange 2010 ハブ トランスポート サーバーの役割を実行しているサーバーおよび外部の SMTP サーバーは、基本認証を使用して認証を行います。ユーザー名とパスワードが必要です。この認証方法は、Exchange Hosted Services では使用できません。
外部的にセキュリティで保護 Exchange 2010 の外部にある方法を使用して、ハブ トランスポート サーバーと外部の SMTP サーバーとのネットワーク接続をセキュリティで保護します。
注 : 外部的にセキュリティで保護された認証を使用しないで外部的なセキュリティ保護と同様に受信コネクタを構成することは、外部の SMTP サーバーの第三者中継として受信コネクタを構成することと同じです。外部の SMTP サーバーから発信されたメッセージは、認証されたメッセージとして扱われます。このメッセージでは、スパム対策の確認とメッセージ サイズの制限の確認が省略されます。外部の SMTP サーバーは、Exchange 組織内の内部送信者からメッセージが発信された場合と同様に、メッセージの送信を許可されます。詳細については、「受信コネクタの匿名の中継を許可する」を参照してください。 匿名の中継 この方法は最後の手段として考える必要があります。ハブ トランスポート サーバー上の指定された受信コネクトを使用して外部 SMTP サーバーでメッセージを匿名で中継できるようにする場合は、次の制限を受信コネクタに適用する必要があります。
- ローカル ネットワーク設定 ハブ トランスポート サーバーに複数のネットワーク アダプターがある場合は、適切なネットワーク アダプターのみで要求待ちをするように受信コネクタを制限します。
- リモート ネットワーク設定 指定されたサーバー (複数可) からの接続のみを受け付けるように、受信コネクタを制限します。この制限が必要になるのは、匿名ユーザーからの中継を受け付けるように受信コネクタが構成されているためです。IP アドレスによって接続元のサーバーを制限しても、この受信コネクタで許可される程度の保護しか実現できません。
詳細については、「受信コネクタの匿名の中継を許可する」を参照してください。
メッセージ ルーティングの管理に関連する他の管理タスクについては、「メッセージ ルーティングの管理」を参照してください。
前提条件
- 基本認証を使用している場合、ドメイン アカウントが Active Directory フォレストにある必要があります。たとえば、Fabrikam ドメインの Exchange サーバーにメールを配信するときに、SMTP ゲートウェイでの認証に使用する必要がある資格情報として "smtpgateway@fabrikam.com" というユーザー プリンシパル名 (UPN) を持つドメイン ユーザー アカウントを作成します。
- トランスポート層セキュリティ (TLS) 経由の基本認証を使用する場合は、受信コネクタの完全修飾ドメイン名 (FQDN) と同じ FQDN を含む X.509 証明書を使用するようにターゲット サーバーを構成する必要があります。
- 外部認証を使用する場合は、ハブ トランスポート サーバーと SMTP ゲートウェイ サーバーの間に信頼されたネットワーク接続が存在する必要があります。この接続は、IPsec アソシエーションまたは仮想プライベート ネットワーク (VPN) になります。または、このサーバーは信頼できる物理的に制御されたネットワークに属している場合があります。
基本認証を使用して、ハブ トランスポート サーバーと外部の SMTP ゲートウェイ間でインターネット メール フローを確立する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「トランスポートのアクセス許可」の「送信コネクタ」。
注 : |
---|
既定の受信コネクタは認証済みの SMTP ゲートウェイから電子メール送信を受け付けるため、基本認証を使用している場合は新しい受信コネクタは必要ありません。 |
EMC を使用して、基本認証を使用してハブ トランスポート サーバーと外部の SMTP ゲートウェイ間でインターネット メール フローを確立する
- ハブ トランスポート サーバー上で、EMC を開きます。[組織の構成] を展開し、[ハブ トランスポート] をクリックし、操作ウィンドウで [送信コネクタの新規作成] をクリックします。
- 送信コネクタの新規作成ウィザードの [概要] ページで、"名前" フィールドにコネクタの一意の名前を入力します。
- [この送信コネクタの使用目的の選択] ドロップダウン リストで、[カスタム] を選択し、[次へ] をクリックします。
- [アドレス スペース] ページで、[追加] をクリックします。[SMTP アドレス スペース] ダイアログ ボックスで、"アドレス" フィールドに「"*"」を入力し、[OK] をクリックします。[次へ] をクリックします。
- [ネットワーク設定] ページでは、[メールを次のスマート ホストを経由してルーティングする] 設定のみが選択できます。この設定を選択し、[追加] をクリックします。
- [スマート ホストの追加] ダイアログ ボックスの [IP アドレス] フィールドまたは [完全修飾ドメイン名 (FQDN)] フィールドで外部の SMTP ゲートウェイ サーバーの IP アドレスまたは FQDN を入力し、[OK] をクリックします。スマート ホストとして複数の SMTP ゲートウェイを指定するには、[追加] をクリックし、追加する IP アドレスまたは FQDN を入力して、[次へ] をクリックします。
