Office 365のDMARC:ステップバイステップのセットアップとベストプラクティス
by
読書時間 11 分
主なポイント
- DMARCは、ドメインのなりすましやフィッシングに対する電子メールのセキュリティを強化するために不可欠である。
- DMARCを設定するには、電子メール認証のための既存のSPFまたはDKIMレコードが必要です。
- Microsoft 365は、インバウンドDMARCの失敗を異なる方法で処理します。厳格な実施(隔離/拒否)には、トランスポートルールを使用します。
- 正当なメールがブロックされないようにレポートを監視しながら、DMARCポリシーの厳しさを徐々に上げていく(noneからrejectへ)。
- 非アクティブなドメインに対してもDMARCを設定し、不正使用を防ぐ。
マイクロソフトは、Office 365ユーザーのためにDMARCをサポートし、推奨しています。を採用することができます。このブログでは、DMARCfor Office 365を設定して、Office 365のメールを認証する手順を説明します:
- マイクロソフトのオンライン・Eメール・ルーティング・アドレス
- 管理センターに追加されたカスタムドメイン
- パークされている、またはアクティブではないが登録されているドメイン
2023年第2四半期、マイクロソフトは様々な情報源からフィッシング詐欺で最もなりすまされたブランドと呼ばれた。DMARCのようなプロトコルは、防御メカニズムを強化するために不可欠です。
ここでは、Office 365のDMARCが高度な電子メールの脅威を防ぐのにどのように役立つかを見てみよう。
DMARCとは何ですか?
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、電子メールのなりすましやフィッシング攻撃からドメインを保護するために設計された電子メール認証プロトコルです。DMARCは、既存の2つの標準を基に構築されています:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
これにより、ドメイン所有者は、自分のドメインから来たと主張する認証されていない電子メールが、受信メールサーバーによってどのように処理されるかを、より詳細に制御できるようになる。
DMARC for Office 365を実装すると、ドメインに関連付けられたDNS TXTレコードとしてDMARCポリシーが公開されます。このポリシーは、SPFとDKIMのチェックに失敗したメッセージを受け入れるか、隔離するか、拒否するかをメール受信者に指示し、悪意のあるアクターが貴社のドメインになりすます可能性を大幅に低減します。
DMARCはまた、レポーティングメカニズムを通じて貴重な可視性を提供し、ドメイン所有者が電子メール認証結果に関する詳細なフィードバックを受け取ることを可能にする。これらのレポートは、未承認のメールソースを特定し、全体的なメールセキュリティ態勢を改善するのに役立ちます。
PowerDMARC で Office 365 の DMARC を簡素化!
始める前に考慮すべきこと
マイクロソフト社の文書によると マイクロソフトの資料:
- onmicrosoft.comで終わるMOERA(Microsoft Online Email Routing Address)を使用している場合、SPFとDKIMはすでに設定されています。ただし、DMARCレコードはMicrosoft 365の管理センターで作成する必要があります。
- example.comのようなカスタムドメインを使用している場合は、手動でSPF、DKIM、DMARCを設定する必要があります。
- パークドメイン(非アクティブドメイン)については、マイクロソフトでは、そのドメインからメールが送信されないように明示的に指定することを推奨しています。そうしないと、これらのドメインがなりすましやフィッシング攻撃に使用される可能性があります。
- 転送されたメッセージや転送中に変更されたメッセージについては、以下の設定が不可欠です。 ARC.これは、正確な認証のために、変更にもかかわらず元の電子メール認証ヘッダーを保持するのに役立ちます。
Office 365のDMARC設定方法
以下のステップバイステップの手順に従って、Office 365のDMARCを確実かつ明確に構成してください:
ステップ1: ドメインの有効なメールソースを特定する
送信元IPアドレス(サードパーティを含む)は、お客様に代わってメール送信を許可するものです。
ステップ2: ドメインのSPFを設定する
次に SPFを設定する必要があります。そのためには、SPF TXTレコードを作成し、外部のメールベンダーを含む有効な送信元をすべて含めるようにします。PowerDMARC に無料でサインアップし、SPF レコード作成ツールを使用してレコードを作成することができます。
ステップ3: ドメインでOffice 365のDKIMを設定する
DMARC Office 365を有効にするには、ドメインにSPFまたはDKIMを設定する必要があります。DMARCを有効にするには、ドメインにSPFまたはDKIMを設定する必要があります。 DKIMとDMARCを設定することをお勧めします。PowerDMARCに無料でサインアップし、DKIMレコード生成ツールを使用してレコードを作成できます。
ステップ4:DMARC TXTレコードの作成
PowerDMARCの無料の DMARCレコードジェネレーターを使用することができます。正しい構文で即座にレコードを生成し、DNSに公開し、ドメインのDMARCを設定します!
