Azureから25番ポートでメールを送付する件についてMS見解
Azure VM(3rd-partyのメールセキュリティ製品)から外部にメールを送信する構成を検討していた際に、25番ポートで本当に送信して問題ないのか?を調べた結果となります。
あまり明快な結論ではないですが、同じ悩みを持った方の参考になれば幸いです。
前提
EA契約のサブスクリプションを利用(CSPなどの場合そもそも、25番ポートでのメール送付がブロックされていたりします)
Azure でのアウトバウンド SMTP 接続のトラブルシューティング | Microsoft Learn
公式ドキュメントの記載
Azure でのアウトバウンド SMTP 接続のトラブルシューティング | Microsoft Learn
Azure から直接メール送付するのではなく、認証済みのSMTPリレーサービス(Sendgrid等のことだと思われる)を使うことが推奨されている。。。。
これは、
①Azureからメールを送信することが推奨されていないのか
②一般論としてメールを外部に送信する際は、「認証済みのSMTPリレーサービス」を使った方がいいといっているだけなのか
がわかりませんでした。仮に①であった場合に、「Azureで使われているパブリックIPが受信側でブラックリストに載っているからやめた方がよい」ということであれば、BYOIPを使えば解決できると思われる。しかし、②がMSの意図するところであれば、BYOIPを使うことは解決策にならない。
どのように構成を組めば(例えばBYOIPを使えば)、Azureから25番ポートで外部にメール送信していいのか、そもそもAzureから25番ポートで外部メール送信することは構成如何によらずやめた方がよいのかが、よくわかりませんでした。
MSサポートにこの辺りの見解を確認しました。
MSサポート見解
- パブリック IP アドレスのレピュテーションを判断している受信側のプロバイダーによっては、Azure が保有しているパブリック IP アドレスからの通信をブロックする可能性があるが、これらのブロックの動作に関して、具体的な情報は弊社側(MS)にて保有しておらず、個別にプロバイダーへ問い合わせてほしい
- パブリック IP アドレスのレピュテーションに関しての情報や見解(そもそもAzureのパブリックIPアドレスが、多くの受信側プロバイダでブラックリストに載ってしまっている等)について、内部にて確認したが、レピュテーションの判断や実際のブロック等の動作は受信側のプロバイダーに依存するため、弊社側(MS)から案内可能な情報はない。
- BYOIP を使用した場合、Azure 保有のパブリック IP アドレスを使用せずに TCP 25 番ポート宛の送信が可能となるので、 Azure 保有のパブリック IP アドレスであることに起因するレピュテーションの問題は回避可能な想定。ただし、具体的なブロック等の動作については受信側プロバイダーの仕様に依存するため、受信側のプロバイダーにて送信元パブリック IP アドレス以外の要素をもとにレピュテーションを評価している場合等、 BYOIP のみで完全にレピュテーションの問題を回避可能であるとは限らない
- 25 番ポート宛の送信に BYOIP を使用することでレピュテーションの問題が軽減される可能性はあるものの、最終的なレピュテーションの判断は受信側のプロバイダー依存となるため、Azure としてはSMTPリレーサービスの使用を推奨しているというのが弊社側の見解
MSサポート見解を受けて
結局、「認証済みのSMTPリレーサービスを使うことが推奨」している明確な根拠はなく、一般論としてSMTPリレーサービスを使った方がよい、と言っているに過ぎないと判断しました。
現在オンプレミス環境のメールサーバから外部にメール送信しているのですが、認証済みのSMTPリレーサービスなどは特に使っていないため、Azure VMにマイグレした後も、認証済みのSMTPリレーサービスを使う必要はないと判断しました(今もSMTPリレーサービス使っていないなら、Azureでも使う必要ないじゃん、という理屈です)
AzureでBYOIPを使う案もありましたが、グローバルIPを取得する手間と費用が掛かりそうだったのと、そもそもBYOIPの方が受信側でブロックされないのかも判別がつかなかったため、通常のAzureのパブリックIPを使うことになりました(もし、受信側ではじかれてしまった場合、簡単にIPアドレスを変更できるという点も、AzureのパブリックIPを使うことにした理由の一つです)