マイクロソフトは、Office 365ユーザーのためにDMARCをサポートし、推奨しています。を採用することができます。このブログでは、DMARCfor Office 365をセットアップして、Office 365のメールを認証する手順を説明します:
- マイクロソフトのオンライン・Eメール・ルーティング・アドレス
- 管理センターに追加されたカスタムドメイン
- パークされている、またはアクティブではないが登録されているドメイン
2023年第2四半期、マイクロソフトは様々な情報源からフィッシング詐欺で最もなりすまされたブランドと呼ばれた。DMARCのようなプロトコルは、防御メカニズムを強化するために不可欠です。
ここでは、Office 365のDMARCが高度な電子メールの脅威を防ぐのにどのように役立つかを見てみよう。
Office 365のDMARC設定方法
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、ドメインのDNSにTXTレコードとして存在します。DMARCは、独自ドメインから発信される電子メールを媒介とする脅威に対する主要な防御策として機能します。DMARCを設定する前に、あなたのドメインは、高度な保護のために、SPFまたはDKIMのいずれかのレコードを含んでいる必要があります。
カスタムドメインを使用している場合、以下にDMARCレコードの作成手順を示します。DMARCを設定するためにSPFとDKIMの両方を設定することは必須ではありません。しかし、追加の保護レイヤーを追加することをお勧めします。
始める前に考慮すべきこと
マイクロソフト社の文書によると マイクロソフトの資料:
- onmicrosoft.comで終わるMOERA(Microsoft Online Email Routing Address)を使用している場合、SPFとDKIMはすでに設定されています。ただし、DMARCレコードはMicrosoft 365の管理センターで作成する必要があります。
- example.comのようなカスタムドメインを使用している場合は、手動でSPF、DKIM、DMARCを設定する必要があります。
- パークドメイン(非アクティブドメイン)については、マイクロソフトでは、そのドメインからメールが送信されないように明示的に指定することを推奨しています。そうしないと、これらのドメインがなりすましやフィッシング攻撃に使用される可能性があります。
- 転送されたメッセージや転送中に変更されたメッセージについては、以下の設定が不可欠です。 ARC.これは、正確な認証のために、変更にもかかわらず元の電子メール認証ヘッダーを保持するのに役立ちます。
ステップ1: ドメインの有効なメールソースを特定する
送信元IPアドレス(サードパーティを含む)は、お客様に代わってメール送信を許可するものです。
ステップ2: ドメインのSPFを設定する
次に SPFを設定する必要があります。そのためには、SPF TXTレコードを作成し、外部のメールベンダーを含む有効な送信元をすべて含めるようにします。PowerDMARC に無料でサインアップし、SPF レコード作成ツールを使用してレコードを作成することができます。
ステップ3: ドメインでOffice 365のDKIMを設定する
DMARC Office 365を有効にするには、ドメインにSPFまたはDKIMを設定する必要があります。DMARCを有効にするには、ドメインにSPFまたはDKIMを設定する必要があります。 DKIMとDMARCを設定することをお勧めします。PowerDMARCに無料でサインアップし、DKIMレコード生成ツールを使用してレコードを作成できます。
ステップ4:DMARC TXTレコードの作成
PowerDMARCの無料の DMARCレコードジェネレーターを使用することができます。正しい構文で即座にレコードを生成し、DNSに公開し、ドメインのDMARCを設定します!