の実施方針のみであることに注意してください。 拒否だけが効果的になりすまし攻撃を防ぐことができます。まずは なしポリシーで開始し、定期的にメールトラフィックを監視することをお勧めします。これをしばらく続けてから、最終的に強制に移行します。DMARCの拒否は、送信元が適切に設定または監視されていない場合、正当なメールの損失につながる可能性があるため、軽視できません。
DMARCレコードでは、ポリシーモード(none/quarantine/reject)を定義し、DMARC集計レポートの受信を希望する場合は、"rua "フィールドにメールアドレスを入力します。
| DMARCポリシー | ポリシータイプ | 構文 | アクション |
|---|---|---|---|
| なし | リラックス/ノーアクション/寛容 | p=なし; | 認証に失敗したメッセージに対しては何もしない。 |
| 隔離 | 強行 | p=隔離; | DMARCに失敗したメッセージを隔離する |
| 拒否する | 強行 | p=拒否; | DMARCに失敗したメッセージを破棄する |
DMARCレコードの構文は以下のようになります:
v=DMARC1; p=reject;rua=mailto:[email protected];
このレコードの強制ポリシーは "reject "で、ドメインに対してDMARC集約レポートが有効になっている。
Microsoft Admin Centerを使用してOffice 365 DMARCレコードを追加する方法
DMARC Office 365 レコードを追加するには、次のようにします。 MOERAドメイン(*onmicrosoft.comドメイン)のDMARCレコードを追加するには、以下の手順を実行します。の DMARC レコードを追加するには、以下の手順を実行します:
1.マイクロソフトの管理センターにログインする。
2.次のページに進みます。 すべて表示 > 設定 > ドメイン
3.ドメインページのドメインリストから*onmicrosoft.comドメインを選択し、ドメインの詳細ページを開きます。
4.このページのDNSレコードタブをクリックし、+レコードの追加を選択します。
5.新しいDMARCレコードを追加するためのテキストボックスが表示されます。以下に、特定のフィールドに入力すべき値を示します:
タイプ:TXT
名称:ドマルク
TTL:1時間
値:(作成したDMARCレコードの値を貼り付ける)
6.保存をクリックする。
カスタムドメインにOffice 365 DMARCレコードを追加する
example.comのようなカスタムドメインをお持ちの場合、DMARCのセットアップ方法に関する詳細なガイドをご覧ください。 DMARCの設定方法.私たちのガイドの手順に従って、簡単にプロトコルを設定することができます。マイクロソフトは、カスタムドメインのDMARCを設定する際に、いくつかの貴重な推奨事項を行っています。私たちはこれらのヒントに同意し、クライアントにも提案しています!それでは、DMARCがどのようなものかを見ていきましょう:
- DMARCを設定するときは、まずnoneポリシーから始めましょう。
- ゆっくりと検疫に移行し、その後拒否する
- ポリシー・インパクトのパーセンテージ(pct)の値を低く保つこともできます。
- DMARCレポートを有効にして、メールチャネルを定期的に監視してください。
非アクティブドメインのDMARC Office 365レコードの追加
私たちは で、SPF、DKIM、およびDMARCを使用して非アクティブ/パークドメインのセキュリティを確保するための詳細なガイドを取り上げました。詳細な手順はそちらをご覧いただきたいが、簡単に概要を説明すると、非アクティブドメインであってもDMARCを設定する必要がある。
非アクティブドメインのDNS管理コンソールにアクセスして、DMARCレコードを発行するだけです。DNSにアクセスできない場合は、DNSプロバイダにお問い合わせください。このレコードは、DMARCに失敗した非アクティブドメインから発信されたすべてのメッセージを拒否するように設定できます:
v=DMARC1;p=却下;
PowerDMARC を使用して Office 365 の DMARC を正しい方法で設定します!