- [スマート ホスト認証設定の構成] ページで、[基本認証] または [TLS 経由の基本認証] を選択し、接続の認証に使用するユーザー名およびパスワードを入力して [次へ] をクリックします。
- [送信元サーバー] ページで、[追加] をクリックします。[ハブ トランスポート サーバーと購読済みのエッジ トランスポート サーバーの選択] ダイアログ ボックスで、組織内の 1 つ以上のハブ トランスポート サーバーを選択し、[OK] をクリックし、次に [次へ] をクリックします。
- [新しいコネクタ] ページの [新規作成] をクリックし、次に、[完了] ページで [終了] をクリックします。
シェルを使用して、ハブ トランスポート サーバーと外部の SMTP ゲートウェイ間の基本認証を使用するインターネット メール フローを確立する
次のコマンドを実行します。
$mycred = Get-Credential
表示されたダイアログ ボックスで、外部の SMTP ゲートウェイ サーバー上のユーザー アカウントの資格情報を入力します。ユーザー名を入力し、ユーザーのパスワードを指定します。[OK] をクリックします。
この例では、基本認証を使用して外部 SMTP ゲートウェイである "smtpgateway1.contoso.com" と接続されている "HubA" というハブ トランスポート サーバーが使用する、"ToInternetGateway" という送信コネクタを作成しています。
New-SendConnector -Name "ToInternetGateway" -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers "HubA" -DNSRoutingEnabled $false
構文およびパラメーターの詳細については、「New-SendConnector」を参照してください。
外部的にセキュリティで保護された認証を使用して、ハブ トランスポート サーバーと、Exchange Hosted Services または外部の SMTP ゲートウェイ間でインターネット メール フローを確立する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「トランスポートのアクセス許可」の「送信コネクタ」と「受信コネクタ」。
EMC を使用して、外部的にセキュリティで保護された認証によって、ハブ トランスポート サーバーと、Exchange Hosted Services または外部の SMTP ゲートウェイ間でインターネット メール フローを確立する
- 次の手順に従って、外部の SMTP ゲートウェイに対する送信コネクタをハブ トランスポート サーバー上に作成します。
- [組織の構成] を展開し、[ハブ トランスポート] をクリックし、操作ウィンドウで [送信コネクタの新規作成] をクリックします。
- 送信コネクタの新規作成ウィザードの [概要] ページで、"名前" フィールドにコネクタの一意の名前を入力します。[このコネクタの使用目的の選択] ボックスで、[内部] を選択し、[次へ] をクリックします。
- [アドレス スペース] ページで、[追加] をクリックします。[アドレス スペースの追加] ダイアログ ボックスで、[アドレス] フィールドに "*" を入力し、[OK] をクリックします。[次へ] をクリックします。
- [ネットワーク設定] ページでは、[メールを次のスマート ホストを経由してルーティングする] 設定のみが選択できます。[追加] をクリックします。
- [スマート ホストの追加] ダイアログ ボックスで、[IP アドレス] または [完全修飾ドメイン名 (FQDN)] フィールドに SMTP ゲートウェイ サーバーの IP アドレスまたは FQDN を入力し、[OK] をクリックします。スマート ホストとして複数の SMTP ゲートウェイ サーバーを指定するには、[追加] をクリックし、追加する IP アドレスまたは FQDN を入力して、[次へ] をクリックします。
- [スマート ホスト認証設定の構成] ページで、[外部的にセキュリティで保護 (たとえば、IPSec を使用)] を選択し、[次へ] をクリックします。
- [送信元サーバー] ページで、[追加] をクリックします。[ハブ トランスポート サーバーと購読済みのエッジ トランスポート サーバーの選択] ダイアログ ボックスで、組織内の 1 つ以上のハブ トランスポート サーバーを選択し、[OK] をクリックし、次に [次へ] をクリックします。
- [新しいコネクタ] ページの [新規作成] をクリックし、次に、[完了] ページで [終了] をクリックします。
- 次の手順に従って、外部の SMTP ゲートウェイからのメールを受信する受信コネクタをハブ トランスポート サーバー上に作成します。
- [サーバーの構成] を展開し、[ハブ トランスポート] をクリックし、操作ウィンドウで [受信コネクタの新規作成] をクリックします。
- 受信コネクタの新規作成ウィザードの [概要] ページで、[名前] ボックスにコネクタの一意の名前を入力します。
- [このコネクタの使用目的の選択] ボックスで、[内部] を選択し、[次へ] をクリックします。
