受信者のフィルタ
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2006-08-21
受信者フィルタ エージェントは、Microsoft Exchange Server 2007 エッジ トランスポート サーバーの役割がインストールされているコンピュータで使用できるスパム対策エージェントです。受信者フィルタ エージェントは、RCPT TO SMTP (簡易メール転送プロトコル) ヘッダーに基づいて、受信メッセージに対して行う処理がある場合にどの処理を行うかを判断します。
エッジ トランスポート サーバーでスパム対策エージェントを構成すると、エージェントはメッセージに対して累積的に処理を実行し、迷惑なメッセージが組織に入る数を減らします。スパム対策エージェントの計画と展開を行う方法の詳細については、「スパム対策およびウイルス対策向けの機能」を参照してください。
受信者フィルタ エージェントは、組織内の対象受信者の特性に従ってメッセージをブロックします。受信者フィルタ エージェントは、以下のシナリオでメッセージの受信を阻止できます。
- 存在しない受信者 組織のアドレス帳に存在しない受信者への配信を阻止できます。たとえば、administrator@contoso.com や support@contoso.com など、頻繁に乱用されるアカウント名への配信を停止できます。
- 配布リストの制限 内部ユーザーだけが使用する配布リストへのインターネット メールの配信を阻止できます。
- インターネットからのメッセージの受信を禁止するメールボックス ヘルプデスクなど、一般に組織内部で使用される特定のメールボックスやエイリアスへのインターネット メールの配信を阻止できます。
受信者フィルタ エージェントは、以下のデータ ソースの一方または両方に登録されている受信者に影響を及ぼします。
- 受信者禁止一覧 インターネットからのメッセージの受信を拒否する、管理者が定義した受信者の一覧。
- 受信者参照 受信者が組織内に存在することの確認。受信者参照では、EdgeSync によって Active Directory Application Mode (ADAM) に提供される Active Directory ディレクトリ サービス情報へのアクセスが必要になります。
受信者禁止一覧機能および受信者の参照機能の詳細については、後の「受信者データ ソース」を参照してください。
受信者フィルタ エージェントを有効にすると、受信者の特性に従って、以下のいずれかの処理が受信メッセージに対して行われます。これらの受信者は、RCPT TO ヘッダーで指定されます。
- 受信者禁止一覧に登録されている受信者が受信メッセージに含まれている場合、エッジ トランスポート サーバーは、"550 5.1.1 User unknown" という SMTP セッション エラーを送信側サーバーに送信します。
- 受信者参照内のどの受信者にも一致しない受信者が受信メッセージに含まれている場合、エッジ トランスポート サーバーは、"550 5.1.1 User unknown" という SMTP セッション エラーを送信側サーバーに送信します。
- 受信者が受信者禁止一覧に登録されておらず、受信者参照内に存在する場合、エッジ トランスポート サーバーは、"250 2.1.5 Recipient OK" という SMTP 応答を送信側サーバーに送信し、続いてスパム対策エージェントがメッセージを処理します。
受信者データ ソース
前に説明したように、受信者フィルタ エージェントは、受信メッセージの受信者を比較するときに、受信者禁止一覧と受信者参照の 2 つのデータ ソースを参照します。
受信者禁止一覧
受信者禁止一覧は、エッジトランスポート サーバー管理者によって管理される一覧です。受信者禁止一覧のデータは、ADAM のエッジ トランスポート サーバー インスタンスに格納されます。エッジ トランスポート サーバー コンピュータごとに、ブロックする受信者を入力する必要があります。
Exchange 管理コンソールの場合は、[受信者のフィルタのプロパティ] ページの [ブロックする受信者] タブで、受信者フィルタ エージェントでブロックする受信者を入力します。Exchange 管理シェルで Set-RecipientFilterConfig コマンドを使用して、受信者を入力します。受信者フィルタ エージェントを構成する方法の詳細については、「受信者のフィルタの構成」を参照してください。
受信者参照
受信者フィルタ エージェントの利点として、Exchange 2007 がメッセージを組織に転送する前に、受信メッセージに含まれる受信者が組織に存在することを確認するという機能があります。組織内の受信者を確認する機能は、エッジ トランスポート サーバーで使用できる受信者データ ソースに依存します。エッジ トランスポート サーバーは Active Directory ドメインによって結合されたコンピュータではなく、ファイアウォールによって組織から隔離されている場合があるため、エッジ トランスポート サーバーで使用できるように受信者参照データ ソースを構成する必要があります。
