SMTP リレー - Amazon Simple Email Service
SMTP リレーの作成 (コンソール)Google Workspace のセットアップMicrosoft Office 365 のセットアップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SMTP リレー

Mail Manager は E メール環境 (Microsoft 365、Google Workspace、オンプレミス交換など) とインターネットの間にデプロイされるため、Mail Manager はSMTPリレーを使用して、Mail Manager によって処理される受信 E メールを E メール環境にルーティングします。また、エンド受信者に送信する前に、別の Exchange サーバーやサードパーティーの E メールゲートウェイなどの別の E メールインフラストラクチャにアウトバウンド E メールをルーティングすることもできます。

SMTP リレーは E メールインフラストラクチャの重要なコンポーネントであり、ルールセットで定義されたルールアクションによって指定された場合に、サーバー間で E メールを効率的にルーティングします。

具体的には、SMTPリレーは、メールマネージャーと Exchange、オンプレミスまたはサードパーティーの E SES メールゲートウェイなどの外部 E メールインフラストラクチャとの間で受信 E メールをリダイレクトできます。Ingress エンドポイントへの受信 E メールは、指定された E メールを指定されたSMTPリレーにルーティングするルールによって処理され、指定された E メールはSMTPリレーで定義された外部 E メールインフラストラクチャに渡されます。

イングレスエンドポイントが E メールを受信すると、トラフィックポリシーを使用して、ブロックまたは許可する E メールを決定します。で許可した E メールは、特定のタイプの E メールに対して定義したアクションを実行するための条件付きルールを適用するルールセットに渡されます。定義できるルールアクションの 1 つは SMTPRelay アクションです。このアクションを選択すると、E メールはSMTPリレーで定義された外部SMTPサーバーに渡されます。

例えば、 SMTPRelayアクションを使用して、イングレスエンドポイントからオンプレミスの Microsoft Exchange Server に E メールを送信できます。特定の認証情報を使用してのみアクセスできるパブリックSMTPエンドポイントを持つように Exchange サーバーを設定します。SMTP リレーを作成するときは、Exchange サーバーのサーバー名、ポート、認証情報を入力し、SMTPリレーに「」などの一意の名前を付けますRelayToMyExchangeServer。次に、Ingress エンドポイントのルールセットに「When From address contains 'gmail.com」というルールを作成し、「」というSMTPリレーを使用してSMTPRelayアクションを実行しますRelayToMyExchangeServer

これで、gmail.com からの E メールがイングレスエンドポイントに到着すると、ルールは SMTPRelayアクションをトリガーし、SMTPリレーを作成して Exchange サーバーに E メールを配信するときに指定した認証情報を使用して Exchange サーバーに接続します。したがって、gmail.com から受信した E メールは Exchange サーバーに中継されます

ルールアクションで指定する前に、まずSMTPリレーを作成する必要があります。次のセクションの手順では、SESコンソールでSMTPリレーを作成する手順を説明します。

SES コンソールでの SMTP リレーの作成

次の手順では、SESコンソールのSMTPリレーページを使用してリレーを作成し、既に作成したSMTPリレーを管理する方法を示します。

コンソールを使用してSMTPリレーを作成および管理するには

  1. にサインインする AWS Management Console で Amazon SESコンソールを開きますhttps://console.aws.amazon.com/ses/

  2. 左側のナビゲーションパネルで、Mail Manager SMTPでリレーを選択します。

  3. SMTP リレーページで、SMTPリレーの作成 を選択します。

  4. SMTP リレーの作成ページで、SMTPリレーの一意の名前を入力します。

  5. インバウンド (非認証) リレーとアウトバウンド (認証) SMTPリレーのどちらを設定するかに応じて、それぞれの手順に従ってください。

    Inbound
    インバウンドSMTPリレーを設定するには

    1. Mail Manager によって処理された受信 E メールを外部 E メール環境にルーティングするインバウンドゲートウェイとしてSMTPリレーを使用する場合は、まず E メールホスティング環境を設定する必要があります。すべての E メールホスティングプロバイダーには独自の設定ワークフローGUIと設定ワークフローがありますが、Mail Manager SMTPリレーなどのインバウンドゲートウェイで動作するように設定するプリンシパルは似ています。

      これを説明するために、以下のセクションでSMTPリレーをインバウンドゲートウェイとして動作させるように Google Workspaces と Microsoft Office 365 を設定する方法の例を示します。

      注記

      目的の受信者の送信先のドメインがSES検証済みドメイン ID であることを確認します。例えば、受信者 abc@example.comsupport@acme.com に E メールを送信する場合は、example.com ドメインと acme.com ドメインの両方を で検証する必要がありますSES。受信者ドメインが検証されていない場合、 SESはパブリックSMTPサーバーへの E メールの配信を試みません。詳細については、「Amazon SES の ID の作成と検証」を参照してください。

    2. インバウンドゲートウェイと連携するように Google Workspaces または Microsoft Office 365 を設定したら、パブリックSMTPサーバーのホスト名をプロバイダーにそれぞれ以下の値で入力します。