なぜOffice 365にDMARCを設定するのか?
Office 365には、スパム対策と メールセキュリティゲートウェイが組み込まれている。では、なぜOffice 365の認証にDMARCポリシーが必要なのだろうか。それは、これらのソリューションが主にインバウンド フィッシングメールドメインに送信されます。DMARC認証プロトコルは、アウトバウンド・フィッシング防止ソリューションです。ドメイン所有者は、認証に失敗したドメインから送信されたメールへの対応方法を受信メールサーバーに指定することができます。DMARCはまた、正当なメッセージがスパムフォルダに入るリスクを軽減します。DMARCは、主にダイレクト・ドメイン・スプーフィング(正確なドメイン名を使用したもの)から保護するものであり、ルックライク・ドメイン・スプーフィング(視覚的に類似したドメイン名を使用したもの)からは本質的に保護しないことに注意することが重要です。
DMARCは、SPFとDKIMという2つの標準的な認証方法を利用する。これらは、電子メールの真正性を検証します。Office 365のDMARCポリシーを実施することで、なりすまし攻撃やなりすましからの保護を強化することができます。
ビジネスメールにDMARCを設定することは、現在のシナリオではこれまで以上に重要である:
- 連邦政府機関は、DMARポリシーの不在や脆弱性を悪用するハッカーに対して警告を発している。 DMARCポリシー
- DMARCへの準拠は YahooとGoogleの一括送信者
- IBMの報告によると、攻撃者が漏洩した認証情報を使用した場合の侵害の平均コストは480万ドルである。
DMARCの影響を示す実例がある。 HCITマネージド・サービス・プロバイダー(MSP) である HCIT は、クライアントを標的としたフィッシングやなりすましメールに関する課題の増大に直面していました。PowerDMARC を使用してDMARC を実装することで、HCIT は複数のドメインの保護、なりすましリスクの低減、メール配信の改善に成功し、適切なソリューションがいかにコストのかかる攻撃から企業とその顧客を守ることができるかを実証しました。
よくある落とし穴とその避け方
Office 365のDMARCを設定することで、ドメインのメールセキュリティは大幅に強化されますが、設定を誤るとその効果が損なわれる可能性があります。ここでは、企業が直面する最も一般的な落とし穴と、それらを積極的に回避する方法を紹介します:
サブドメインのポリシーを忘れる
ルートドメインで適用されるDMARCポリシー(例. ウェブサイト.com)で適用されるDMARCポリシーは、mail.website.comやnews.website.comただしsp タグを使って明示的に指定しない限り、自動的にmail.webサイト.comやnews.webサイト.comのようなサブドメインに拡張されません。
この見落としは、攻撃者が好んで悪用する抜け穴を生み出します。サイバー犯罪者は、プライマリドメインのDMARCエンフォースメントをバイパスしてなりすましメールを送信するために、保護されていないサブドメインをターゲットにすることがよくあります。
解決策 DMARCポリシーにsp=reject;(またはquarantine)を追加し、すべてのサブドメインに保護を拡大する。サブドメインを定期的に監査し、メールを送信すべきでないドメインには厳格なポリシーを適用する。
DMARCを破壊するSPF/DKIMの誤設定
DMARCは、SPFまたはDKIMのチェックがパスし、"From "ヘッダーのドメインと適切に整合している場合にのみ機能する。これらのプロトコルは単に存在するだけでは不十分である。メール送信に使用される正確なドメインに代わって認証しなければならない。
よくある問題をいくつか挙げる:
- SPFは第三者送信者のIPを含むが、envelope-fromドメインが一致しない。
- DKIMが "From "アドレスに表示されているものとは異なるドメインで署名している。
- DNSのレコードが構文的に正しくないか、不完全です。
