SMTP リレー - Amazon Simple Email Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SMTP リレー

Mail Manager は、E メール環境 (Microsoft 365、Google Workspace、オンプレミスの Exchange など) とインターネットの間にデプロイされるため、Mail Manager は SMTP リレーを使用して、Mail Manager が処理する受信 E メールを E メール環境にルーティングします。Mail Manager は、エンドユーザーである受信者に送信する前に、アウトバウンド E メールを別の Exchange サーバーやサードパーティーの E メールゲートウェイなどの別の E メールインフラストラクチャにルーティングすることもできます。

SMTP リレーは、E メールインフラストラクチャの重要なコンポーネントであり、ルールセットで定義されたルールアクションで指定された場合には、サーバー間で E メールを効率的にルーティングする役割を果たします。

具体的には、SMTP リレーを使用すると、SES Mail Manager と Exchange、オンプレミス の Exchange、またはサードパーティーの E メールゲートウェイなどの外部 E メールインフラストラクチャとの間で受信 E メールをリダイレクトできます。イングレスエンドポイントへの受信 E メールは、指定された E メールを指定された SMTP リレーにルーティングするルールが処理し、SMTP リレーで定義済みの外部 E メールインフラストラクチャに渡されます。

E メールを受信すると、イングレスエンドポイントはトラフィックポリシーを使用して、ブロックまたは許可する E メールを判断します。許可された E メールは、特定のタイプの E メールに対して定義したアクションを実行するための条件ルールを適用するルールセットに渡されます。定義できるルールアクションの 1 つに、SMTPRelay アクションがあります。このアクションを選択すると、E メールは SMTP リレーで定義された外部 SMTP サーバーに渡されます。

例えば、SMTPRelay アクションを使用して、イングレスエンドポイントからオンプレミスの Microsoft Exchange Server に E メールを送信できます。特定の認証情報を使用してのみアクセスできるパブリック SMTP エンドポイントを持つように Exchange サーバーを設定します。このような SMTP リレーを作成する場合、Exchange サーバーのサーバー名、ポート、認証情報を入力し、SMTP リレーに「RelayToMyExchangeServer」などの一意の名前を付けます。次に、イングレスエンドポイントのルールセットで、「送信元アドレスに『gmail.com』が含まれている場合は、RelayToMyExchangeServer という SMTP リレーを使用して SMTPRelay アクションを実行する」というルールを作成します。

これで、gmail.com からの E メールがイングレスエンドポイントに届くと、このルールが SMTPRelay アクションをトリガーし、SMTP リレーの作成時に指定した認証情報を使用して Exchange サーバーと交信し、その E メールを Exchange サーバーに配信します。このように、gmail.com から受信した E メールを Exchange サーバーにリレーできます。

SMTP リレーは、ルールアクションで指定する前に作成しておく必要があります。次のセクションの手順では、SES コンソールで SMTP リレーを作成する方法について説明します。

SES コンソールでの SMTP リレーの作成

次の手順では、SES コンソールの [SMTP リレー] ページを使用して、SMTP リレーを作成および管理する方法を説明します。

コンソールを使用して SMTP リレーを作成して管理するには
  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/ses/ で Amazon SES コンソールを開きます。

  2. 左側のナビゲーションパネルで、[Mail Manager] の下にある [SMTP リレー] を選択します。

  3. [SMTP リレー] ページで、[SMTP リレーの作成] をクリックします。

  4. [SMTP リレーの作成] ページで、SMTP リレーの一意の名前を入力します。

  5. インバウンド (非認証) またはアウトバウンド (認証) の SMTP リレーを設定するかどうかに応じて、それぞれの手順に従ってください。

    Inbound
    インバウンド SMTP リレーを設定するには
    1. SMTP リレーをインバウンドゲートウェイとして使用して、Mail Manager にが処理する受信 E メールを外部 E メール環境にルーティングする場合は、まず E メールのホスティング環境を設定する必要があります。各 E メールホスティングプロバイダーには独自の GUI と設定ワークフローがあるとはいえ、Mail Manager SMTP リレーなどのインバウンドゲートウェイと連携するように設定する原則は似ています。

      これを説明するために、以下のセクションでは、Google Workspaces と Microsoft Office 365 を SMTP リレーを受信ゲートウェイとして連携するように設定する方法の例を説明します。

      注記

      意図する受信者の送信先ドメインが SES 検証済みドメイン ID であることを確認します。例えば、E メールを受信者 abc@example.comsupport@acme.com に配信する場合、example.com ドメインと acme.com ドメインの両方が SES で検証済みである必要があります。受信者のドメインが未検証の場合、SES は E メールのパブリック SMTP サーバーへの配信を試行しません。詳細については、「Amazon での ID の作成と検証 SES」を参照してください。

