- SMTPリレーとは?
- SMTP リレーの構成要件
- 第三者の信頼できる証明機関 (CA) からの証明書とは?
- 受信コネクタの動作について
- 受信コネクタの作成手順
- SMTPリレーはうまく動作しない場合に確認すべき点は?
SMTPリレーとは?
社内メールサーバーから Exchange Online を経由して組織外へメールを送信するようにメールフロー環境を構成する事は、SMTP リレーの設定を行う事で可能です。
SMTP リレーは、Microsoft365 内のメールボックスを経由せず、直接 Microsoft365のフィルター機能である Exchange Online Protection (EOP) に接続して外部へ配信する方法となります。
なお、送信元のシステム、MTAやクライアントにて、SMTP 送信が可能である環境が必要です。
複合機やシステムから他のSMTPサーバーに接続して送信できる状態である必要があります。
EOPを経由して社内SMTPサーバーからのメッセージを外部へ送信する場合に、送信するユーザー数と同数のEOP、または Exchange Online のライセンスが必要です。
理由として、Microsoft365 外部のシステム、またはメールボックスからの送信を EOP の保護機能を経由して送信するため、Microsoft365 テナント内のメールボックス以外の保護を行うこととなります。
このため、契約上、EOP を利用するための費用として、ライセンスを購入する必要があります。
送信元アドレスが、Microsoft365に登録されており、Exchange Onlineなどのライセンスを持っているアカウントのアドレスであればライセンスの購入は不要です。
SMTPリレーの構成要件は以下のとおりです。
SMTP リレーの構成要件
1. 25 番ポートを利用できる環境
2. 暗号化方式は TLS で任意で設定 (Ver 1.2 または 1.3)
3. グローバル IP アドレス (固定 IP アドレス) を利用できる環境 (証明書ベースのコネクタの場合は必須ではありません)
4. 接続先 (エンドポイント) はMicrosoft365 テナントで利用のドメインのホスト名 (MX レコード)
例 : Microsoft365 テナントに登録されている onmicrosoft.com のドメインの MX レコードなど (******.mail.protection.outlook.com の形式)
5. Exchange管理センターで [組織のメールサーバー] の [受信コネクタ] を作成する必要があります。
注意点
・SMTP リレーの利用時に送信者メールアドレスが Exchange Online に存在しないユーザーの場合は、送信するユーザー数と同数の Exchange Online Protection (EOP)、または Microsoft 365 (Exchange Online) のライセンスを購入する必要があります。
・[SMTP リレー] の利用時に送信元アドレス (エンベロープ From) が利用しているテナントの承認済みドメインではない場合は、公的証明書ベースの受信コネクタの設定が必須となります。
また、Microsoft 365 で認証するために送信側サーバーの証明書を利用する場合は、第三者の信頼できる証明機関 (CA) からの証明書が必要となります。
送信元アドレス (エンベロープ From) が利用テナントの承認済みドメインの場合は、IP アドレスベースの受信コネクタの設定で問題ありません。
第三者の信頼できる証明機関 (CA) からの証明書とは?
第三者の信頼できる証明機関は、パブリック認証局(CA)のみが対象であり、以下の公開情報に記載されていないパブリックCAについては、動作保証していないため、リストの [Microsoft Status] の列の値が Included となっているルート証明書を持つパブリックCAであれば、第三者の信頼できる証明書機関からの証明書として利用することができます。
プライベートCAやActive Directory Certificate Services (AD CS) の証明書は対象ではありません。
受信コネクタの動作について
送信元サーバーから Exchange Online の MX レコードをスマートホストとして配信された際に、合致する受信コネクタをすべてのMicrosoft365テナントから探し、合致したテナントにメールが配信されます。
証明書ベースとIPアドレスベースの受信コネクタがありますが、優先度としては、先に証明書ベースのコネクタを設定しているテナントがあるか確認し以下のいずれかに合致した場合に証明書ベースの受信コネクタがあるテナントに配信されます。
- 送信側サーバーの証明書のサブジェクトと受信コネクタに設定している証明書のサブジェクトとして指定しているドメインが合致している。
- 送信者のアドレスのドメインが受信コネクタを設定しているテナントの承認済みドメインとして登録されている。
上記のいずれにも合致しない場合は、証明書ベースの受信コネクタは動作せずに、IPアドレスベースのコネクタが設定されているテナントがあるか確認し、送信元サーバーの送信元IPアドレスを設定している受信コネクタがあるテナントに配信されます。
IPアドレスベースの受信コネクタの場合は、エンベロープFrom のドメインがテナントの承認済みドメインに登録されていないと中継を拒否します。
受信コネクタの作成手順は以下のとおりです。
受信コネクタの作成手順
1. 全体管理者の権限を付与したアカウントで、Exchange 管理センター (https://admin.exchange.microsoft.com/) にサインインします。
2. 左側メニューより [メールフロー] > [コネクタ] をクリックします。
3. 右側画面の [+ コネクタを追加] をクリックします。
4. [新しいコネクタ] 画面で [組織のメールサーバー] を選択し、[次] をクリックします。
5. [コネクタ名] 画面で [名前] を任意に入力し、[次] をクリックします。
6-1. [送信メールを認証する] 画面で [送信側サーバーの IP アドレスが、あなたの組織にのみ属している次の IP アドレスのいずれかと一致することを確認する] を選択します。
6-2. 入力欄に送信元 IP アドレスを入力して [+] をクリックし、欄の下に表示されたことを確認してから [次] をクリックします。
※ 複数の IP アドレスや CIDR 表記の範囲指定も可能です。
<送信者ドメインが利用テナントの承認済みドメインでない場合>
7-1. [送信メールを認証する] 画面で [送信側サーバーが Office 365 での認証に使用する証明書のサブジェクト名が、次のテキスト ボックスに入力されたドメインと一致することを確認する] を選択します。
7-2. 証明書のサブジェクト名 (SAN) を入力し、[次] をクリックします。
8. [コネクタを確認する] 画面で設定内容を確認し、問題がなければ [コネクタを作成] をクリックします。
SMTPリレーはうまく動作しない場合に確認すべき点は?
- SMTPリレーの構成要件を満たしているか?
- 受信コネクタの設定は問題ないか?
- スマートホスト(接続先)にExchangeOnline のMXレコードを指定しているか?
- 送信元のSMTPログにスマートホストに配信した際にエラーが記録されていないか?
次回は、SMTPクライアント送信について紹介していきたいと思います。
