受信コネクタで匿名の中継を許可する方法

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-07-02

ここでは、Exchange 管理コンソールまたは Exchange 管理シェルを使用して、匿名の中継を許可する受信コネクタを作成して構成する方法について説明します。受信コネクタは、Microsoft Exchange Server 2007 のハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割がインストールされているサーバー上で構成されます。

中継とは、受信側の SMTP メッセージング サーバーがメッセージの最終的な送信先でない場合に、ある SMTP (簡易メール転送プロトコル) メッセージング サーバーから別の SMTP メッセージング サーバーにメッセージを転送することです。制限されていない場合、インターネット SMTP メッセージング サーバー上での匿名の中継は深刻なセキュリティ上の欠陥になります。つまり、匿名の中継は、迷惑な商用電子メールの送信者つまりスパム発信者によって、メッセージの送信元を隠すために利用される可能性があります。このため、権限のない送信先に中継できないように、インターネットに直接接続されたメッセージング サーバーには制限が設定されます。

Exchange 2007 では、通常、承認済みドメインを使用して中継を処理します。承認済みドメインは、エッジ トランスポート サーバーまたはハブ トランスポート サーバー上で構成されます。承認済みドメインは、内部の中継ドメインまたは外部の中継ドメインとしてさらに分類されます。承認済みドメインの詳細については、「承認済みドメインの管理」を参照してください。

受信メッセージの発信元に基づいて、匿名の中継を制限することもできます。この方法は、認証されていないアプリケーションまたはメッセージング サーバーで、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーを中継サーバーとして使用する必要がある場合に役立ちます。

開始する前に

この手順を実行するには、使用するアカウントに以下が委任されている必要があります。

• 対象サーバーの Exchange Server 管理者の役割およびローカルの Administrators グループ

エッジ トランスポート サーバーの役割がインストールされているコンピュータで以下の手順を実行するには、そのコンピュータのローカルの Administrators グループのメンバであるアカウントを使用してログオンする必要があります。

Exchange 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。

特定の発信元 IP アドレスに匿名の中継を許可する受信コネクタの作成

匿名の中継を許可するように構成される受信コネクタを作成する場合、受信コネクタに次の制限を設定する必要があります。

• ローカル ネットワーク設定   ハブ トランスポート サーバーまたはエッジ トランスポート サーバー上にある適切なネットワーク アダプタでのみ待機するように、受信コネクタを制限します。
• リモート ネットワーク設定   指定されたサーバー (複数可) からの接続のみを受け付けるように、受信コネクタを制限します。この制限が必要になるのは、匿名ユーザーからの中継を受け付けるように受信コネクタが構成されているためです。IP アドレスによって接続元のサーバーを制限することは、この受信コネクタで許可される程度の保護しか実現できません。

受信コネクタで匿名ユーザーに中継アクセス許可を付与するには、次のセクションで説明されている戦略のどちらかを使用できます。それぞれの戦略には利点と欠点があります。

匿名接続での中継アクセス許可の付与

この戦略では次の作業を行う必要があります。

• 使用法の種類を Custom に設定して新しい受信コネクタを作成します。
• Anonymous 許可グループを受信コネクタに追加します。
• 受信コネクタ上の匿名ログオン セキュリティ プリンシパルに中継アクセス許可を割り当てます。

Anonymous 許可グループは、受信コネクタで匿名ログオン セキュリティ プリンシパルに次のアクセス許可を与えます。

• Ms-Exch-Accept-Headers-Routing
• Ms-Exch-SMTP-Accept-Any-Sender
• Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
• Ms-Exch-SMTP-Submit

ただし、この受信コネクタで匿名の中継を許可するには、受信コネクタ上の匿名ログオン セキュリティ プリンシパルに次のアクセス許可も付与する必要があります。

• Ms-Exchange-SMTP-Accept-Any-Recipient

この戦略の利点は、特定のリモート IP アドレスに中継するために必要な最小限のアクセス許可を付与できることです。

この戦略の欠点は次のとおりです。

• 別の手順として、受信コネクタを作成した後で Exchange 管理シェルを使用して受信コネクタの匿名ログオン アカウントに中継アクセス許可のみを割り当てることができます。
• 指定された IP アドレスから発信されたメッセージは、匿名メッセージとして扱われます。したがって、このメッセージでは、スパム対策の確認とメッセージ サイズの制限の確認が省略されず、匿名の送信者を解決することはできません。匿名の送信者の解決処理では、匿名の送信者の電子メール アドレスと、グローバル アドレス一覧内の対応する表示名とを強制的に一致させようとします。

  注 :

