Tweet

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ SMTPメール・サービスの中継機能を有効にする（IPアドレスによって制限する方法） → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2007/11/09 対象OS Windows Server 2003

■ SMTPサービスのデフォルト状態では、メールをほかのドメインへ送信する機能（中継機能）は無効にされている。 ■ 組織内のコンピュータからのSMTP接続では、メールの中継機能を有効にしたいことが多い。 ■ メールの中継を許可するには、SMTPサービスで中継の設定を変更する。

　TIPS「メール・サーバ用にSMTP／POP3サービスをインストールする」「POP3のメール・ボックスを作成する」では、Windows Server 2003にSMTP／POP3サービスをインストールして、メール・サーバ（SMTPとPOP3サーバ）としてセットアップする方法について解説した。そのままでもメール・サーバとして利用できるが、デフォルトでは外部のドメインへメールを送信することはできない。セキュリティ上、SMTPサービスをインストールした直後のままでは、外部ドメインへのメールの中継は禁止されているからだ。

　例えばメール・サーバのドメイン（SMTPやPOP3サービスのインストール／セットアップ時に決定する）がexample.jpとなっている場合、〜@example.jpというメール・アドレス（つまりローカルのメール・ボックス）あてのメールはSMTPサービスで受け付け、配信されるが、〜@example.comといった外部ドメインあてのメールの送信は、SMTPサーバで拒否される。以下にSMTPのセッションの例のを挙げておく（これはTelnetコマンドでSMTPサービスに接続してテストしている例。Telnetコマンドの使い方はTIPS「Telnetクライアントの使い方」参照）。

　外部ドメインのあて先をrcptコマンドで指定すると（rcptはメールのあて先を指定するコマンド）、このように「550 ……」というエラー・メッセージが戻ってくる（500番台のメッセージはエラーを表す）。

　これを解消し、外部ドメインあてのメールを受け付けるようにするためには、SMTPサービスにおける中継／配信の設定を変更すればよい。

不正なメールの中継（スパムの踏み台）に注意

　SMTPで外部ドメインあてのメールの送信（「中継」という）を許可する場合は、十分注意する必要がある。特にインターネットに向けて公開されているSMTPサーバにおいて、無条件に中継を許可してしまうと、どんなメールでも中継してしまうことになり、いわゆる「スパム・メールの踏み台（スパム・メールの送信元）」として利用されてしまう可能性がある。これを避けるには、無条件の中継は許可せず、例えば組織内から組織外へ送信する場合のみ中継を許可し、外部からの着信メールでは中継を許可しない（そのメール・サーバにあるメール・ボックスへ置くことは許可するが、そこからさらに別のSMTPメール・サーバへは送信しない）、といった設定にしておくのがよい。SMTPサービスにおける中継の許可方法はいくつかあるが、本TIPSではIPアドレスによって中継を許可／禁止する方法について解説する。

　なお、より高機能でセキュアなメール・システムとするためには、IPアドレスによる制限だけでなく、SMTPサーバ・アクセス時の認証の必須化やDNSの逆引きによるクライアント・アドレスの詐称の禁止、ポート番号の変更（サブミッション・ポートの使用など。TIPS「スパム・メールの送信を制限するOutbound Port 25 Blockingとは」「サブミッション・ポートを利用してメールを送信する」などを参照）、メール・サーバと連携して動作するウイルス／スパム対策システムの導入、暗号化やアクセス制御の導入などの手法も併用するのが望ましい。Windows Server 2003のSMTPサービスで実施可能な対策については、今後も本TIPSで取り上げる予定である。

　Windows Server 2003のSMTPサービスにおいて、メールの中継を許可するには、まずIISの管理ツールを起動し（［すべてのプログラム］−［管理ツール］−［インターネット インフォメーション サービス (IIS) マネージャ］ツール）、SMTPサービスのプロパティを表示させる。

SMTPサービスのプロパティで中継を制限する（1）

メールの中継を制限するには、SMTPサービスのプロパティで設定する。

IIS上の仮想SMTPサーバを選択する。 これを選択する。

　次に［アクセス］タブにある［中継］ボタンをクリックする。

SMTPサービスのプロパティで中継を制限する（2）

SMTPサービスのプロパティ画面で、中継の制限を設定する。

このタブを選択する。 これはSMTPサービスへの接続そのものを制限するための指定。中継の制限機能ではない。 これをクリックして、中継を許可するクライアントを制限する。

　上の画面にあるをクリックすると表示される［中継の制限］ダイアログでは、中継を許可するIPアドレス群を指定する。ここで許可されたIPアドレス（単一のアドレスやアドレス範囲）もしくはドメイン名のコンピュータからSMTP接続すると、メールの中継が許可される。なおSMTPサービスへの接続そのものをIPアドレスで制限したい場合は、上のを使って制限する。

SMTPサービスのプロパティで中継を制限する（3）

中継を許可するクライアントをIPアドレスやドメイン名などで指定する。

こちらがデフォルトの設定。下ののリストのクライアントから接続した場合にのみ、中継を許可する。 これを選ぶと、特定のクライアントからの接続時には中継を禁止する。 ここに、接続を許可（もしくは禁止）したいコンピュータのIPアドレスやドメイン名などを指定する。デフォルトではこのリストは空となっている。なお一番上にある「127.0.0.0」は、ローカル・ループバック・アドレスからの接続を許可するためのエントリ。ここでは、ほかに、10.0.0.0/255.0.0.0と192.168.0.0/255.255の2組も許可している。 新しいエントリを追加するにはこれをクリックする。 これは、セキュリティで保護された接続の場合には中継を許可するという設定。デフォルトでオンだが、これを利用するためには証明書の設定などの作業が必要。これについては今後別TIPSで解説予定。

　上の画面のをクリックするとエントリを追加するためのダイアログが表示されるので、例えば組織内のネットワーク・アドレスなどを指定する。なおデフォルトではローカル・ループバック・アドレス（127.0.0.1）からの接続ですら中継は禁止されているので、必要ならばそのためのエントリも追加すること。ただし、ローカルのコンピュータがウイルスやワームなどに乗っ取られてメールを送信してしまう危険性も考えられるので、ローカル・ループバック・アドレスを利用する場合は十分注意すること。

中継を許可／禁止するアドレス・エントリの追加

中継を許可もしくは制限するエントリには、以下の3種類の指定方法がある。

ただ1台のコンピュータを指定するにはこれを選択して、IPアドレスを入力する。 192.168.0.0〜192.168.255.255のように、ある範囲のIPアドレスを指定するには、これを選択して、IPアドレスとネットマスクの値を指定する。 ドメインを指定する場合はこれを選択する。ただしドメイン名の確認のためにDNSの引きが行われるので（SMTPサービスがDNSの逆引きを行うので、SMTPサーバ自身のDNS設定を正しく完了しておくこと）、少し時間がかかる。また逆引きDNS環境が正しくセットアップされていないと、動作しない。例えばクライアントのFQDN名が「mypc01.sys.example.com」ならば、このエントリには「*.sys.example.com」のように入力する。

この記事と関連性の高い別のWindows TIPS メール・サーバ用にSMTP／POP3サービスをインストールする SMTPメール・サービスのデフォルトの送信者ドメイン名を正しく設定する スパム・メールの送信を制限するOutbound Port 25 Blockingとは Windows標準機能とWSHを使ってメールを送信する POP3のメール・ボックスを作成する このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード