IT用語集 2024/11/05

OP25Bとは？ 10分でわかりやすく解説

コラム

OP25B（Outbound Port 25 Blocking）は、社内端末や機器からインターネットへ出ていく TCP 25 番ポートの通信を制限し、不正なメール送信を抑える仕組みです。狙いは、端末から外部の SMTP サーバーへ直接送る経路を塞ぎ、メール送信を認証付きの正規経路へ統一することにあります。メール配送そのものを止める対策ではなく、外向き 25 番の使い方を整理する対策です。

向いている場面：社内端末や機器のメール送信経路を統制したい場面、感染端末によるスパム送信を抑えたい場面
注意が必要な場面：複合機や監視装置などが 25 番固定で動いている場面
先に決める項目：外部配送を担うサーバー、クライアント送信の宛先、例外許可の範囲

OP25Bとは何か

OP25Bの定義

OP25Bは、社内から外部への TCP 25 番ポート通信を原則として遮断または強く制限する対策です。25 番ポートは本来、メールサーバー同士の配送で使われます。一方、一般端末や機器が 25 番で外部へ直接送信できる状態は、スパム送信や誤設定の温床になりやすくなります。

なぜ必要になるのか

端末や機器が外部へ直接 SMTP 送信できると、感染端末によるスパム送信、設定ミスによる誤送信、組織の送信元 IP の評価低下が起きやすくなります。OP25Bは、この「端末から外部へ直接送る経路」を塞ぐことで、送信経路を認証付きの経路へそろえやすくします。

25番・587番・465番の役割

25番	主にメールサーバー同士の配送で使います。一般端末の外部送信経路としては残しにくい番号です。
587番	クライアントのメッセージ送信用に使うことが多いポートです。通常は SMTP-AUTH と組み合わせて使います。
465番	暗号化されたサブミッションを提供するサービスで使われることがあるポートです。実際の採用有無は利用中のメールサービスに合わせて確認します。

OP25Bでできることと、できないこと

OP25Bでできるのは、端末や機器から外部 SMTP への直接送信を抑えることです。したがって、感染端末のスパム送信抑止や、送信元 IP の評判低下を防ぐ効果が見込めます。

一方で、OP25Bはメール本文の内容検査や、なりすまし対策そのものではありません。メール全体の対策としては、送信ドメイン認証やフィルタリング、ログ監視なども別に必要です。

OP25Bの設定方針

基本方針

企業ネットワークでの基本方針は単純です。クライアント端末や一般機器の外向き TCP 25 を原則拒否し、外部配送が必要なメールサーバーだけ例外で許可します。端末や機器の送信は、587 番や 465 番を使う認証付き送信へ統一します。

設定の考え方

クライアント端末	外部への TCP 25 は拒否し、587 番や 465 番で認証付き送信を使います。
自社MTA	外部配送を担う場合に限って、必要な範囲で TCP 25 を許可します。
25番固定機器	機器側の設定変更が可能なら 587/465 へ変更します。難しい場合は社内リレーを経由させます。

社内リレーを使う場面

複合機や監視装置の中には、認証付き送信に十分対応していないものがあります。その場合、機器からは社内の SMTP リレーへ送り、外部への配送はリレー側で行う構成にすると、例外許可を広げずに済みます。機器ごとに外部 25 番を開ける設計は、管理が崩れやすくなります。

出口制御の置き場所

OP25Bは、境界のファイアウォール、ルーター、UTM などで、外向き通信の制御として実装するのが一般的です。設計では、どのセグメントからどの宛先へ出られるかを明確にし、例外を台帳化して管理します。

導入前後に確認したいポイント

導入前の棚卸し

最初にやるべきことは、誰が 25 番を使って外へ出ているかの把握です。端末、複合機、監視装置、業務アプリ、社内メールサーバーを対象に、送信先、ポート、認証の有無を確認します。ここを飛ばすと、導入後に「一部だけ送れない」状態が出やすくなります。

導入後の確認項目

端末から外部 TCP 25 が遮断されているか
自社 MTA が必要な外部配送を継続できているか
587 番や 465 番での認証付き送信が通るか
複合機、監視装置、業務アプリの送信が継続しているか
拒否ログに想定外の送信元が残っていないか

段階導入の方が安全な理由

一度に全セグメントへ適用すると、古い機器や未把握アプリの影響が見えにくくなります。まずは特定セグメントで適用し、拒否ログと送信テストを見ながら対象を広げる方が、影響を抑えやすくなります。

よくあるトラブルと対処

メールが送れない

原因の多くは、送信設定が 25 番のまま残っていることです。SMTP サーバー名、ポート番号、暗号化方式、認証設定を確認し、587 番または 465 番を使う構成へ修正します。

送信に時間がかかる

25 番で接続しようとして遮断され、タイムアウト待ちになっていることがあります。設定が残っている端末や機器を特定し、送信経路を切り替えます。通信断ではなく「古い設定が残っている」ケースが多くなります。

複合機や監視装置だけ送れない

この場合は 25 番固定や認証未対応が疑われます。対応方法は二つで、機器側を正規送信へ変更するか、社内リレーへ送らせるかです。例外として外部 25 番を広く許可すると、OP25B の効果が薄れます。

例外が増えすぎる

例外を送信先ではなく送信元単位で絞る、機器を社内リレーへ集約する、古い設定を定期的に棚卸しする、といった運用が必要です。例外が増え続けると、外向き 25 番の統制が崩れます。

OP25Bと他のメール対策の関係

OP25Bは、メール送信経路を統制する対策です。スパム送信元の評判照会に使う RBL や、送信ドメイン認証、フィルタリングとは役割が異なります。送信経路の統制だけでメール全体の安全性が足りるわけではないため、別の対策と組み合わせて見る必要があります。

まとめ

OP25Bは、社内端末や機器から外部への TCP 25 を制限し、不正なメール送信を抑える対策です。設計の要点は、クライアント送信を 587 番や 465 番の認証付き経路へ統一し、外部配送が必要なメールサーバーだけ例外で 25 番を許可することにあります。導入時は、25 番を使っている端末や機器の棚卸しと、段階適用後のログ確認までセットで進めると、影響を抑えながら整理しやすくなります。