承認済みドメインと組織内に存在できるメールドメインについて

Exchange Serverにおける承認済みドメインと組織内に存在できるメールドメインとの関係について質問を受けたので、まとめて書いてみようと思います。

Exchange Server 2007以降には「承認済みドメイン」という設定があり、ここでドメインを以下の三種類に区別して管理できます。

  • 権限のあるドメイン
  • 内部の中継ドメイン
  • 外部の中継ドメイン

権限のあるドメイン

権限のあるドメインは簡単に言うと「このExchange組織でのみ管理しているメールドメイン」という感じです。ですので…

  • そのドメイン宛のメールは受け入れる
  • 宛先をActive Directoryフォレスト内から探す
  • 宛先が存在すればメールを配信する
  • 宛先が存在していなければNDRを生成する

という動作をします。特にNDRを生成するという点が重要です。Exchange組織が1つだけしかなくて、MXレコードもその組織をむいていて、連携するものも何も無い!って時にはこのモードでドメインを登録すればおしまいなので楽ですね。そうではない時には別のモードも必要になります。

 

内部の中継ドメイン

内部の中継ドメインは「このExchange組織内にもそのドメインのメールアドレスを持っている人もいるけど、このExchange組織以外にも同じメールドメインを使っているメールシステムがある」という時に使います。

  • そのドメイン宛のメールは受け入れる
  • 宛先をActive Directoryフォレスト内から探す
  • 宛先が存在すればメールを配信する
  • 宛先が存在していなければ、外部に送信する

要は、NDRを生成しないわけですね。そして、内部の中継ドメインを設定する場合には大抵専用のSMTPコネクタを作成して同じメールドメインを共有しているメールシステムに向けて送信する形になると思います。

ExchangeではNDRを生成しないわけなので、別のメールシステムできちんとNDRを生成してあげる必要があります。やってしまいがちなのは、メールドメインを共有している別システムでも同じような設定をしてしまい、どちらにも存在していないメールアドレスに関してメールがループしてしまう構成ミスですね。「どこでNDRを生成するのか」というのはきちんと抑えておく必要があります。

 

外部の中継ドメイン

外部の中継ドメインは「Exchange組織内ではこのメールドメインを持っているユーザーはいないけど、中継だけする」という時に設定します。

  • そのドメイン宛のメールは受け入れる
  • 宛先をActive Directoryフォレスト内から探さず、そのまま外部に送信する

いちいち中は見ないで、全部リレーするだけの設定です。

 

信頼済みドメインに設定していないドメインのメールアドレスを設定した場合

信頼済みドメインに設定していないドメインのメールアドレスでも、実はActive Directory内のユーザーに設定できちゃいます、その場合どのような挙動になるかというと、組織内部からの送信時にはそのユーザーに届いてしまいます。内部の中継ドメインでも、外部の中継ドメインでも、どこにもなにも書いてなくてもこの挙動です。

この挙動は私が確認する限りExchange Server 2000のころから一貫しています。

管理者がメールアドレスを設定している訳なので当たり前と言えば当たり前の気もしますが、まったく管理権限が無いドメインに関しても操作できてしまうのはちょっと気持ち悪い気もしますね。でも、まぁ、そうなっているのですから仕方がないです。この動きを前提に設計を行ってください。

コメントを残す

メールアドレスが公開されることはありません。