解決策ドメイン固有のツールを使ってSPF、DKIM、DMARCの設定をテストする。合格・不合格だけでなく、常に整合性をチェックする。PowerDMARCのアナライザーのようなツールは、適切なセットアップを可視化し、検証するのに役立ち、認証違反に関連するリスクを最小限に抑えます。
アライメントに失敗したサードパーティ・センダー
以下のようなサービス メールチンプ, センドグリッドまたは セールスフォースなどはSPFとDKIMをサポートしているかもしれませんが、それらがあなたのドメインと一致するように正しく設定されていなければ、DNSレコードに問題がなくてもDMARCは失敗します。
これらのプラットフォームとの整合性が取れていないと、メールがフラグを立てられたりブロックされたりする可能性があり、配信性やブランドの信頼性に影響を及ぼします。
解決策
- サードパーティのメールサービスが、お客様のドメインを使用したDKIM署名に対応していること、およびenvelope-fromのカスタマイズによってSPFアライメントを許可していることを確認してください。
- 各プラットフォームの文書とテスト構成を常に確認すること。
- 組織で使用されているすべての外部送信者のリストを一元管理し、定期的にDMARCコンプライアンスを検証する。
報告アドレスがない、または報告書が読めない
DMARCのレポート機能は最も強力な機能の1つですが、適切に有効化されている場合に限ります。DMARCレコードのrua(集計レポート)またはruf(フォレンジックレポート)タグをスキップすると、不正送信の試行に関するすべての可視性が失われます。
さらに悪いことに、もしあなたがレポートを受け取ったとしても、それを個人の受信トレイに送るようにすれば、その量と生のXMLフォーマットはすぐに圧倒的なものとなり、使い物にならなくなる。
解決方法 DMARCレコードに必ずruaタグとrufタグを指定し、レポートを有効にする。さらに、専用のEメールアドレスや、データを解析して見やすく可視化できるサードパーティのDMARCレポートアナライザを使用する。
Office 365の使用中にDMARCは本当に必要か?
企業にはよくある誤解がある。Office 365がスパムや詐欺メールからの安全を保証してくれると思っているのだ。しかし、2020年5月に 一連のフィッシング攻撃が中東の保険会社数社に対して行われた。攻撃者はOffice 365を利用し、重大なデータ損失とセキュリティ侵害を引き起こした。そこで、ここから学んだことを紹介しよう:
理由1:マイクロソフトのセキュリティ対策は万全ではない
このため、マイクロソフトの統合セキュリティ・ソリューションに頼るだけでは不十分なのだ。ドメインを保護するために外部の努力をしなければならないが、それは大きな間違いである。
理由2:Office 365のDMARCを設定し、アウトバウンド攻撃から保護する必要がある
Office 365の統合セキュリティソリューションは、インバウンドメールの脅威やフィッシングから保護することができますが、自社ドメインから送信されるアウトバウンドメッセージが、顧客やパートナーの受信トレイに届く前に効果的に認証されるようにする必要があります。そこで、DMARC for Office 365の出番です。
理由3:DMARCはメールチャネルの監視に役立つ
DMARCは、直接ドメインのなりすましやフィッシング攻撃からドメインを保護するだけではありません。また、メールチャネルの監視にも役立ちます。拒否/隔離」のような強制的なポリシーでも、「なし」のような緩やかなポリシーでも、認証結果を追跡することができます。 DMARCレポート.これらのレポートは、お客様の電子メールアドレスまたは DMARCレポートアナライザーツールに送信されます。モニタリングにより、お客様の正当なEメールが正常に配信されることを保証します。
PowerDMARCによるDMARCレポートとモニタリング
PowerDMARC は Office 365 とシームレスに統合され、BEC や直接ドメインのなりすましといった高度なソーシャルエンジニアリング攻撃からドメイン所有者を保護する高度な認証ソリューションを提供します。
