Exchange Online Protection (EOP) につきましては、外部からメールを受信した場合、 [接続 フィルター] > [マルウェア フィルター] > [トランスポート ルール] > [スパム フィルター] の順番でフィルタリング機能が動作し、各ユーザーのメールボックスにメッセージが配信されます。 

-補足- 

[トランスポートルール] はフィルタリングとは異なり、指定した条件に対してアクションをおこなう機能です。 

また、送信時には [マルウェア フィルター] > [送信スパム] により Exchange Online から送信されるメールアイテムをフィルタリングします。 

※[トランスポートルール]を設定している場合は、送信時も対象となるメールに適用されます。 

以下にそれぞれの機能の概要をご紹介していきたいと思います。 

＜接続フィルター＞ 

[接続フィルター] につきましては、送信元 IP アドレスにて Exchange Online への配信を許可もしくは拒否することが可能です。 

マイクロソフトで採用しているブロックリストに送信元 IP アドレスが登録されたことにより、受信を拒否している場合に、送信元 IP アドレスを [IP 許可一覧] に登録することで、ブロックリストを回避し、受信することが可能となります。 

なお、許可した IP アドレスから送信されるメールについては、[スパムフィルター] のスパム判定も回避される動作です。 

また、メールアドレスやドメイン単位ではなく、サーバーの送信元 IP アドレス単位で拒否したい場合は、[IP 禁止一覧] に登録することで拒否することが可能です。 

-補足- 

接続フィルダーの[IP 禁止一覧]でブロックした場合は、[メッセージ追跡]のログには記録が残りません。 

＜マルウェアフィルター＞ 

メールに含む添付ファイルやコンテンツをチェックし、パターンファイルにマッチングしマルウェア判定されたものに対し、フィルタリング処理を実施してます。 

動作としては、メールの添付ファイル内でマルウェアが検出された場合は、メッセージが検疫され、管理者以外は解放できなくなります。 

マルウェア判定された場合の既定のアクションは [いいえ] に設定されており、メッセージが検疫された場合に、その受信者に配信されたメールの元ファイルが無い状態で受信する動作となります。 

[はい。既定の通知テキストを使用します。] を選択すると、マルウェア検知されたファイルを [Malwere Alert Text.txt] に置換したメールを、受信者に配送する動作となります。 

[はい。独自の通知テキストを使用します。] については、マルウェア検知された添付ファイルを、管理者が指定した本文の通知テキストファイルに置換して受信者にメールを配信する動作となります。 

マルウェアフィルターにて検知されたメールについては、[管理者への通知] 機能を有効にすることで、該当のメールがマルウェア判定された場合、指定のアドレスあてに通知メールを配送することもできます。 

※既定では、送信者や管理者に通知メールは配信されません。 

なお、マルウェア フィルターについては設定などで回避や無効化をすることができないフィルターです。 

-補足- 

添付ファイルをパスワード付きのZIPファイルにして送信した場合は、フィルタリングを回避して受信ができます。 

パスワードが、1234など簡単なものである場合は、回避できないとの情報があります。 

＜トランスポートルール＞ 

Exchange Online から送受信するメール対して条件を設定し、対象となったメールに指定した処理を実施する機能です。 

そのため、他の EOP のフィルタリングと異なり、運用に合わせてメールを拒否する場合や迷惑メールと判定させないようにしたい送信元に対して [スパムフィルター] のフィルタリングを回避することが可能です。 

＜スパムフィルター＞ 

Exchange Online が外部から受信したメールは、[スパムフィルター] によってフィルタリングされ、メールの内容や送信元などの情報を総合的に評価した結果として SCL (Spam Confidence Level) という値をメールに付与します。 

このSCL の値が一定の値を超えた場合、対象のメールはスパムメールであると判断され、コンテンツフィルターの設定に従って処理されます。 

-補足- 

SCLが5、6の場合は、[スパムフィルター]の[スパム]のアクションが適用されます。 

SCLが9の場合は、[スパムフィルター]の[信頼度の高いスパムフィルター]が適用されます。 

既定のアクションは、[迷惑メールフォルダーにメッセージを移動する] に設定されており、スパムと判定されたメールは迷惑メールフォルダーに受信します。 

設定できるアクションを以下にて紹介します。 

1. [迷惑メールフォルダーにメッセージを移動する]

