office365を利用したメールのローカル配送について調べてみた

最近、当社サービスをご利用いただいているお客様でメール部分を office365(Microsoft365)や Gmail に移行されるケースを見かけるようになってきました。

先日は前段にウイルスチェックやスパムチェックのサーバを挿入した場合について確認し、必要となる作業を記事にしました。
「MICROSOFT365(OFFICE365)の前段に迷惑メール対策アプライアンスを経由させる場合の追加作業」
https://blog.denet.co.jp/acmf-ms365/

今回は異なる利用者(独自ドメイン)が互いに office365 を利用していた場合に前段サーバは経由されるのかを確認してみました。

結論は「ローカル配送されるケースも考慮して設定を考えよう」です。

順に説明していきます。

事前知識：ローカル配送

問題ないケース、問題あるケース

通常、メールを送信(中継)する際、メールサーバは宛先ドメインのメールサーバをDNS(のMXレコード)で検索して特定し、そのサーバに接続してメールの配送を行います。
ところが、宛先ドメインのメール環境も同じメールサーバ上に搭載されている場合、いちいちDNS検索してメールサーバを探すことなく、そのサーバ内でメール配送を行ってしまいます。
各ドメインともそのサーバ上で利用中であれば問題ないのですが、「このサーバにこのドメインはありません」と、メールサーバの設定を消すことなく他者サービスへ移行した場合に正しいサーバへ配送されず、以前の環境に送られ続けるという状況が発生します。
これがローカル配送で問題が発生するケースです。

office365では

試験的に office365 に2件のアカウントを設定し、それぞれに独自ドメインを割り当ててみました。
※いずれも .jp ドメインです。

図では仮に A社(example-a.com)、B社(example-b.com) としています。

独自ドメイン設定後、各ドメインのDNSでのメールサーバ設定(MXレコード)の指定がありました。
例示すると、example-a.mail.protection.outlook.com、example-b.mail.protection.outlook.com です。
この二つのIPアドレスを確認したところ、全く同じアドレスでした。

ということは、前段(外部からDNSのMXレコードで牽かれるメールサーバ)として見えるウイルスチェックやスパムチェックのサーバを通らずに office365の中だけで配送が完結してしまうのか、という確認をしていきます。

構成イメージ

すでに出ている通りですが、図中の example-a MX および example-b MX というところにそれぞれ前段としてのスパム/ウィルスチェックサーバを置いています。
そこから固定配送で前述の指定されたメールサーバに転送するようにします。

A社から外部へ

outlookに接続した端末から office365、そこから宛先ドメインのメールサーバへ送信されました。
特になんの変哲もない、ノーマルな配送です。

外部からA社へ

送信者はDNSでA社のメールサーバ(MX)を検索して接続、配送。
A社のメールサーバ(MX)は office365 へ転送。
これも特になんの変哲もない、ノーマルな配送です。

B社からA社へ

Office365利用者同士でメールのやり取りを行う場合の流れです。
実験ではoffice365サーバがDNSを検索してA社のメールサーバ(MX)情報を取得後そこへ配送、A社のメールサーバ(MX)はスパム/ウィルスチェック後 office365サーバへ転送していました。

いつもMXを牽くのか

実験では office365利用者同士でも独自ドメインのMXを牽いてくれましたが、必ずそうなるのかについては「わかりません」と言うしかないですね。

追加の確認

追加の確認として、「A社から外部へ」と同様に「B社から外部へ」も見てみました。
この時、A社から外部へ配送した際の office365側IPアドレスと、B社からの office365側IPアドレスは異なることがわかりました。
そのため、同一サーバ内のドメインとして扱われずにDNS検索したものと考えられます。

つまり、"たまたま"別のサーバに収容されたためにローカル配送されなかっただけで、宛先ドメインが同じサーバに載っていてMXを牽かずにローカル配送されるケースは十分にあり得るわけです。
検索したところ、「office365内でローカル配送してるのに気づかずハマった」という2017年の記事がヒットしたので、スパム/ウィルスチェック等の前段サーバを設置(設定)する場合は「ローカル配送される場合がある」ということも意識したうえで対応をお願いします。

m//t

　
　
　
　
　
COBOL系SE,PG から NetNews(nntp)配送管理者(tnn.netnews.stats集計担当) を経て現職。

社内業務改善(「やりたくない」がモチベーション)でいろいろ社内ツールを作ってきました。
ネットワーク系の機器をいじることも多いので、それらの管理や制御に関するツールもちらほら。
perlで書くことが多いですね。(COBOLやFORTRAN、Pascal でもいいですけど……)
どれだけ読みやすく書けるか、10年後の自分に手紙でも書くような気持ちで。

最近はDNSを少しかじったりしてますが、いろいろ悩ましいことが多すぎます (>_<)
好きなポート番号は53、119、123です。

LINK
クラウドベリージャム：プロフィールページ