      • Google Workspace: aspmx.l.google.com

      • Microsoft Office 365: <your_domain>.mail.protection.outlook.com

        ドメイン名のドットを「-」に置き換えます。例えば、ドメインが acme.com の場合、 と入力します。 acme-com.mail.protection.outlook.com

    3. パブリックSMTPサーバーのポート番号 25 を入力します。

    4. 認証セクションは空白のままにします (シークレット を選択または作成しないでくださいARN)。

    Outbound
    アウトバウンドSMTPリレーを設定するには

    1. リレーを接続するパブリックSMTPサーバーのホスト名を入力します。

    2. パブリックSMTPサーバーのポート番号を入力します。

    3. シークレット からシークレットの 1 ARNつを選択して、SMTPサーバーの認証を設定します。以前に作成したシークレットを選択する場合は、新しいシークレットを作成するための次のステップで示すポリシーが含まれている必要があります。

      • 新しいシークレットを作成するには、新しいシークレットの作成 を選択します。 AWS Secrets Manager コンソールが開き、新しいキーを引き続き作成できます。

      1. シークレットタイプ で他のタイプのシークレットを選択します

      2. キーと値のペア に次のキーと値を入力します。

        キー value

        username

        my_username

        password

        my_password
        注記

        どちらのキーでも、図passwordのように usernameと のみを入力する必要があります (それ以外の場合、認証は失敗します)。値には、それぞれ独自のユーザー名とパスワードを入力します。

      3. 「新しいキーを追加」を選択して、暗号化キーでKMSカスタマーマネージドキー (CMK) を作成します。 AWS KMS コンソールが開きます。

      4. カスタマー管理キーページでキーの作成を選択します。

      5. キーの設定ページでデフォルト値を保持し、次へ を選択します。

      6. エイリアスにキーの名前を入力し (オプションで説明とタグを追加)、次に次へ を入力します。

      7. キー管理者でキーの管理を許可するユーザー (自分以外) またはロールを選択し、次に を選択します。

      8. キーユーザーの後に次の が続く で、キーの使用を許可するユーザー (自分以外) またはロールを選択します。

      9. をカンマで区切った追加のステートメントとして追加して、 "statement" レベルでKMS CMK ポリシーキーポリシーJSONテキストエディタにコピーして貼り付けます。リージョンとアカウント番号を独自の に置き換えます。

      10. [Finish] を選択します。

      11. があるブラウザのタブを選択します。 AWS Secrets Manager 新しいシークレットページを開いた状態で保存し、暗号化キーフィールドの横にある更新アイコン (円矢印) を選択し、フィールド内をクリックして新しく作成したキーを選択します。

      12. シークレットの設定ページのシークレット名フィールドに名前を入力します。

      13. リソースアクセス許可 でアクセス許可の編集 を選択します。

      14. をコピーしてリソース許可JSONテキストエディタシークレットリソースポリシーに貼り付け、リージョンとアカウント番号を独自の に置き換えます。(エディタでサンプルコードを必ず削除してください。)

      15. 保存 を選択し、次に を選択します

      16. オプションでローテーションを設定し、次に を設定します。

      17. Store を選択して、新しいシークレットを確認して保存します

      18. 新しい進入エンドポイントSESの作成ページが開いているブラウザのタブを選択し、リストの更新 を選択し、シークレット ARNで新しく作成されたシークレットを選択します。

  6. SMTP リレーの作成 を選択します。

  7. 既に作成したSMTPリレーは、リレーSMTPページから表示および管理できます。削除するSMTPリレーがある場合は、そのリレーのラジオボタンを選択してから、削除を選択します

  8. SMTP リレーを編集するには、その名前を選択します。詳細ページで、対応する編集または更新ボタンを選択し、その後に変更を保存 を選択すると、リレーの名前、外部SMTPサーバーの名前、ポート、ログイン認証情報を変更できます。

インバウンド (非認証) SMTPリレー用の Google Workspace のセットアップ

次のチュートリアル例では、メールマネージャーのインバウンド (非認証) SMTPリレーと連携するように Google Workspaces を設定する方法を示します。