既定に設定されている動作で、スパム判定をされたメールは、受信者の迷惑メールフォルダーへ配信されます。 

2. [X -ヘッダーを追加する]

スパム フィルターにより迷惑メールと判定されたメールのヘッダー内に任意の語句を追加し、迷惑メールフォルダに配信します。 

3. [件名行の先頭にテキストを追加する]

スパム フィルターにより迷惑メールと判定されたメールの件名に任意の語句を追加し、迷惑メールフォルダに配信します。 

4. [メールアドレスにメッセージをリダイレクトする]

スパム フィルターにより迷惑メールと判定されたメールを指定のメールアドレスにリダイレクトします。 

5. [メッセージを削除する]

スパム フィルターにより迷惑メールと判定されたメールを削除します。 

どこにも配信されない動作となります。 

この際、以下のログが記録され、送信元へは NDR は返らない動作です。 

[{LED=550 4.3.2 QUEUE.TransportAgent; message deleted by transport agent};{MSG=};{FQDN=};{IP=};{LRT=}] 

6. [メッセージを隔離する] 

スパム フィルターにより迷惑メールと判定されたメールを、Exchange Online サーバー内の検疫フォルダーに隔離します。 

メールアイテムが [検疫] され、[エンドユーザーのスパム通知の構成をする...] を設定していた場合には、受信者に対し、メールが検疫された旨の通知が届きます。 

なお、[エンドユーザーのスパム通知の構成をする...] の設定は、[メッセージを隔離する] に設定している場合のみ有効となります。 

＜送信スパム＞ 

送信スパムとは、組織内から組織外へ送信したメールアイテムがスパムとして判定を受けた場合の動作を制御しております。 

なお、送信スパムとして判定された場合は、配信が制御される動作ではなく、別の IP アドレスプールの経路（高リスク配信プール）を通り配送される動作となります。 

高リスク配信プールから送信されたメッセージは、相手先の受信サーバーにてスパムと判定される可能性が高くなり、受信の際のフィルター動作に影響する場合があります。 

これは、組織内からのスパムメール送信を防止するための機能ではなく、クラウドサービスの特性上、大多数のユーザーが同一のサーバー群を利用することによるリスクを分散し、正常なメールの信頼性を高める機能です。 

また、送信者禁止リストによるフィルタリングもおこなわれており、大量送信などスパムの送信元と判定されるような動作をした場合、送信が禁止される動作です。 

管理者にて、セキュリティコンプライアンスセンターの[制限されたユーザー]で登録の解除ができます。 

IP スロットリングは、送信元の IP アドレスとメールの送信量やレビュテーションから総合的に判断し、一定期間、該当の IP アドレスからの送信を制限する機能です。 

-補足- 

レピュテーションについては、送信履歴や今まで送信したメールが受信者側で迷惑メールと判定された場合などで、該当の送信元 IP アドレスの評価に影響します。 

特徴として、Exchange Online 内部に到達する前のフィルタリング機能であるため、[メッセージの追跡] に該当のメールのログが表示されていないことや [451 4.7.500 Server busy. Please try again later.] や [451 4.7.500 Access denied, please try again later.] のエラー内容であることを確認してます。 