PowerDMARCと契約すると、すべてのメール認証のベストプラクティス(SPF、DKIM、DMARC、 MTA-STSTLS-RPT、BIMI)だけでなく、広範かつ詳細なDMARCレポートメカニズムを提供し、電子メールエコシステムの完全な可視性を提供します。 DMARCレポートPowerDMARCダッシュボード上のDMARCレポートは、2つのフォーマットで生成されます:
- アグリゲートレポート(RUA)
- フォレンジックレポート(RUF - 有効でレポーターがサポートしている場合)
私たちは、業界の様々な問題を解決することで、お客様の認証体験をより良いものにするよう努めてきました。DMARCフォレンジックレポートの暗号化を保証し、7つの異なるビューで集約レポートを表示することで、ユーザーエクスペリエンスを向上させ、わかりやすくします。
PowerDMARCは、電子メールフローと認証の失敗を監視するのに役立ちます。 ブラックリスト悪意のあるIPアドレスをブラックリストに登録することができます。当社の DMARCアナライザーは、お客様のドメインにDMARCを正しく設定し、モニタリングからエンフォースメントにすぐに移行できるよう支援します。これにより、複雑な作業を心配することなく、DMARCオフィス365を有効にすることができます。
よくあるご質問
O365におけるDMARCの仕組み
Office 365では、DMARCは2つの方法でメールを保護します:
- 受信メールOffice 365 は送信者の DMARC ポリシーをチェックします。そして、SPFとDKIM認証に失敗したメッセージを隔離(迷惑メールに送信)または拒否します。
- 送信メールDMARCレコードを発行します。すると、必要なSPFとDKIMの署名はOffice 365が自動的に行います。これにより、メールが適切に認証され、受信サーバーから信頼されるようになります。
DMARCはGDPRやその他のコンプライアンスフレームワークに必要ですか?
DMARCはGDPRやほとんどのコンプライアンス基準で明確に義務付けられているわけではありませんが、なりすましや不正なメールの使用を防ぐことでデータ保護をサポートし、より広範なセキュリティの期待に応えることができます。
DMARCはGmailやYahooのメールアドレスでも使えますか?
DMARCは、受信箱プロバイダーではなく、あなたのドメインを保護します。しかし、GmailやYahooのような主要プロバイダーは、受信メールにDMARCを強制するため、送信者は認証をパスすることが不可欠です。
DMARCはメールの開封率を向上させるか?
間接的にはそうです。認証されたメールはスパムとしてマークされたり、拒否されたりする可能性が低くなります。
DMARCの導入にはコストがかかりますか?
DMARCの設定は、自社でDNSを管理している場合は無料です。しかし、監視、レポート分析、継続的な管理を簡素化するために、有料のツールやサービスを選択することもできます。
コンテンツ・レビューとファクト・チェックのプロセス
Office 365DMARC セットアッププロセスに関する情報は、主にマイクロソフトの公式文書と実際の経験から得られたものです。この文書はMicrosoftによって更新される可能性があります。トランスポートルールの使用やポリシーの段階的な展開など、この記事で述べられている推奨事項は、業界のベストプラクティスと実際のクライアントの経験に基づいています。
"`
ドメインとメールセキュリティのエキスパートPowerDMARC
ユネスはPowerDMARCのオペレーションチームリーダーで、メール認証とセキュリティの専門知識を持つ。マイクロソフト認定のAzureアドミニストレーターアソシエイトであり、CompTIA A+やその他多くの資格を持っています。
最新記事 by Yunes Tarada(全て見る)
- ActiveCampaign DKIM、DMARC、SPFセットアップガイド- 2025年11月25日
- Constant Contact DKIMおよびDMARCセットアップガイド- 2025年11月25日
- SquarespaceのメールキャンペーンでSPF、DKIM、DMARCを設定するためのステップバイステップガイド- 2025年11月24日