前提条件

  • Google 管理者コンソールへのアクセス (Google 管理者コンソール > アプリ > Google Workspace > Gmail)。

  • Mail Manager のセットアップに使用されるドメインの MX レコードをホストするドメインネームサーバーへのアクセス。

インバウンドSMTPリレーと連携するように Google Workspaces を設定するには

  • インバウンドゲートウェイ設定に Mail Manager の IP アドレスを追加する

    1. Google 管理者コンソール で、アプリ > Google Workspace > Gmail に移動します。

    2. スパム、フィッシング、マルウェア を選択し、インバウンドゲートウェイ設定に移動します。

    3. インバウンドゲートウェイ を有効にし、次の詳細で設定します。

      インバウンドゲートウェイ を有効にし、詳細で設定します。

      • ゲートウェイ IPsを追加 を選択し、次の表からリージョンにIPs固有の進入エンドポイントを追加します。

        リージョン IP 範囲

        eu-west-1/DUB

        206.55.133.0/24

        eu-central-1/FRA

        206.55.132.0/24

        us-west-2/PDX

        206.55.131.0/24

        ap-northeast-1/NRT

        206.55.130.0/24

        us-east-1/IAD

        206.55.129.0/24

        ap-southeast-2/SYD

        206.55.128.0/24

      • 「外部 IP を自動的に検出する」を選択します

      • 上記の E メールゲートウェイからの接続TLSを要求するを選択します

      • ダイアログボックスの下部にある保存 を選択して、設定を保存します。保存すると、管理者コンソールにインバウンドゲートウェイが有効と表示されます。

インバウンド (非認証) SMTPリレー用の Microsoft Office 365 のセットアップ

次のチュートリアル例では、メールマネージャーのインバウンド (非認証) SMTPリレーを使用するように Microsoft Office 365 を設定する方法を示します。

前提条件

  • Microsoft セキュリティ管理センターへのアクセス (Microsoft セキュリティ管理センター > E メールとコラボレーション > ポリシーとルール > 脅威ポリシー)。

  • Mail Manager の設定に使用されるドメインの MX レコードをホストするドメインネームサーバーへのアクセス。

インバウンドSMTPリレーと連携するように Microsoft Office 365 を設定するには

  1. Mail Manager の IP アドレスを許可リストに追加する

    1. Microsoft セキュリティ管理センター で、E メールとコラボレーション > ポリシーとルール > 脅威ポリシー に移動します。

    2. ポリシーアンチスパム を選択します。

    3. 接続フィルターポリシー を選択し、続いて接続フィルターポリシー を編集 を選択します。

      • 次の IP アドレスまたはアドレス範囲からのメッセージを常に許可するダイアログで、次の表からリージョンにIPs固有の入力エンドポイントを追加します。

        リージョン IP 範囲

        eu-west-1/DUB

        206.55.133.0/24

        eu-central-1/FRA

        206.55.132.0/24

        us-west-2/PDX

        206.55.131.0/24

        ap-northeast-1/NRT

        206.55.130.0/24

        us-east-1/IAD

        206.55.129.0/24

        ap-southeast-2/SYD

        206.55.128.0/24

      • [Save] を選択します。

    4. アンチスパムオプションに戻り、アンチスパムインバウンドポリシー を選択します。

      • ダイアログの下部で、スパムのしきい値とプロパティの編集 を選択します。

        インバウンドゲートウェイ を有効にし、詳細で設定します。

      • 「スパムとしてマーク」までスクロールし、SPFレコード: hard failOff に設定されていることを確認します。

      • [Save] を選択します。

  2. 拡張フィルタリング設定 (推奨)

    このオプションを使用すると、Microsoft Office 365 は、メールマネージャーがメッセージを受信する前に元の接続 IP SES を適切に識別できます。

    1. インバウンドコネクタを作成する

      • 新しい Exchange 管理センターにログインし、メールフロー > コネクタ に移動します。

      • コネクタの追加 を選択します。

      • から接続でパートナー組織を選択し、次に を選択します。

      • 次のようにフィールドに入力します。

        • 名前 — Simple Email Service Mail Manager コネクタ

        • 説明 – フィルタリング用のコネクタ

          コネクタの追加。

      • [次へ] を選択します。

      • 送信済み E メールの認証 で、送信サーバーの IP アドレスがパートナー組織に属する次のいずれかの IP アドレスと一致することを確認し、次の表からリージョンIPs固有の進入エンドポイントを追加します。

        リージョン IP 範囲

        eu-west-1/DUB

        206.55.133.0/24

        eu-central-1/FRA

        206.55.132.0/24

        us-west-2/PDX

        206.55.131.0/24

        ap-northeast-1/NRT

        206.55.130.0/24

        us-east-1/IAD

        206.55.129.0/24

        ap-southeast-2/SYD

        206.55.128.0/24
        送信済み E メールの認証 で、送信サーバーの IP アドレスがパートナー組織に属する次のいずれかの IP アドレスと一致することを確認し、次の表からリージョンIPs固有の進入エンドポイントを追加します。

      • [次へ] を選択します。

      • セキュリティ制限 で、デフォルトの拒否 E メールメッセージが 設定で送信されない場合はTLS、そのメールメッセージを受け入れ、次に次へ を続けます。

      • 設定を確認し、コネクタの作成 を選択します。

    2. 拡張フィルタリングを有効にする

      インバウンドコネクタが設定されたので、Microsoft Security 管理センター でコネクタの拡張フィルタリング設定を有効にする必要があります。

      • Microsoft セキュリティ管理センター で、E メールとコラボレーション > ポリシーとルール > 脅威ポリシー に移動します。

      • ルール で拡張フィルタリングを選択します

        脅威ポリシー内のルールで拡張フィルタリングを選択します。

      • 以前に作成した Simple Email Service Mail Manager コネクタを選択して、設定パラメータを編集します。

      • 最後の IP アドレスを自動的に検出してスキップし、組織全体に適用する の両方を選択します。

        以前に作成したコネクタの設定を編集します。

      • [Save] を選択します。