の実施方針のみであることに注意してください。 拒否だけが効果的になりすまし攻撃を防ぐことができます。まずは なしポリシーで開始し、定期的にメールトラフィックを監視することをお勧めします。これをしばらく続けてから、最終的に強制に移行してください。
DMARCレコードでは、ポリシーモード(none/quarantine/reject)を定義し、DMARCレポートを受信したい場合は、"rua "フィールドにメールアドレスを入力します。
DMARCポリシー | ポリシータイプ | 構文 | アクション |
---|---|---|---|
なし | リラックス/ノーアクション/寛容 | p=なし; | 認証に失敗したメッセージに対しては何もしない。 |
隔離 | 強行 | p=隔離; | DMARCに失敗したメッセージを隔離する |
拒否する | 強行 | p=拒否; | DMARCに失敗したメッセージを破棄する |
DMARCレコードの構文は以下のようになります:
v=DMARC1; p=reject;rua=mailto:[email protected];
このレコードの強制ポリシーは "reject "で、ドメインに対してDMARC集約レポートが有効になっている。
Microsoft Admin Centerを使用してOffice 365 DMARCレコードを追加する手順
DMARC Office 365 レコードを追加するには、次のようにします。 MOERAドメイン(*onmicrosoft.comドメイン)のDMARCレコードを追加するには、以下の手順を実行します。の DMARC レコードを追加するには、以下の手順を実行します:
1.マイクロソフトの管理センターにログインする。
2.次のページに進みます。 すべて表示 > 設定 > ドメイン
3.ドメインページのドメインリストから*onmicrosoft.comドメインを選択し、ドメインの詳細ページを開きます。
4.このページのDNSレコードタブをクリックし、+レコードの追加を選択します。
5.新しいDMARCレコードを追加するためのテキストボックスが表示されます。以下に、特定のフィールドに入力すべき値を示します:
タイプ:TXT
名称:ドマルク
TTL:1時間
値:(作成したDMARCレコードの値を貼り付ける)
6.保存をクリックする。
カスタムドメインにOffice 365 DMARCレコードを追加する
example.comのようなカスタムドメインをお持ちの場合、DMARCのセットアップ方法に関する詳細なガイドをご覧ください。 DMARCの設定方法.私たちのガイドの手順に従って、簡単にプロトコルを設定することができます。マイクロソフトは、カスタムドメインのDMARCを設定する際に、いくつかの貴重な推奨事項を行っています。私たちはこれらのヒントに同意し、クライアントにも提案しています!それでは、DMARCがどのようなものかを見ていきましょう:
- DMARCを設定するときは、まずnoneポリシーから始めましょう。
- ゆっくりと検疫に移行し、その後拒否する
- ポリシー・インパクトのパーセンテージ(pct)の値を低く保つこともできます。
- DMARCレポートを有効にして、メールチャネルを定期的に監視してください。
非アクティブドメインのDMARC Office 365レコードの追加
私たちは 非アクティブ/パークドメインの保護SPF、DKIM、DMARCを使用した詳細なガイドをカバーしました。詳しい手順はそちらをご覧いただきたいが、簡単に概要を説明すると、非アクティブドメインであってもDMARCを設定する必要がある。
非アクティブドメインのDNS管理コンソールにアクセスして、DMARCレコードを発行するだけです。DNSにアクセスできない場合は、DNSプロバイダにお問い合わせください。このレコードは、DMARCに失敗した非アクティブドメインから発信されたすべてのメッセージを拒否するように設定できます:
v=DMARC1;p=却下;
PowerDMARC で Office 365 の DMARC を正しい方法でセットアップします!
なぜOffice 365にDMARCを設定するのか?
Office 365には、スパム対策と メールセキュリティゲートウェイが組み込まれている。では、なぜOffice 365の認証にDMARCポリシーが必要なのだろうか。それは、これらのソリューションが保護するのはインバウンドの フィッシングメールだけだからです。DMARC認証プロトコルは、アウトバウンド・フィッシング防止ソリューションです。ドメイン所有者は、認証に失敗したドメインから送信されたメールへの対応方法を受信メールサーバーに指定することができます。DMARCはまた、正当なメッセージがスパムフォルダに入るリスクを軽減します。
DMARCは、SPFとDKIMという2つの標準的な認証方法を利用する。これらは、電子メールの真正性を検証します。Office 365のDMARCポリシーを実施することで、なりすまし攻撃やなりすましからの保護を強化することができます。
ビジネスメールにDMARCを設定することは、現在のシナリオではこれまで以上に重要である:
- 連邦政府機関は、DMARポリシーの不在や脆弱性を悪用するハッカーに対して警告を発している。 DMARCポリシー
- DMARCへの準拠は以下の場合に義務付けられています。 YahooとGoogleの一括送信者
- FBIのIC3報告書 FBIのIC3レポートは、フィッシング攻撃で最も被害を受けている国として米国を挙げている。
- IBMの報告5社に1社が紛失や盗難によるデータ漏洩の影響を受けていると報告している。
Office 365の使用中にDMARCは本当に必要か?