- [リモート ネットワーク設定] ページで、ネットワークの範囲エントリをすべて削除し、[追加] をクリックします。
- [リモート サーバーの IP アドレスの追加] ダイアログ ボックスで、外部の SMTP ゲートウェイ サーバーの IP アドレスを入力し、[OK] をクリックして、次に [次へ] をクリックします。
- [新しいコネクタ] ページの [新規作成] をクリックし、次に、[完了] ページで [終了] をクリックします。
- 作成した受信コネクタについて、次の手順に従って認証方法を外部的にセキュリティで保護に設定します。
- 作業ウィンドウで、手順 2. で作成した受信コネクタを選択し、操作ウィンドウで [プロパティ] をクリックします。
- [認証] タブをクリックします。[基本認証] および [Exchange Server] のチェック ボックスをオフにし、[外部的にセキュリティで保護 (たとえば、IPSec を使用)] を選択し、[OK] をクリックします。
シェルを使用して、外部的にセキュリティで保護された認証によって、ハブ トランスポート サーバーと、Exchange Hosted Services または外部の SMTP ゲートウェイ間でインターネット メール フローを確立する
この例では、外部的にセキュリティで保護された認証を使用して外部 SMTP ゲートウェイである "smtpgateway1.contoso.com" 経由で外部に電子メールを送信するよう構成されている "HubA" というハブ トランスポート サーバーが使用する、"ToInternetGateway" という送信コネクタを作成しています。
New-SendConnector -Name "ToInternetGateway" -Usage Internal -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers "HubA" -DNSRoutingEnabled $false
この例では、IP アドレス 192.168.1.10 を持つ外部の SMTP ゲートウェイからのメールの受信に外部的にセキュリティで保護された認証を使用する "HubA" という名前のハブ トランスポート サーバー上に、"FromInternetGateway" という受信コネクタを作成しています。
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Internal -RemoteIPRanges 192.168.1.10 -AuthMechanism ExternalAuthoritative
構文およびパラメーターの詳細については、「New-SendConnector」と「New-ReceiveConnector」を参照してください。
匿名の中継を使用して、ハブ トランスポート サーバーと外部の SMTP ゲートウェイ間でインターネット メール フローを確立する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「トランスポートのアクセス許可」の「送信コネクタ」と「受信コネクタ」。
EMC およびシェルを使用して、匿名中継を使用してハブ トランスポート サーバーと外部の SMTP ゲートウェイ間でインターネット メール フローを確立する
注 : |
---|
この手順では、手順 1 ~ 4 で EMC を使用しています。手順の最後にある、受信コネクタで匿名アクセスに対して中継アクセスを許可するという手順は、EMC を使用して実行することはできません。その手順にはシェルを使用する必要があります。 |
- 次の手順に従って、外部の SMTP ゲートウェイに対する送信コネクタをハブ トランスポート サーバー上に作成します。
- [組織の構成] を展開し、[ハブ トランスポート] をクリックし、操作ウィンドウで [送信コネクタの新規作成] をクリックします。
- 送信コネクタの新規作成ウィザードの [概要] ページで、"名前" フィールドにコネクタの一意の名前を入力します。[この送信コネクタの使用目的を選択する] ドロップダウン リストから [インターネット] を選択し、[次へ] をクリックします。
- [アドレス スペース] ページで、[追加] をクリックします。[SMTP アドレス スペース] ダイアログ ボックスで、"アドレス" フィールドに「"*"」を入力し、[OK] をクリックします。[次へ] をクリックします。
- [ネットワーク設定] ページでは、[メールを次のスマート ホストを経由してルーティングする] 設定のみが選択できます。[追加] をクリックします。
- [スマート ホストの追加] ダイアログ ボックスで、[IP アドレス] または [完全修飾ドメイン名 (FQDN)] フィールドに SMTP ゲートウェイ サーバーの IP アドレスまたは FQDN を入力し、[OK] をクリックします。スマート ホストとして複数の SMTP ゲートウェイ サーバーを指定するには、[追加] をクリックし、追加する IP アドレスまたは FQDN を入力して、[次へ] をクリックします。
- [スマート ホスト認証設定の構成] ページで、[なし] を選択し、[次へ] をクリックします。
- [送信元サーバー] ページで、[追加] をクリックします。[ハブ トランスポート サーバーと購読済みのエッジ トランスポート サーバーの選択] ダイアログ ボックスで、組織内の 1 つ以上のハブ トランスポート サーバーを選択し、[OK] をクリックし、次に [次へ] をクリックします。