エッジ トランスポート サーバーの役割は、構成とデータの格納に ADAM を使用します。詳細については、「エッジ サブスクリプションを使用した ADAM への Active Directory データの書き込み」を参照してください。
タールピット機能
受信者の参照機能により、送信側サーバーで電子メール アドレスが有効か無効かを判別することができます。前に説明したように、受信メッセージの受信者が既知の受信者である場合、エッジ トランスポート サーバーは、"250 2.1.5 Recipient OK" という SMTP 応答を送信側サーバーに返します。この機能により、ディレクトリ獲得攻撃に備えた理想的な環境が実現します。
ディレクトリ獲得攻撃とは、電子メール アドレスをスパム データベースに追加するために、特定の組織から有効な電子メール アドレスを収集しようとする試みです。受信者が電子メール メッセージを開かない限りスパムによる収益は得られないため、有効性が確認されているアドレスは、悪意のあるユーザー、つまりスパム発信者にとって価値のある商品となります。SMTP プロトコルを使用すると、既知の送信者と不明な送信者に関するフィードバックが提供されるため、スパム発信者は、一般的な名前や辞書に記載されている用語を使用して、特定のドメインに宛てた電子メール アドレスを構成する自動プログラムを作成できます。このプログラムは、"250 2.1.5 受信者 OK (250 2.1.5 Recipient OK)" という SMTP 応答が返ってきたすべての電子メール アドレスを収集し、"550 5.1.1 User unknown" という SMTP セッション エラーが返ってきたすべての電子メール アドレスを破棄します。さらに、スパム発信者は、有効な電子メールを売ることも、迷惑メールの受信者として使用することもできます。
ディレクトリ獲得攻撃を防止するために、Exchange 2007 にはタールピット機能が搭載されています。タールピットとは、容量の大きなスパムや他の望ましくないメッセージを示す特定の SMTP 通信パターンに対して、サーバーの応答を意図的に遅延させる方法です。タールピットの目的は、このような電子メール トラフィックの通信処理速度を低下させ、スパムを送信している個人または組織のスパム送信コストを増大させることにあります。タールピットによって、ディレクトリ獲得攻撃には非常にコストがかかるようになり、効率的な自動化が不可能になります。
タールピットが構成されていない場合、受信者が受信者参照に存在しないと、Exchange Server は直ちに "550 5.1.1 User unknown" という SMTP セッション エラーを送信者に返します。反対に、タールピットが構成されている場合は、SMTP は指定した秒数が経過するまで待機してから、"550 5.1.1 User unknown" エラーを返します。このように SMTP セッションで一時停止期間を設けることにより、ディレクトリ獲得攻撃の自動化はさらに困難になり、スパム発信者にとっての費用対効果が低下します。既定では、タールピットは受信コネクタで 5 秒に構成されています。
SMTP が "550 5.1.1 User unknown" エラーを返すまでの時間を構成するには、Exchange 管理コンソールまたは Exchange 管理シェルを使用して、受信者コネクタで TarpitInterval 値を設定します。受信者コネクタを管理および構成する方法の詳細については、「受信コネクタ」を参照してください。
複数の名前空間
組織によっては、複数のドメイン宛ての電子メール メッセージを受信する場合があります。たとえば、1 つの組織で、Contoso.com と Woodgrovebank.com という 2 つのドメイン宛てのメッセージを受信する場合があります。また、メッセージを受信するすべてのドメインに対する権限を組織が持っている場合もあります。SMTP のコンテキストでは、組織がドメインのメールボックスをホストおよび管理している場合、組織がそのドメインに対する権限を持ちます。この関係は、エッジ トランスポート サーバーまで拡張されます。エッジ トランスポート サーバーは複数のドメイン宛てのメッセージを受信できますが、そのドメインのすべてに対して権限を持っているわけではない場合があります。たとえば、Contoso.com ドメインのすべての受信者に対して権限を持つように構成されたエッジ トランスポート サーバーでも、Woodgrovebank.com ドメイン宛てのメッセージを受信したり、転送したりします。
受信者フィルタ エージェントを有効にすると、受信者フィルタ エージェントは、トランスポート サーバー構成で権限を持つと指定されたドメインに対してのみ受信者参照を実行します。エッジ トランスポート サーバーが別のドメインに代わってメッセージを受信および転送する際に、権限を持つように構成されていない場合は、受信者フィルタ エージェントによる受信者参照は実行されません。ただし、受信者禁止一覧で権限のない受信者が指定されている場合は、受信者はやはりブロックされます。
詳細情報
詳細については、以下のトピックを参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。