  Windows Server 2008 を実行するコンピュータに Exchange 2007 Service Pack 1 (SP1) を展開している場合は、IP アドレスおよび IP アドレス範囲を、Internet Protocol Version 4 (IPv4) 形式と Internet Protocol Version 6 (IPv6) 形式のどちらか一方または両方で入力できます。Windows Server 2008 の既定のインストールでは、IPv4 と IPv6 がサポートされています。 不明 IPv6 アドレスからの匿名接続を受け付けるように受信コネクタを構成しないことを、強くお勧めします。不明な IPv6 アドレスから匿名接続を受け付けるように受信コネクタを構成すると、組織に侵入するスパムの量が増える可能性があります。現在、IPv6 アドレスを検索するための広く受け入れられている業界標準プロトコルはありません。ほとんどの IP 禁止一覧プロバイダは、IPv6 アドレスをサポートしていません。したがって、受信コネクタで不明な IPv6 アドレスからの匿名接続を許可すると、スパム発信者が IP 禁止一覧プロバイダをバイパスし、組織内にスパムを配信できる可能性が高まります。 Exchange 2007 SP1 での IPv6 アドレスのサポートの詳細については、「Exchange 2007 SP1 および SP2 での IPv6 サポート」を参照してください。接続フィルタ、IP 許可一覧と IP 禁止一覧に IP アドレスを追加する方法、および IP 禁止一覧プロバイダ サービスと IP 許可一覧プロバイダ サービスの構成方法の詳細については、「接続フィルタの構成」を参照してください。

Exchange 管理コンソールを使用して匿名接続に中継アクセス許可を付与する新しい受信コネクタを作成するには、次の操作を行います。

1. Exchange 管理コンソールを開きます。次の手順のいずれかを実行します。

   1. エッジ トランスポート サーバーの役割がインストールされたコンピュータで受信コネクタを作成するには、[エッジ トランスポート] を選択し、作業ウィンドウで [受信コネクタ] タブをクリックします。
   2. ハブ トランスポート サーバーの役割で受信コネクタを作成するには、コンソール ツリーで [サーバーの構成] を展開し、[ハブ トランスポート] を選択します。結果ウィンドウで、コネクタを作成するサーバーを選択し、[受信コネクタ] タブをクリックします。

2. 操作ウィンドウで [受信コネクタの新規作成] をクリックします。SMTP 受信コネクタの新規作成ウィザードが起動します。

3. [概要] ページで、次の手順を実行します。

   1. [名前] ボックスに、このコネクタの意味のある名前を入力します。この名前は、コネクタを識別するために使用されます。
   2. "このコネクタの使用目的の選択" フィールドで、[カスタム] を選択します。
   3. [次へ] をクリックします。

4. [ローカル ネットワーク設定] ページで、次の手順を実行します。

   1. 既存の [利用できるすべて] エントリを選択し、 をクリックします。
   2. [追加] をクリックします。[受信コネクタのバインドの追加] ダイアログ ボックスで、[IP アドレスの指定] を選択します。リモート メッセージング サーバーとの通信に最適なローカル サーバー上のネットワーク アダプタに割り当てられている IP アドレスを入力します。
   3. [ローカル ネットワーク設定] ページで、[ポート] ボックスに、「25」と入力し、[OK] をクリックします。
   4. [次へ] をクリックします。

5. [リモート ネットワーク設定] ページで、次の手順を実行します。

   1. 既存の [0.0.0.0 - 255.255.255.255] エントリを選択し、 をクリックします。
   2. [追加]、または [追加] の横にあるドロップダウン矢印をクリックして、このサーバー上でメールの中継を許可するリモート メッセージング サーバー (複数可) の IP アドレスまたは IP アドレスの範囲を入力します。IP アドレスの入力を終えたら、[OK] をクリックします。
   3. [次へ] をクリックします。

6. [新しいコネクタ] ページで、コネクタの構成の概要を確認します。設定を変更する場合は、[戻る] をクリックします。構成の概要の設定を使用して受信コネクタを作成するには、[新規作成] をクリックします。

7. [完了] ページで、[終了] をクリックします。

8. 作業ウィンドウで、作成した受信コネクタを選択します。

9. 操作ウィンドウの受信コネクタの名前の下で [プロパティ] をクリックして [プロパティ] ページを開きます。

10. [許可グループ] タブをクリックします。[匿名ユーザー] を選択します。

11. [OK] をクリックし、この変更を保存して [プロパティ] ページを閉じます。

12. Exchange 管理シェルを開きます。

13. 手順 1. ～ 11. で作成した受信コネクタの名前を使用して、次のコマンドを実行します。

    Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    

Exchange 管理シェルを使用して匿名接続に中継アクセス許可を付与する新しい受信コネクタを作成するには、次の操作を行います。

1. 次のコマンドを実行します。

   New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
   

   たとえば、IP アドレス 192.168.5.77 の接続元サーバーからポート 25 上でローカル IP アドレス 10.2.3.4 を待機する "Anonymous Relay" という名前の新しい受信コネクタを作成するには、次のコマンドを実行します。

   New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
   

2. 手順 1. で作成した受信コネクタの名前を使用して、次のコマンドを実行します。

   Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
   

外部的にセキュリティで保護としての受信コネクタの構成

この戦略では次の作業を行う必要があります。

• 使用法の種類を Custom に設定して新しい受信コネクタを作成します。
• ExchangeServers 許可グループを受信コネクタに追加します。
• ExternalAuthoritative 認証機構を受信コネクタに追加します。

