対象
Microsoft 365 にて HENNGE Email DLP をご利用中のお客様
内容
近年の主要メールプロバイダによるセキュリティ強化により、SPF認証に失敗したメールは、迷惑メールとして扱われたり、受信を拒否されたりする可能性が非常に高くなっています。
この問題を確実に回避するため、Exchange Onlineにて初回登録時に付与される初期ドメイン「<お客様テナントID>.onmicrosoft.com」を送信元として利用するメールについては、まず、以下の【推奨対策】の実施をご検討ください。
①【推奨対策】HENNGE Email DLPを経由しない送信ルートへの変更
最もシンプルかつ確実な対策は、Microsoft 365のトランスポートルールにて、該当のメールを HENNGE Email DLP 経由のルートから除外することです。
②【代替策】DKIM / DMARC レコードの公開
もし、初期ドメインからのメールも HENNGE Email DLP のフィルタリング対象とすることが必須要件である場合は、代替策としてDKIMおよびDMARCレコードを公開する方法もございます。
背景
送信ドメイン認証(SPF/DKIM/DMARC)技術(※)は、なりすましメール対策として非常に重要です。
しかし、Microsoft 365 の初期ドメイン(<お客様テナントID>.onmicrosoft.com)を送信元として利用するメールには、以下の技術的な制約が存在します。
・制約: SPF レコードの編集不可
初期ドメイン「<お客様テナントID>.onmicrosoft.com」の DNS レコードは Microsoft 社が管理しているため、お客様が Microsoft 365 管理コンソールなどから SPF レコードを編集・追加することはできません。
このSPFレコードには、Microsoft 365のサーバーIPアドレスのみが登録されています。
・懸念: HENNGE Email DLP 経由時に発生する SPF 認証の失敗
上記制約において、HENNGE Email DLP を経由して初期ドメインからメールを送信した場合、受信側サーバーでは以下のような判定フローに基づき SPF 認証に失敗します。
- お客様の Microsoft 365 から送信されたメールを、HENNGE Email DLP のサーバーが中継し、相手先のメールサーバーへ配信します。
- 受信側サーバーは、メールの送信元ドメイン(<お客様テナントID>.onmicrosoft.com)の SPF レコードを DNS に確認しにいきます。
- DNS には Microsoft のサーバーIPしか登録されていないため、実際にメールを届けに来た HENNGE Email DLP のサーバーIPアドレスは、「許可されていないIPアドレスからの送信」と判断されます。
- 結果として、このメールは SPF 認証に失敗します。
送信ドメイン認証とは?
受信した電子メールが、送信元として表示されているドメインの正当な送信者によって送信されたものであるかどうかを検証する技術です。送信ドメイン認証が正しく設定されていないドメインからのメールは迷惑メールやスパムメールとして扱われ宛先からメールの受取を拒否される場合があります。
送信ドメイン認証では主に SPF / DKIM / DMARC という認証技術があり、 HENNGE Email DLP をご利用頂く場合は原則、ご利用の全ての独自ドメインにて、これらの設定を必須とさせていただいております。
①【推奨対策】HENNGE Email DLPを経由しない送信ルートへの変更
設定方法
以下、Exchange Online から初期ドメイン「<お客様テナントID>.onmicrosoft.com」を指定して送信されたメールを、 HENNGE Email DLP を中継せずに直接インターネット配送するための設定方法です。Exchange Online 管理コンソール上のトランスポートルール設定にて、初期ドメイン「<お客様テナントID>.onmicrosoft.com」を例外条件に指定することを意図した案内です。
-
- Exchange 管理センターより「ルール」を開く
https://admin.exchange.microsoft.com/#/transportrules - 「HENNGE Email DLP 用ルール」(名称は任意)を開く
- 「ルール条件の編集」を開く
- 「次の場合を除く」の1行目にある「+」をクリックする
- 「送信者」を「ドメインは」を選び、開いた画面でドメインの指定に「onmicrosoft.com」を追加する。
- 追加した「onmicrosoft.com」を選択し「保存」をクリックする
- 以下のような設定が追加されたことを確認し「保存」をクリックする
- Exchange 管理センターより「ルール」を開く
なお、既に以下のサイトに公開の手順にて、HENNGE Email DLP との接続が完了されているお客様におかれましては、新たに上記の手順を追加設定いただく必要はありません。
[Email DLP] 接続作業 (Microsoft 365)
お客様のサービスご利用状況や運用上、初期ドメインから送信するメールを HENNGE Email DLP へ経由させる必要がある場合、以下に記載する送信ドメイン認証の実施を必ず実施いただけますようお願いいたします。
①【代替策】DKIM / DMARC レコードの公開
設定方法(DKIM/DMARC)
以下、Microsoft365 管理コンソール上から初期ドメイン「<お客様テナントID>.onmicrosoft.com」の DNS レコードの登録を実施いただくことを意図した案内です。
- Microsoft 365 管理センターを開く
- 「設定」から「ドメイン」を開く
- 「<お客様テナントID>.onmicrosoft.com」をクリックし、「DNSレコード」タブを開く
上記「DNSレコード」タブより以下の DKIM / DMARC に関する記事を参考にレコードの追加設定をお願いいたします。
なお、 Microsoft 社では、初期ドメインの運用はテスト目的でのみ使用し、通常のメール配信は独自ドメインを使用するよう推奨いたしております。
今後 Microsoft では段階的に初期ドメインの利用を制限するというアナウンスも行われております点をあらかじめご認識ください。
Limiting Onmicrosoft Domain Usage for Sending Emails(英語のみ)
DKIM
[Email DLP] テナント設定 - DKIM の設定
※DKIM レコードの発行と、DNS 公開後の有効化の手順です。
DMARC
[Email DLP] DMARC レコードの公開
※Microsoft 社および、Google 社が公開したガイドラインに準じるために最低限必要な DMARC 設定(v=DMARC1; p=none)を公開いただくことを推奨した記事です。
ご質問などございましたら、HENNGE One サポート窓口までご連絡ください。
以上、よろしくお願い申し上げます。
HENNGE ユーザーコミュニティ「chameleon (カメレオン)」
HENNGE 製品管理者限定のユーザーコミュニティ「chameleon (カメレオン)」では、
その月にリリースされた HENNGE One の機能追加や改善を取りまとめ、開発背景などを記載した「アップデート情報」を毎月公開しています。
あわせてご覧ください。
HENNGE ユーザーコミュニティ「chameleon (カメレオン)」
※ 閲覧にあたっては「chameleon (カメレオン)」のユーザー登録が必要です。
※ ご登録は、HENNGE 製品ご利用のお申し込みをいただいている担当者様限定です。