- [新しいコネクタ] ページの [新規作成] をクリックし、次に、[完了] ページで [終了] をクリックします。
- 次の手順に従って、外部の SMTP ゲートウェイからのメールを受信する受信コネクタをハブ トランスポート サーバー上に作成します。
- [サーバーの構成] を展開し、[ハブ トランスポート] をクリックし、操作ウィンドウで [受信コネクタの新規作成] をクリックします。
- 受信コネクタの新規作成ウィザードの [概要] ページで、[名前] ボックスにコネクタの一意の名前を入力します。
- [このコネクタの使用目的の選択] ボックスの一覧から [カスタム] を選択し、[次へ] をクリックします。
- [ローカル ネットワーク設定] ページで、既存の [使用可能なすべての IPv4] エントリを削除し、[追加] をクリックします。
- [受信コネクタのバインドの追加] ダイアログ ボックスで、[IP アドレスの指定] を選択します。外部の SMTP ゲートウェイとの通信に最適なローカル サーバー上のネットワーク アダプターに割り当てられている IP アドレスを入力します。ポートフィールドの値が 25 であることを確認し、[OK] をクリックします。[HELO または EHLO に応答してこのコネクタが提供する FQDN を指定する] フィールドを空白にしたまま、[次へ] をクリックします。
- [リモート ネットワーク設定] ページで、ネットワークの範囲エントリをすべて削除し、[追加] をクリックします。
- [リモート サーバーの IP アドレスの追加] ダイアログ ボックスで、外部の SMTP ゲートウェイ サーバーの IP アドレスを入力し、[OK] をクリックした後、[次へ] をクリックします。
- [新規コネクタ] ページで、[構成の概要] を確認します。問題がなければ、[新規作成] をクリックします。変更したい場合は、[戻る] をクリックします。
- [完了] ページで以下のことを確認し、[終了] をクリックしてウィザードを終了します。
- [完了] の状態は、ウィザードでタスクが正常に完了したことを示します。
- [失敗] の状態は、タスクが完了しなかったことを示します。タスクが失敗した場合は、説明の概要を確認し、[戻る] をクリックして構成を変更します。
- 作成した受信コネクタについて、次の手順に従って Anonymous 許可グループを追加します。
- 作業ウィンドウで、手順 2. で作成した受信コネクタを選択し、操作ウィンドウで [プロパティ] をクリックします。
- [許可グループ] タブをクリックします。[匿名ユーザー] を選択し、[OK] をクリックします。[OK] をクリックして変更を保存し、[プロパティ] ページを閉じます。
- 作成した受信コネクタについて、次の手順に従って中継アクセス許可を匿名ログオン セキュリティ プリンシパルに追加します。
シェルを開きます。
手順 2 で作成し、手順 3 で変更した受信コネクタの名前を使用して、次のコマンドを実行します。
Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
構文およびパラメーターの詳細については、「Get-ReceiveConnector」と「Add-ADPermission」のトピックを参照してください。
シェルを使用して、ハブ トランスポート サーバーと外部の SMTP ゲートウェイ間の匿名中継を使用するインターネット メール フローを確立する
この例では、匿名の中継を使用して外部 SMTP ゲートウェイである "smtpgateway1.contoso.com" 経由で外部に電子メールを送信するよう構成されている "HubA" というハブ トランスポート サーバーが使用する、"ToInternetGateway" という送信コネクタを作成しています。
New-SendConnector -Name "ToInternetGateway" -Usage Internet -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism None -SourceTransportServers "HubA" -DNSRoutingEnabled $false
この例では、IP アドレスが 192.168.5.77 の SMTP ゲートウェイ サーバーから、ポート 25 上のローカル IP アドレス 10.2.3.4 で匿名の接続を待機する "HubA" というハブ トランスポート サーバー上に "FromInternetGateway" という受信コネクタを作成しています。
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
この例では、手順 2 で作成した受信コネクタ上の匿名ログオン セキュリティ プリンシパルに中継アクセスを許可しています。
Get-ReceiveConnector "FromInternetGateway" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
構文およびパラメーターの詳細については、「New-SendConnector」、「New-ReceiveConnector」、「Get-ReceiveConnector」、および「Add-ADPermission」を参照してください。