-補足- 

配信不能通知 (NDR) が送信元に返っていない場合は、送信元のログからエラー内容を確認する必要があります。 

どのような判定基準であるかなどIP スロットリングの動作に関する詳細については、セキュリティ情報に該当するため開示されていません。 

※外部に判定基準を漏らしたら、悪い人間からOffice365にスパムやらウィルスやら送りたい放題になりますから、開示されていないのは当然のことです。 

基本的には登録が一定期間経過して解除されるまで待つのみです。解除される時間も公開されていませんが、だいたい24時間くらいとの情報はあります。 

なお、予防策として IP スロットリングの回避方法としては、送信元 IP アドレスを受信コネクタに登録することで回避することが可能です。 

-補足- 

あくまで予防なので、登録されている状態で受信コネクタに登録しても改善するわけではないので、ご注意を！ 

IP スロットリング機能を回避するコネクタの作成方法について、以下にご紹介します。 

■ IP スロットリングを回避するための受信コネクタの設定手順 

1. https://outlook.office365.com/ecp/にアクセスし、管理者のユーザーでサインインします。 
2. Exchange 管理センターにて画面左のメニューから [メールフロー] > [コネクタ] の順にクリックします。
3. [新規作成(+)] をクリックします。
4. コネクタの作成画面が表示されますので、それぞれ下記の設定をします。

4-1. メールフローのシナリオを選択 

      送信元 : 組織のメールサーバー 

      送信先 : Office 365 

4-2. 新しいコネクタ 

      名前：任意のコネクタ名 

      内部の Exchange メールのヘッダーを保持する : チェックを外します。 

4-3. メール サーバーからのメールを Office 365 が識別する方法を選択します。 

      [送信側サーバーの IP アドレスが、組織に属するこれらの IP アドレスのいずれかに一致することを確認する] を選択します。 

      [+ (追加)] をクリックし、該当の送信元 IP アドレスを追加します。 

4-4. [保存] をクリックします。 

※ 設定の反映までにお時間を要する場合がございます。 

-補足- 

IPスロットリングを回避する場合、送信元は[組織のメールサーバー]でないと回避できません。 

受信コネクタについてご紹介した時にも記載しましたが、[組織のメールサーバー]を指定する場合は、 

共有されていない保有している固定IPアドレスでないといけないため、他クラウドサービスやセキュリティサーバーの場合は、この方法は利用できません。 

[パートナー組織]を指定してもまったく意味がありませんので、ご注意を！ 

なお、送信元が共有のIPアドレスを利用している場合は、送信元サーバーにて徐々にメールの流量を増やす [ウォームアップ] による回避方法もあります。 

とは言っても、やはり明確なやり方については開示されていません。 

一般的な内容ではありますが、ご紹介させていただきます。 

■一般的なウォームアップの方法 

1.月ごとのメール配信数を見積もり、それを30で割ります。 

2.はじめの 30日間、1)で割り出した通数のメールを配信します。 

例）月間 9万通のメールを送る場合は、はじめの30日間、毎日3千通ずつメールを配信します。 

■ より積極的なウォームアップ方法 

1.月ごとのメール配信数を見積もり、それを15で割ります。 

2.はじめの 15日間、1)で割り出した通数のメールを配信します。 

例）月間 9万通のメールを送る場合は、はじめの15日間、毎日6千通ずつメールを配信します。  

※スロットリングが発生した場合は、配信数を減らしましょう。 

プロバイダーなどは、自身のシステムに配信されるメールの記録を1ヶ月分残していますので、ウォームアップはおよそ30日周期で行うのが効果的であると考えられます。 

docs.microsoft.com

コネクタには送信コネクタと受信コネクタがあります。 

まずは、送信コネクタについてご紹介していきたいと思います。 

送信コネクタを作成する場合、送信元をプルダウンにて、「Office365」を指定し、送信先を「組織のメールサーバー」、または、「パートナー組織」とします。 

概念としては、「組織のメールサーバー」はオンプレミスなど固有で保持しているサーバーの場合、「パートナー組織」は他クラウドサービスなど共有しているサーバーです。 

送信コネクタを設定する目的としては、以下の2点くらいです。 

1. セキュリティサーバーなど別のサーバーへメールをルーティングする場合 
2. TLS接続の暗号化を強制してメールを配信したい場合 

だいたいは、1.の別のサーバーへルーティングする場合に利用するシナリオが多いと思います。 

例えば、MXレコードがOffice365を向いているドメインで、外部サーバーでもそのドメインを利用したい場合などに、コネクタで配信したい外部サーバーのMXレコードをスマートホストに登録します。 

それにより、MXレコードを参照してOffice365に配信されたメールを指定した外部サーバーへルーティングし、外部サーバーに存在しているメールボックスにメールを配信することができます。 