    2. インバウンドゲートウェイを使用するように Google Workspaces または Microsoft Office 365 を設定したら、プロバイダに応じて以下の値を使用してパブリック SMTP サーバーのホスト名を入力します。

      • Google Workspaces: aspmx.l.google.com

      • Microsoft Office 365: <your_domain>.mail.protection.outlook.com

        ドメイン名のドットを「-」に置き換えます。例えば、ドメインが acme.com の場合、acme-com.mail.protection.outlook.com と入力します。

    3. パブリック SMTP サーバーのポート番号 25 を入力します。

    4. [認証] セクションは空白のままにします (シークレット ARN を選択したり、作成したりしません)。

    Outbound
    アウトバウンド SMTP リレーを設定するには
    1. リレーが接続する先のパブリック SMTP サーバーのホスト名を入力します。

    2. パブリック SMTP サーバーのポート番号を入力します。

    3. [シークレット ARN] からいずれかのシークレットを選択して、SMTP サーバーの認証をセットアップします。既に作成済みのシークレットを選択する場合、新しいシークレットを作成するための次のステップで示されているポリシーが含まれている必要があります

      • [新規作成] をクリックすると、新しいシークレットを作成するオプションを利用できます。 AWS Secrets Manager コンソールが開き、新しいキーの作成を次のとおり実行できます。

      1. [シークレットのタイプ] で、[その他のシークレットのタイプ] を選択します。

      2. [キー/値のペア] に、以下のキーと値を入力します。

        キー value

        username

        my_username

        password

        my_password

        注記

        両方のキーについて、この表のとおり、passwordusername のみを入力する必要があります (それ以外を入力すると、認証は失敗します)。値には、それぞれ現在使用しているユーザー名とパスワードを入力します。

      3. 「新しいキーを追加」を選択して、暗号化キーで KMS カスタマーマネージドキー (CMK) を作成します。 AWS KMS コンソールが開きます。

      4. [カスタマーマネージドキー] ページで [キーの作成] を選択します。

      5. [キーを設定] ページではデフォルト値のままにして、[次へ] をクリックします。

      6. [エイリアス] にキー名を入力して (必要に応じて、説明とタグを追加できます)、[次へ] をクリックします。

      7. [キー管理者] でキー管理を許可するユーザー (自分以外) またはロールを選択して、[次へ] をクリックします。

      8. [キーユーザー] でキーの使用を許可するユーザー (自分以外) またはロールを選択して、[次へ] をクリックします。

      9. KMS CMK ポリシー をコピーして、[キーポリシー] の JSON テキストエディタに "statement" レベルで貼り付け、カンマ区切りの追加ステートメントとして追加します。リージョンとアカウント番号は、現在使用するものと置き換えます。

      10. [Finish] を選択してください。

      11. AWS Secrets Manager 新しいシークレットの保存ページが開いているブラウザのタブを選択し、暗号化キーフィールドの横にある更新アイコン (丸い矢印) を選択して、フィールド内をクリックし、新しく作成したキーを選択します。

      12. [シークレットを設定] ページの [シークレットの名前] フィールドに、名前を入力します。

      13. [リソースのアクセス許可] で、[許可を編集] をクリックします。

      14. シークレットのリソースポリシー をコピーして、[リソースのアクセス許可] JSON テキストエディタに貼り付け、リージョンとアカウント番号を実際の値に置き換えます。(エディタ内のコード例は、必ずすべて削除します)。

      15. [保存] を選択してから、[次へ] を選択します。

      16. 必要に応じてローテーションを設定して、[次へ] をクリックします。

      17. 新しいシークレットを確認して、[保存] をクリックして保存します。

      18. SES の [新しいイングレスエンドポイントの作成] ページが開いているブラウザタブをクリックして、[リストを更新] をクリックしてから、[シークレット ARN] で新しく作成したシークレットを選択します。

  6. [SMTP リレーの作成] をクリックします。

  7. 既に作成した SMTP リレーは、[SMTP リレー] ページで表示して管理できます。削除すべき SMTP リレーがある場合は、そのポリシーのラジオボタンをオンにして、[削除] をクリックします。

  8. SMTP リレーを編集するには、その名前を選択します。詳細ページで、対応する [編集] または [更新] ボタンをクリックすると、リレー名、外部 SMTP サーバー名、ポート、ログイン認証情報を変更し、[変更を保存] をクリックして変更内容を保存できます。

Google Workspaces でのインバウンド (非認証) SMTP リレーのセットアップ

次のウォークスルー例では、Mail Manager のインバウンド (非認証) SMTP リレーと連携するように Google Workspaces をセットアップする方法について説明します。

前提条件

  • Google 管理者コンソールへのアクセス ([Google 管理コンソール] > [アプリケーション] > [Google Workspace] > [Gmail])

