ハイブリッドを展開している Exchange Online メールボックス宛に送信された外部からの電子メール メッセージに SCL 「-1」という値が付く

文書番号: 2737890 - 対象製品

アップグレード前後、どちらの Office 365 を使用しているか確認するには、以下の Microsoft Web サイトを参照してください。
Am I using Office 365 after the service upgrade?
(http://office.microsoft.com/redir/HA103982331.aspx)
すべて展開する | すべて折りたたむ

現象

アップグレード前のMicrosoft Office 365 とオンプレミスの Microsoft Exchange サーバー間でハイブリッド展開している Microsoft Exchange Online があります。Exchange Online メールボックス宛に送信される外部からの電子メール メッセージすべてにスパム信頼レベル (SCL) 「-1」と付くことが分かりました。そのため、外部からのメッセージがスパムまたは迷惑メッセージであってもExchange Online メールボックスに配信される場合があります。

次の例は、外部から Exchange Online メールボックスへ送られる電子メール メッセージ (オンプレミス環境を通ります) のヘッダーです。
From: John Smith <external email address>
To: Cassie Hicks <cassie@contoso.com>
Content-Type: multipart/alternative; boundary="000e0cd6eb98872f8904c0cdd515"
X-OrganizationHeadersPreserved: O365-E14-HC-01.contoso.local
Return-Path: <external email address>
X-CrossPremisesHeadersPromoted: CH1PRD0410HT004.namprd04.prod.outlook.com
X-CrossPremisesHeadersFiltered: CH1PRD0410HT004.namprd04.prod.outlook.com
X-MS-Exchange-Organization-SCL: -1
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0
X-MS-Exchange-Organization-AuthSource: O365-E14-HC-01.contoso.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-OriginatorOrg: mail.contoso
先頭へ戻る | フィードバック

原因

この問題は、Exchange 2010 ハイブリッド構成ウィザードが FOPE の Exchange Online への受信コネクタを作成する際に、スパム対策設定が無効化されるために起こります。

「現象」セクションの例では、X-MS-Exchange-Organization-AuthAs が 「Anonymous」 (任意) に設定されているにもかかわらず、X-MS-Exchange-Organization-SCL は「-1」に設定されています。このため、メッセージは Forefront Online Protection for Exchange (FOPE) エッジ サーバー上のスパム フィルターと Outlook の迷惑メールフィルターをすべてバイパスします。

更に、ハイブリッド構成ウィザードで作成される FOPE の受信コネクタは読み取り専用です。そのため、既存のコネクタを編集することはできません。
先頭へ戻る | フィードバック

解決方法

問題を修正するには、外部からのメールを許可する FOPE 受信コネクタを新たに作成し、スパム対策設定を有効にします (以下の手順参照)。これにより、外部からのメッセージの SCL 値は「-1」以外に設定されます。
  1. FOPE 管理センターにサインインします。
  2. 次の手順で新たな受信コネクタを作成します。
    1. FOPE 管理センターで、[管理] タブをクリックし、[会社] をクリックします。
    2. [受信コネクタ] の横にある [追加] をクリックします。
    3. 名前と説明を入力します。
    4. [送信者ドメイン] には、「*.*」と入力します
    5. [送信者 IP アドレス] には、オンプレミス Exchange 2010 ハブ トランスポート サーバー (ハイブリッド サーバー) の IP アドレスを入力します。

      FOPE でこれらの IP アドレスからのメールのみを許可させるには、[これらの IP アドレスをセーフリストに追加し、上で指定されているドメインの IP アドレスからのメールのみを受け入れます]?をオンにします。この設定を使用する場合、[送信者 IP アドレス] に表示されていない IP アドレスから送信されたすべてのメッセージに対して配信不能レポート (NDR) が生成されます。
    6. [トランスポート層セキュリティ (TLS) 設定] [TLS の適用] をクリックし、[送信者の証明書の照合対象] のチェック ボックスをオンにし、ハブ サーバー (ハイブリッド サーバー) の完全修飾ドメイン名 (FQDN) を入力します。
    7. [フィルター] で以下のチェック ボックスをオンにします。
      • IP 評価フィルターの適用
      • スパム フィルターの適用
      • ポリシー ルールの適用
    8. [保存] をクリックします。
  3. 手順 1 で作成した受信コネクタを組織のドメインに追加します (以下の手順参照)。
    1. FOPE 管理センターで [ドメイン] タブをクリックし、組織のドメイン (ルーティング ドメイン) を選択します。

