こんにちは、伊藤です。
この記事は、アドベントカレンダー7日目の記事になります。
今回は、Exchange Onlineで、メールの自動転送を制限する方法を紹介します。
Exchange Onlineでは特定のユーザー・グループ・ドメインに対して自動転送可能なメールドメインを制限することが可能です。
今回はその中でも特定のドメインメールのユーザーに対してメール自動転送を不可にする方法、特定のドメインメールのユーザーに対してメール自動転送可能ドメインを制限する方法を紹介します。
メールの自動転送を制限する目的
メールの自動転送を制限する主な目的は、メールに含まれる情報の外部漏洩を軽減することです。メールでは、ファイルやパスワードのやり取りを行うことがありますが、自動転送を制限しない場合、全てのドメインのメール宛てに転送可能になるため、情報漏洩のリスクが高まります。
設定に必要なMicrosoft Entra IDのロールについて
今回紹介する設定を行うためには、「Exchange管理者」、「セキュリティ管理者」ロールを持つMicrosoft Entra IDのアカウントが必要です。
特定のドメインメールのユーザーに対してメール自動転送を不可にする
例として検証ドメイン(soito001.mail.onmicrosoft.com)のユーザに対してメール自動転送を不可にします。
アウトバウンド スパム フィルター ポリシーの設定
1. Microsoft 365 Defender ポータル(https://security.microsoft.com/)に管理者アカウントでサインインします。
2. [メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [スパム対策] の順に選択します。
3. [スパム対策ポリシー] ページで、メール自動転送を制限したいドメイン(例:soito001.mail.onmicrosoft.com) 専用のカスタムポリシーを作成します。[+ ポリシーの作成] > [Outbound] の順に選択します。
4. ポリシーの名前を設定します(例: soito001.mail.onmicrosoft.com Auto-forward Policy)。
5. [ユーザー、グループ、およびドメイン] で、このポリシーを適用する対象として、[ドメイン] に”soito001.mail.onmicrosoft.com”を指定します。特定のユーザー、グループに対して適用したい場合は、それぞれ[ユーザー] 、[グループ]で指定してください。
6. [送信の保護設定]で、[自動転送ルール] に「オフ – 転送が無効になっています」を設定します。
7. 確認画面にて適用するポリシーを確認し、[作成]を選択します。
自動転送の制限を確認する
1. テストアカウント(exchangetest001@soito001.mail.onmicrosoft.com)の自動転送を有効にして、テストアカウントにメールを送信します。
2. Exchange 管理センター (EAC)(https://admin.exchange.microsoft.com/)に管理者アカウントでサインインします。
3. [メールフロー] > [メッセージ追跡] > [+ 追跡を開始] の順に選択します。
4. [新しいメッセージ追跡]で、[受信者]にテストアカウントを設定して[検索]を選択します。時間の範囲等の条件で絞り込むことも可能です。
5. テストアカウントへのメール送信に該当する追跡結果を確認し、[メッセージイベント]で外部転送がブロックされている内容を確認します。
特定のドメインメールのユーザに対してメール自動転送可能ドメインを制限する
例として検証ドメイン(soito001.mail.onmicrosoft.com)のユーザに対して社内ドメインのみへのメール自動転送を許可します。
アウトバウンド スパム フィルター ポリシーの設定
1. Microsoft 365 Defender ポータル(https://security.microsoft.com/)に管理者アカウントでサインインします。
2. [メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [スパム対策] の順に選択します。
3. [スパム対策ポリシー] ページで、メール自動転送を制限したいドメイン(例:soito001.mail.onmicrosoft.com) 専用のカスタムポリシーを作成します。[+ ポリシーの作成] > [Outbound] の順に選択します。
4. ポリシーの名前を設定します(例: soito001.mail.onmicrosoft.com Auto-forward Policy)。
5. [ユーザー、グループ、およびドメイン] で、このポリシーを適用する対象として、[ドメイン] に”soito001.mail.onmicrosoft.com”を指定します。特定のユーザー、グループに対して適用したい場合は、それぞれ[ユーザー] 、[グループ]で指定してください。
6. [送信の保護設定]で、[自動転送ルール] に「オン – 転送が有効になっています」を設定します。
7. 確認画面にて適用するポリシーを確認し、[作成]を選択します。
リモートドメインの設定
1. Exchange 管理センター (EAC)(https://admin.exchange.microsoft.com/)に管理者アカウントでサインインします。
2. [メール フロー] > [リモート ドメイン] の順に選択します。
3. ここで、許可するドメイン と 既定(その他すべて) の設定を行います。
A. 許可する外部ドメインの設定
[+ リモート ドメインを追加] をクリックします。
[ドメイン名を指定]で、[リモートドメイン]に社内ドメインを入力します。
[メールの返信の種類] で、「自動転送を許可する」 (Allow automatic forwarding) を有効にします。
確認画面にて適用するリモートドメインの設定を確認し、[保存]を選択します。
B. 既定ドメインの設定 (許可されていないその他すべてのドメイン)
リモート ドメインの一覧から、「Default」または * (アスタリスク) という名前の既定のリモート ドメインを見つけ、[返信の種類を編集]を選択します。
「自動転送を許可する」 (Allow automatic forwarding) を無効にして保存します。
自動転送の制限を確認する
1. テストアカウント(exchangetest001@soito001.mail.onmicrosoft.com)の自動転送を有効にして、[メールの転送先]に社内ドメインのメールアドレスを指定し、テストアカウントにメールを送信します。
2. 社内ドメインのメールアドレスへの転送は許可されているため、社内ドメインのメールアドレスで転送メールを受信することができます。
3. Exchange 管理センター (EAC)(https://admin.exchange.microsoft.com/)のメッセージ追跡機能にて、テストアカウントへのメール送信に該当する追跡結果を確認し、[メッセージイベント]で外部転送が完了した内容を確認します。
4. テストアカウント(exchangetest001@soito001.mail.onmicrosoft.com)の[メールの転送先]に社内ドメイン以外のメールアドレスを指定し、テストアカウントにメールを送信します。
5. Exchange 管理センター (EAC)(https://admin.exchange.microsoft.com/)のメッセージ追跡機能にて、テストアカウントへのメール送信に該当する追跡結果を確認し、[メッセージイベント]で外部転送がブロックされている内容を確認します。
特定のドメインメールのユーザーに対してメール自動転送を不可にする方法で確認したメッセージの内容とは異なりますが、イベント: Dropはメールの配送がここで破棄(Drop)されたことを示しており、”handled AutoForward addressed to external recipient”は、外部受信者宛の自動転送(AutoForward)として処理されたことを示しております。外部への自動転送の設定で禁止されているからここで破棄するという挙動になります。
まとめ
今回は、Exchange Onlineで、特定のドメインメールのユーザーに対してメール自動転送を不可にする方法、および特定のドメインメールのユーザーに対してメール自動転送可能ドメインを制限する方法を紹介しました。
Exchange Onlineの設定の参考にしていただければ幸いです。