  • Mail Manager のセットアップに使用されるドメインの MX レコードをホストするドメインネームサーバーへのアクセス

インバウンド SMTP リレーと連携するように Google Workspaces をセットアップするには
  • インバウンドゲートウェイ設定に Mail Manager の IP アドレスを追加する

    1. [Google 管理コンソール] で、[アプリケーション] > [Google Workspace] > [Gmail] に移動します。

    2. [迷惑メール、フィッシング、不正なソフトウェア] を選択して、[受信ゲートウェイ] 設定に移動します。

    3. [受信ゲートウェイ] を有効にして、以下の詳細で設定します。

      [受信ゲートウェイ] を有効にして、詳細を設定します。
      • ゲートウェイ IPsを追加 を選択し、SMTP リレー IPs 範囲 テーブルからリージョンに固有のイングレスエンドポイント IP を追加します。 https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges

      • [外部 IP を自動検出する] を選択します。

      • [上記の電子メールゲートウェイからの接続に TLS を必須とする] を選択します。

      • ダイアログボックスの下部にある [保存] を選択して、設定を保存します。保存すると、管理コンソールに [受信ゲートウェイ] が有効になっていると表示されます。

Microsoft Office 365 でのインバウンド (非認証) SMTP リレーのセットアップ

次のウォークスルー例では、Mail Manager インバウンド (非認証) SMTP リレーを使用するように Microsoft Office 365 を設定する方法を示します。

前提条件

  • Microsoft セキュリティ管理センターへのアクセス ([Microsoft セキュリティ管理センター] > [メールとコラボレーション] > [ポリシーとルール] > [脅威対策ポリシー])。

  • Mail Manager のセットアップに使用されるドメインの MX レコードをホストするドメインネームサーバーへのアクセス

インバウンド SMTP リレーと連携するように Microsoft Office 365 をセットアップするには
  1. Mail Manager の IP アドレスを許可リストに追加する

    1. [Microsoft セキュリティ管理センター] で、[メールとコラボレーション] > [ポリシーとルール] > [脅威対策ポリシー] に移動します。

    2. [ポリシー][スパム対策] をクリックします。

    3. [接続フィルターポリシー] を選択して、[接続フィルターポリシーの編集] をクリックします。

    4. [スパム対策] オプションに戻り、[スパム対策受信ポリシー] を選択します。

      • ダイアログの下部で、[スパムのしきい値とプロパティの編集する] をクリックします。

        [受信ゲートウェイ] を有効にして、詳細を設定します。
      • [スパムとしてマークする] までスクロールして、[SPF レコード: ハードフェイル][オフ] に設定されていることを確認します。

      • [保存] を選択します。

  2. 拡張フィルタリング設定 (推奨)

    このオプションを使用すると、Microsoft Office 365 は、SES Mail Manager がメッセージを受信する前に、元の接続 IP を適切に特定できます。

    1. インバウンドコネクタを作成する

      • 新たに [Exchange 管理センター] にログインして、[メールフロー] > [コネクタ] に移動します。

      • [コネクタの追加] をクリックします。

      • [接続元] で、[パートナー組織] を選択して、[次へ] をクリックします。

      • フィールドに次のとおり入力します。

        • [名前] – Simple Email Service Mail Manager connector

        • [説明] – フィルタリング用コネクタ

          コネクタを追加します。
      • [次へ] を選択します。

      • 送信済み E メールの認証で、送信サーバーの IP アドレスがパートナー組織に属する次のいずれかの IP アドレスと一致することを確認し、SMTP Relay IPs Ranges テーブルからリージョンに固有のイングレスエンドポイント IP を追加することを選択します。 https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges

        [送信メールの認証] で、[送信側サーバーの IP アドレスが、パートナー organization に属する次のいずれかの IP アドレスと一致することを確認する] を選択して、以下の表から利用するリージョンに固有のイングレスエンドポイント IP を追加します。
      • [次へ] を選択します。

      • [セキュリティ制限] では、[メール メッセージが TLS 経由で送信されない場合は拒否する] を受け入れ、[次へ] をクリックします。

      • 設定を確認して、[コネクタの作成] をクリックします。

    2. 拡張フィルタリングを有効にする

      インバウンドコネクタの設定が完了したところで、[Microsoft セキュリティ管理センター] でコネクタの拡張フィルタリング設定を有効にする必要があります。

      • [Microsoft セキュリティ管理センター] で、[メールとコラボレーション] > [ポリシーとルール] > [脅威対策ポリシー] に移動します。

      • [ルール][拡張フィルタリング] をクリックします。

        脅威対策ポリシー内の [ルール] で [拡張フィルタリング] を選択します。
      • 以前に作成した [Simple Email Service Mail Manager コネクタ] を選択して、設定パラメータを編集します。

      • [最後の IP アドレスを自動的に検出してスキップする][organization 全体に適用する] の両方を選択します。

        以前に作成したコネクタの設定を編集します。
      • [保存] を選択します。