今回はセキュリティの観点から、Exchange Onlineでの電子メールの運用方法を解説する。
Office 365のExchange Onlineに標準搭載されている「Exchange Online Protection」(以下、EOP)は、スパムやマルウェアから組織を保護するクラウドベースの電子メールフィルター処理サービスである。
Office 365の運用管理者はWebベースの管理コンソールである「Exchange管理センター」(EAC)を通じて、スパムと判定するメールのレベル変更や、関連会社など特定の組織から受信するメールに対してはフィルタリングしないなどの制御を柔軟に行うことができる。Exchange OnlineでのEOPの利用方法としては、次の二つのシナリオが挙げられる。
まずは、EOPが実装されたExchange Onlineの環境において、受信者にメールが配信されるまでの処理の流れを確認しておこう。Exchange Onlineで受信者にメールが配信されるまでの流れは、以下の図1のようになる。
EOPで行われる代表的な処理は、以下の四つになる。
(1)接続フィルター
(2)マルウェア対策
(3)トランスポートルール/ポリシーフィルター
(4)コンテンツフィルター
各処理の機能と設定方法の詳細は次の通り。
Exchange Onlineで受信したメールは、最初に「接続フィルター」に渡されて処理が行われる。接続フィルターではメール送信者の評価が確認され、メールがマルウェアかどうかを調べられる。スパムメールの大半はこの時点で配信が停止され、EOPによって削除される。
安全と判断できるメールが「迷惑メールフォルダー」に入れられたり、スパムフィルターによってブロックされたりした場合には、「接続フィルターポリシー」を利用して「許可一覧」(「差出人セーフリスト」とも呼ばれる)を作成し、信頼できるIPアドレスを登録しておくことで、以後、迷惑メールやスパムと判定されることはなくなる(画面1)。また、受信拒否リストを作成し、既知のスパムメール送信者のIPアドレスを登録しておくことも可能だ。
接続フィルターでメールの受信を許可/拒否するIPアドレスの一覧を作成する際には、メールヘッダーのCIPフィールドの値を指定する。例えば、「Outlook」の場合は、「プロパティ」からインターネットメールヘッダーの情報を参照できる(画面2)。
「マルウェア対策ポリシー」の設定は、「Exchange管理センター」→「保護」→「マルウェア」から行う(画面3)。
メールに添付されたファイルにマルウェアが検出された際の対処は、以下の三つの処理からいずれかを選択して設定する。
なお、メール本文内でマルウェアが検出された場合は、設定した処理に関係なく、添付ファイルを含むメール全体が削除される。
「通知」セクションでは、メールがマルウェアと判断されて配信されなかった場合に、送信者や管理者に通知メールを送信するように設定できる。また、「通知」のカスタマイズセクションを利用すれば、既定の通知メールではなく、オリジナルの内容や件名で通知メールを送信することができる。
「ポリシーフィルター」処理では、ユーザーがテンプレートから作成、または適用した「カスタムトランスポートルール」で評価が行われる。例えば、メールが特定の送信者から到達したときには、マネージャーに通知を送信するといったルールを設定できる。
トランスポートルールを設定すると、組織内で送受信される電子メールのうち「トランスポートルールの条件」で定義した条件や例外に一致するメールに対して、「メッセージングポリシー」を適用できる(画面4)。例えば、「メッセージをリダイレクトする」「免責事項を追加する」といった処理を実行させることができるようになる。設定可能な条件やポリシーの詳細は、以下のサイトで確認してほしい。
また、「ポリシーフィルタリング」では管理者がポリシーを定義することで、機密情報や不適切な内容を含むメールの送受信をブロックすることができる。
「コンテンツフィルター」処理では、スパムに共通の用語や特性がチェックされる。コンテンツフィルターでスパムと判断されたメールは、ユーザーの迷惑メールフォルダー、またはユーザーの設定に基づいて検疫などのオプション処理に送信される。
運用管理者は、スパム検出レベルのしきい値に対するアクションを構成することができる。「コンテンツフィルタリング」では、ヘッダーやメール本文など、受信したメールの各部分が正規表現一覧を利用して調査され、ルールに一致するとスコアが割り当てられる。特定の疑わしいURLを含むメールをブロックするために、いくつかのURL一覧も使用される。