ExternalAuthoritative 認証機構を選択する場合は、ExchangeServers 許可グループが必要です。認証方法と許可グループのこの組み合わせにより、受信コネクタで許可されるすべての受信接続に次のアクセス許可が付与されます。

• Ms-Exch-Accept-Headers-Routing
• Ms-Exch-SMTP-Accept-Any-Sender
• Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
• Ms-Exch-SMTP-Submit
• Ms-Exch-Accept-Exch50
• Ms-Exch-Bypass-Anti-Spam
• Ms-Exch-Bypass-Message-Size-Limit
• Ms-Exch-SMTP-Accept-Any-Recipient
• Ms-Exch-SMTP-Accept-Authentication-Flag

この戦略の利点は次のとおりです。

• 簡単な構成。
• 指定した IP アドレスから発信されたメッセージは、認証されたメッセージとして扱われます。このメッセージでは、スパム対策の確認とメッセージ サイズの制限の確認が省略され、匿名の送信者を解決できます。

この戦略の欠点は、リモート IP アドレスが完全に信頼できると見なされることです。リモート IP アドレスに付与されるアクセス許可では、リモート メッセージング サーバーによって Exchange 組織の内部の送信者から発信されたようにメッセージを送信できます。

Exchange 管理コンソールを使用して外部的にセキュリティで保護される構成の新しい受信コネクタを作成するには、次の操作を行います。

1. Exchange 管理コンソールを開きます。次の手順のいずれかを実行します。

   1. エッジ トランスポート サーバーの役割がインストールされたコンピュータで受信コネクタを作成するには、[エッジ トランスポート] を選択し、作業ウィンドウで [受信コネクタ] タブをクリックします。
   2. ハブ トランスポート サーバーの役割で受信コネクタを作成するには、コンソール ツリーで [サーバーの構成] を展開し、[ハブ トランスポート] を選択します。結果ウィンドウで、コネクタを作成するサーバーを選択し、[受信コネクタ] タブをクリックします。

2. 操作ウィンドウで [受信コネクタの新規作成] をクリックします。SMTP 受信コネクタの新規作成ウィザードが起動します。

3. [概要] ページで、次の手順を実行します。

   1. [名前] ボックスに、このコネクタの意味のある名前を入力します。この名前は、コネクタを識別するために使用されます。
   2. "このコネクタの使用目的の選択" フィールドで、[カスタム] を選択します。
   3. [次へ] をクリックします。

4. [ローカル ネットワーク設定] ページで、次の手順を実行します。

   1. 既存の [利用できるすべて] エントリを選択し、 をクリックします。
   2. [追加] をクリックします。[受信コネクタのバインドの追加] ダイアログ ボックスで、[IP アドレスの指定] を選択します。リモート メッセージング サーバーとの通信に最適なローカル サーバー上のネットワーク アダプタに割り当てられている IP アドレスを入力します。
   3. [ローカル ネットワーク設定] ページで、[ポート] ボックスに、「25」と入力し、[OK] をクリックします。
   4. [次へ] をクリックします。

5. [リモート ネットワーク設定] ページで、次の手順を実行します。

   1. 既存の [0.0.0.0 - 255.255.255.255] エントリを選択し、 をクリックします。
   2. [追加]、または [追加] の横にあるドロップダウン矢印をクリックして、このサーバー上でメールの中継を許可するリモート メッセージング サーバー (複数可) の IP アドレスまたは IP アドレスの範囲を入力します。IP アドレスの入力を終えたら、[OK] をクリックします。
   3. [次へ] をクリックします。

6. [新しいコネクタ] ページで、コネクタの構成の概要を確認します。設定を変更する場合は、[戻る] をクリックします。構成の概要の設定を使用して受信コネクタを作成するには、[新規作成] をクリックします。

7. [完了] ページで、[終了] をクリックします。

8. 作業ウィンドウで、作成した受信コネクタを選択します。

9. 操作ウィンドウの受信コネクタの名前の下で [プロパティ] をクリックして [プロパティ] ページを開きます。

10. [許可グループ] タブをクリックします。[Exchange サーバー] を選択します。

11. [認証] タブをクリックします。[外部的にセキュリティで保護 (たとえば、IPSec を使用)] を選択します。

12. [OK] をクリックし、この変更を保存して [プロパティ] ページを閉じます。

Exchange 管理コンソールを使用して外部的にセキュリティで保護される構成の新しい受信コネクタを作成するには、次の操作を行います。

• 次のコマンドを実行します。

  New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
  

  たとえば、IP アドレス 192.168.5.77 の接続元サーバーからポート 25 上でローカル IP アドレス 10.2.3.4 を待機する "Anonymous Relay" という名前の新しい受信コネクタを作成するには、次のコマンドを実行します。

  New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
  

詳細情報

詳細については、以下のトピックを参照してください。

• 承認済みドメインの管理
• 受信コネクタ
• 新しい受信コネクタを作成する方法
• 受信コネクタの構成を変更する方法

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。