跳至主內容
English (United States) 日本語 简体中文

關於從初期網域 (onmicrosoft.com) 發送電子郵件的 HENNGE 電子郵件 DLP 使用

更新於

對象

在 Microsoft 365 中使用 HENNGE Email DLP 的客戶

內容

由於近年主要電子郵件提供商加強了安全性,SPF 驗證失敗的電子郵件被視為垃圾郵件或被拒收的可能性非常高。
為了確保避免此問題,對於在 Exchange Online 中首次註冊時賦予的初始網域「<客戶租戶ID>.onmicrosoft.com」作為發件人使用的電子郵件,請首先考慮實施以下【建議對策】。

①【建議對策】更改為不經 HENNGE Email DLP 的發送路徑
最簡單且最可靠的對策是,在 Microsoft 365 的傳輸規則中,將相關的電子郵件排除在經由 HENNGE Email DLP 的路徑之外。

②【替代方案】公開 DKIM / DMARC 記錄
如果從初始網域發送的電子郵件也必須經過 HENNGE Email DLP 的過濾,則可以作為替代方案公開 DKIM 和 DMARC 記錄。
 

背景

發送網域驗證(SPF/DKIM/DMARC)技術(※)作為防範假冒電子郵件的對策非常重要。
然而,對於使用 Microsoft 365 的初始網域(<客戶租戶ID>.onmicrosoft.com)作為發件人的電子郵件,存在以下技術限制。

・限制: 無法編輯 SPF 記錄
由於初始網域「<客戶租戶ID>.onmicrosoft.com」的 DNS 記錄由 Microsoft 管理,客戶無法從 Microsoft 365 管理控制台等編輯或添加 SPF 記錄。
此 SPF 記錄中僅註冊了 Microsoft 365 的伺服器 IP 地址。

・擔憂: 經由 HENNGE Email DLP 時發生的 SPF 驗證失敗
在上述限制下,若經由 HENNGE Email DLP 從初始網域發送電子郵件,接收方伺服器將根據以下判定流程導致 SPF 驗證失敗。

  1. 從客戶的 Microsoft 365 發送的電子郵件由 HENNGE Email DLP 的伺服器中繼並傳送到對方的電子郵件伺服器。
  2. 接收方伺服器會查詢 DNS 中電子郵件的發送網域(<客戶租戶ID>.onmicrosoft.com)的 SPF 記錄。
  3. 由於 DNS 中僅註冊了 Microsoft 的伺服器 IP,實際傳送電子郵件的 HENNGE Email DLP 的伺服器 IP 地址被判定為「未經許可的 IP 地址發送」。
  4. 結果,該電子郵件的 SPF 驗證失敗。

什麼是發送網域驗證?
這是一種驗證技術,用於檢查接收到的電子郵件是否由顯示為發件人的網域的合法發件人發送。未正確設置發送網域驗證的網域發送的電子郵件可能被視為垃圾郵件或垃圾郵件,並可能被拒收。
發送網域驗證主要包括 SPF / DKIM / DMARC 驗證技術,使用 HENNGE Email DLP 時,原則上要求在所有使用的自訂網域中必須設置這些驗證。

①【建議對策】更改為不經 HENNGE Email DLP 的發送路徑

設定方法

以下是從 Exchange Online 指定初始網域「<客戶租戶ID>.onmicrosoft.com」發送的電子郵件,直接通過互聯網傳送而不經 HENNGE Email DLP 中繼的設定方法。這是意圖在 Exchange Online 管理控制台的傳輸規則設置中將初始網域「<客戶租戶ID>.onmicrosoft.com」指定為例外條件的指南。

  1.  
    1. 從 Exchange 管理中心打開「規則」
      https://admin.exchange.microsoft.com/#/transportrules
    2. 打開「HENNGE Email DLP 用規則」(名稱可選)
    3. 打開「編輯規則條件」
    4. 在「排除以下情況」的第一行中點擊「+」
    5. 選擇「發件人」為「網域是」,在打開的畫面中將網域指定為「onmicrosoft.com」。
    6. 選擇添加的「onmicrosoft.com」並點擊「保存」
    7. 確認已添加以下設置後點擊「保存」

此外,已按照以下網站公開的步驟完成與 HENNGE Email DLP 連接的客戶,無需重新添加上述步驟。

[Email DLP] 連接作業 (Microsoft 365)

 

根據客戶的服務使用情況和運營需求,如果需要將從初始網域發送的電子郵件經由 HENNGE Email DLP,請務必執行以下所述的發送網域驗證。

 

①【替代方案】公開 DKIM / DMARC 記錄

設定方法(DKIM/DMARC)

以下是意圖從 Microsoft365 管理控制台註冊初始網域「<客戶租戶ID>.onmicrosoft.com」的 DNS 記錄的指南。

  1. 打開 Microsoft 365 管理中心
  2. 從「設置」中打開「網域」
  3. 點擊「<客戶租戶ID>.onmicrosoft.com」,然後打開「DNS 記錄」標籤

請參考上述「DNS 記錄」標籤中的以下 DKIM / DMARC 相關文章進行記錄的添加設置。
此外,Microsoft 建議初始網域僅用於測試目的,通常的電子郵件傳送應使用自訂網域。
請提前知悉,Microsoft 將逐步限制初始網域的使用。

 限制 Onmicrosoft 網域用於發送電子郵件(僅英文)

DKIM

DKIM 的設定
※DKIM 記錄的發行及 DNS 公開後的啟用步驟。

 

DMARC

HENNGE Email DLP 發布 DMARC 記錄
※為遵循 Microsoft 和 Google 公布的指導方針,建議公開最低限度的 DMARC 設置(v=DMARC1; p=none)的文章。

 

如有任何問題,請聯繫 HENNGE One 支援窗口。

以上,敬請知悉。