コンテンツフィルターの設定は、「Exchange管理センター」→「保護」→「コンテンツフィルター」で行う(画面5)。
なお、既定のコンテンツフィルターは次のような設定になっているので、必要に応じてカスタマイズしよう。
項目 | 既定の設定 |
---|---|
スパム検出時の対応 | 迷惑メールフォルダーにメールを移動する |
信頼度の高いスパム検出時の対応 | 迷惑メールフォルダーにメールを移動する |
海外からのスパム − 言語 | 無効 |
海外からのスパム − 地域 | 無効 |
高度なスパム対策フィルターオプション(有効:オン) | バルクメールを全てブロックする |
高度なスパム対策フィルターオプション(有効:テスト) | なし |
テストモードオプション | なし |
Exchange ServerとExchange onlineのハイブリッド構成におけるEOPの機能や設定方法は、前述の「Office 365 Exchange Onlineでの利用」の場合と同様である。
ただし、ハイブリッド構成の場合、運用管理者は外部からの受信メールおよび送信メールのそれぞれで、メールルーティングについての社内の状況を考慮した適切な選択をする必要がある。
外部から受信する全てのメールは、最初に選択した組織に配信され、次に受信者のメールボックスが所属している場所に従ってルーティングされる。
(a)社内組織(オンプレミスのExchange Server)を経由
(b)Exchange Onlineを経由
例えば、オンプレミスのExchange ServerとExchange Onlineの両方に送信される全てのメールに法令順守ポリシーを適用する場合は、最初に社内組織(オンプレミスのExchange Server)を経由させる必要がある。
MXレコードをオンプレミスにポイントすると、外部から受信する全てのメールはまず社内組織でルーティングされ、その後でExchange Onlineの受信者に配信される。
また、社内組織と比較してExchange Onlineに多数のメールボックスがある場合は、最初にExchange Onlineを経由するように構成する必要がある。
MXレコードをEOPにポイントすると、外部から受信する全てのメールはまずExchange Onlineでルーティングされるようになる。社内組織に存在する受信者に宛てられたメールは、最初にExchange Onlineへルーティングされ、その後、社内組織の受信者に配信される(図2)。
Exchange Onlineから外部へ送信する際のメールのルーティングは、「ハイブリッド構成ウィザード」を実行して構成する。その際、以下の二つのオプションからどちらかを選択する。なお、「ハイブリッド構成ウィザード」の詳細は、以下のサイトで確認してほしい。
[オプション1]メールトランスポートの集中管理を有効にする
このオプションを選択すると、Exchange Onlineから外部へ送信するメールは、同じExchange Online内の受信者に送信されるメールを除き、全ての社内オンプレミスのExchange Serverへルーティングされてから外部に送信される。これにより、受信者がどちらの組織にいるかにかかわらず、外部への送信時における法令遵守ポリシーを適用できるようになる。
[オプション2]メールトランスポートの集中管理を有効にしない
ハイブリッド構成ウィザードでは、既定でこのオプションが選択されている。Exchange Onlineから外部へ送信されるメールは、インターネットに直接ルーティングされる。法令遵守ポリシーやその他の処理をExchange Onlineから外部へ送信されるメールに適用する必要がない場合は、このオプションを選択する。
Exchange Onlineのセキュリティを考慮する上では、EOPのカスタマイズは必要不可欠となる。社内のセキュリティポリシーに準拠した運用を行ってほしい。
宮川 麻里(みやかわ まり)
株式会社IPイノベーションズ所属のマイクロソフト認定トレーナー。主に、Windows Server Active Directory、SQL Server、Office 365などを担当し、マイクロソフト認定コースや要望に沿ったカスタマイズコースを実施している。
Copyright © ITmedia, Inc. All Rights Reserved.