      通常、ハイブリッド構成ウィザードでは <テナント>.mail.onmicrosoft.com というドメインが作成されます。<テナント> には組織のドメイン名が入ります。
    2. [受信コネクタ] でコネクタを選択し、[削除]、[OK] の順にクリックします。
    3. [選択] をクリックし、手順 2 で作成したコネクタを選択して [OK] をクリックします。
    4. FOPE サーバーに変更が伝播するまで、40 分程待ちます。
  4. 以下の手順に従い、オンプレミス ドメインおよび共有ドメイン用に受信コネクタを作成します。
    1. FOPE 管理センターで、[管理] タブから [会社] をクリックします。
    2. [受信コネクタ] の横にある [追加] をクリックします。
    3. 名前と説明を入力します。
    4. [送信者ドメイン] に共有名前空間およびオンプレミス ドメインの名前を入力します。コンマで各ドメイン名を分けます。
    5. [送信者 IP アドレス] にオンプレミス Exchange 2010 ハブ トランスポート サーバー (ハイブリッド サーバー) の IP アドレスを入力します。

      : FOPE でこれらの IP から送信されるメールのみを許可するよう設定する場合は、[上で指定されているドメインのセーフリストに、これらの IP アドレスを追加します] のチェック ボックスをオンにします。この設定を使用すると、[送信者 IP アドレス] に表示されていない IP アドレスから送信されたすべてのメッセージに対し配信不能レポート (NDR) が生成されます。
    6. [トランスポート層セキュリティ (TLS) 設定] で、[TLS の適用] をクリックし、[送信者の証明書の照合対象] チェック ボックスをオンにして、ハブ トランスポート サーバー (ハイブリッド サーバー) の完全修飾ドメイン名 (FQDN) を入力します。
    7. [フィルター] で以下の設定をします。
      • [IP 評価フィルターの適用] チェック ボックスをオフにします。
      • [スパムフィルターの適用] チェック ボックスをオフにします。
      • [ポリシールールの適用] チェック ボックスをオンにします。
    8. [保存] をクリックします。
  5. 以下の手順に従い、手順 4 で作成した受信コネクタを組織のドメインに追加します。
    1. FOPE 管理センターで [ドメイン] タブをクリックし、組織のドメイン (ルーティング ドメイン) を選択します。
    2. [受信コネクタ] からコネクタを選択した後 [削除]、[OK] の順にクリックします。
    3. [選択] をクリックし、手順 4 で作成したコネクタを選択して [OK] をクリックします。
    4. FOPE サーバーに変更が反映されるまで 40 分程待機します。
この手順は、オンプレミスの電子メール メッセージには適用されません。この手順実行後も、メッセージには次のヘッダーが含まれるため、オンプレミスの電子メール メッセージでは SCL が「-1」と表示されます。
X-MS-Exchange-Organization-AuthAs: Internal
先頭へ戻る | フィードバック

詳細

Exchange 2010 ハイブリッド構成ウィザードがオンプレミスのコネクタと FOPE の受信コネクタを作成する際、相互のトランスポート層セキュリティ (TLS) が有効になります。この場合、TrustedMailOutboundEnabled の設定はオンプレミス ドメインで「True」に設定され、TrustedMailInboundEnabled 設定はクラウド ベースのドメインで「True」に設定されます。このため、オンプレミス環境から Exchange Online へ送信されたメッセージの SCL の値は「-1」となり、X-MS-Exchange-Organization-AuthAs は 「Internal」と設定されます。以下に例を示します。
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-MS-Exchange-Organization-AuthSource: O365-E14-HC-01.contoso.local
X-MS-Exchange-Organization-SCL: -1
先頭へ戻る | フィードバック
追加情報が必要な場合は Office 365 コミュニティ
(http://community.office365.com/ja-jp/default.aspx)
Web サイトを参照してください。
先頭へ戻る | フィードバック

プロパティ

文書番号: 2737890 - 最終更新日: 2013年3月21日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Exchange Online
キーワード:?
o365 o365a o365e o365062011 pre-upgrade hybrid KB2737890
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る