-補足- 

該当の承認済みドメインが権限ありの場合だと、ルーティングされずにOffice365に存在しないメールアドレスとして送信元に配信不能通知を返されてしまいます。 

そのため、該当の承認済みドメインを内部の中継にあらかじめ変更しておかないといけません。 

また、トランスポートルールと組み合わせてコネクタを設定することができますので、ルールの条件に一致したメールだけを送信コネクタで外部サーバーにルーティングすることもできます。 

あと、送信コネクタの作成の際に最後に検証が自動的におこなわれますが、あくまで参考レベルの検証なので、結果はあまり気にしなくていいようです。 

検証に失敗した場合でも、問題なくルーティングされることがあるようなので、実際の動作で検証したほうがいいと思います。 

1 つの送信コネクタにおいて、複数のスマートホスト先を指定した場合は、負荷分散を図るためラウンドロビン方式にて接続を試みます。 

そのため、接続先の優先度はなくそれぞれの IP アドレスへ順に接続を行う動作となりますが、万が一接続対象となったメールサーバーが Exchange Online の接続に応答出来ない状態であっても、自動的に次のスマートホストに切り替えて接続します。 

なお、一方のスマートホスト先にて 500 番台の恒久的なエラーによって拒否された場合は、その他スマートホスト先への接続を行わずに、即時に配信不能通知 (NDR) を配送します。 

-補足- 

１つの送信コネクタではなく、複数の送信コネクタを作成し、それぞれ同じドメインを対象とした場合は、設定内容や内部処理により優先されるコネクタが決定しますが、送信コネクタの英数字の名前順によって優先順位があることを確認してます。 

例として "Aconnecter" と "Bconnecter" が同一条件として存在する場合、利用されるコネクタは "Aconnecter" となります。 

一例として、以下に送信コネクタの作成手順を記載しますので、ご参考としていただければ幸いです。 

■ 送信コネクタを設定する手順 

1. 管理者権限を付与したユーザーにて、Office365 ポータルサイト (https://portal.office.com) にサインインし、[管理者] アイコンをクリックします。 
2. [管理者]アイコンをクリックし、[Microsoft 365管理センター] の左側のメニューから [管理者] > [Exchange] をクリックします。   
3. 左側メニューより[メールフロー] をクリックします。 
4. 中央画面より[コネクタ] をクリックし、[+] アイコンをクリックします。 
5. [コネクタの新規作成]ウィンドウにて、[送信元]のプルダウンメニューから [Office365] を、[送信先] のプルダウンメニューから [パートナー組織] を選択し、[次へ] をクリックします。 
6. [名前]を入力し、[次へ]をクリックします。 
7. [このコネクタはいつ使いますか]の画面にて、[メールメッセージが以下に示されたドメインに送信される場合のみ] を選択します。 
8. [+]をクリックし、[ドメインの追加]ウィンドウにて、該当のドメインを入力し、[OK] > [次へ] をクリックします。 
9. [電子メールメッセージをどのようにルーティングしますか]の画面にて、[これらのスマートホストを使ってメールをルーティングする]を選択し、[+] をクリックして配信先のサーバーの FQDN または IP アドレスを入力し、[保存] をクリックします。 
10. [常にトランスポート層セキュリティ(TLS)を使って接続をセキュリティで保護する] のチェックにつきましては、配信先のサーバーの設定にあわせて、TLS 接続を強制する場合は選択ください。 

※ TLS を外した場合は、STARTTLS により送信先サーバーの対応状況に合わせて TLS を使用します。 

11. 設定の確認画面が表示されたら、[次へ]をクリックします。 
12. [このコネクタの検証]にて[+ (追加) ] をクリックし、テストメールを送信するメールアドレスを入力し、[OK] をクリックします。 
13. [検証]をクリックします。
14. [完了しました]の画面が表示されたら、[閉じる]をクリックします。 
15. [保存]をクリックします。

※ 検証が失敗してもコネクタの動作には影響はございません。警告メッセージが出ますが、[はい] をクリックして設定を完了してください。 

technet.microsoft.com

 次回は受信コネクタについて紹介していきたいと思います。