企業にはよくある誤解がある。Office 365がスパムや詐欺メールからの安全を保証してくれると思っているのだ。しかし、2020年5月に 一連のフィッシング攻撃が中東の保険会社数社に対して行われた。攻撃者はOffice 365を利用し、重大なデータ損失とセキュリティ侵害を引き起こした。そこで、ここから学んだことを紹介しよう:
理由1:マイクロソフトのセキュリティ対策は万全ではない
このため、マイクロソフトの統合セキュリティ・ソリューションに頼るだけでは不十分なのだ。ドメインを保護するために外部の努力をしなければならないが、それは大きな間違いである。
理由2:Office 365のDMARCを設定し、アウトバウンド攻撃から保護する必要がある
Office 365の統合セキュリティソリューションは、インバウンドメールの脅威やフィッシングから保護することができますが、自社ドメインから送信されるアウトバウンドメッセージが、顧客やパートナーの受信トレイに届く前に効果的に認証されるようにする必要があります。そこで、DMARC for Office 365の出番です。
理由3:DMARCはメールチャネルの監視に役立つ
DMARCは、直接ドメインのなりすましやフィッシング攻撃からドメインを保護するだけではありません。また、メールチャネルの監視にも役立ちます。拒否/隔離」のような強制的なポリシーでも、「なし」のような緩やかなポリシーでも、認証結果を追跡することができます。 DMARCレポート.これらのレポートは、お客様の電子メールアドレスまたは DMARCレポートアナライザーツールに送信されます。モニタリングにより、お客様の正当なEメールが正常に配信されることを保証します。
Office 365におけるDMARCの仕組み
Office 365でDMARCを実装するには、ドメイン所有者はDNS設定でDMARCレコードを公開する必要がある。ドメイン所有者は、希望するポリシー(なし、隔離、拒否)を指定できる。なりすましのOffice 365メールを受信サーバーが拒否するように設定することもできる。
Office 365の管理者は、Exchange管理センターやPowerShellコマンドを使ってDMARC設定を管理できる。
また、Office 365でDMARCを設定し、ドメインのメールが第三者によってどのように処理されているかについてのレポートを要求することもできます。
Office 365でDMARCポリシーが有効になっていないとどうなりますか?
Office 365のDMARCを有効にしないと、ドメインが詐称される危険性がある。
DMARCは、お客様のメールシステムにアクセスし、詐欺やフィッシングに利用しようとするメール送信者が、お客様のドメインを詐称することを防ぐために設計されたものです。
ポリシーが定義されていなければ、レコードは無効と同じです。Office 365のメールに対してDMARCポリシーを有効にしないと、たとえ許可されていなくても、誰でもあなたのドメインを代表してメールを送信できることになります。また、誰がメッセージを送信したのか、許可された送信元から送信されたのかどうかを判断することも不可能になります。
ドメイン所有者としては、あなたのドメインやブランド名を使って悪質な活動を行うために、ドメインなりすまし攻撃やフィッシング攻撃を仕掛けてくる脅威者に常に注意を払う必要があります。どのようなメール交換ソリューションを使用するにしても、なりすましやなりすましからドメインを保護することは、ブランドの信頼性を確保し、尊敬する顧客層からの信頼を維持するために不可欠です。
Office 365でPowerDMARCを使う理由
Microsoft Office 365は、統合されたスパム対策フィルターとともに、クラウドベースのサービスとソリューションのホストをユーザーに提供する。しかし、さまざまな利点があるにもかかわらず、セキュリティの観点から使用中に直面する可能性のある欠点があります:
- 自身のドメインから送信されたアウトバウンドメッセージを検証するソリューションがない
- 認証チェックに失敗したメールを報告する仕組みがない
- メールエコシステムを可視化できない
- 受信メールと送信メールのフローを管理・監視するダッシュボードがない
- SPFレコードが常に10ルックアップ制限以下になるようにする仕組みがない。
PowerDMARCによるDMARCレポートとモニタリング
PowerDMARC は Office 365 とシームレスに統合され、BEC や直接ドメインのなりすましといった高度なソーシャルエンジニアリング攻撃からドメイン所有者を保護する高度な認証ソリューションを提供します。
PowerDMARCと契約すると、すべてのメール認証のベストプラクティス(SPF、DKIM、DMARC、 MTA-STSTLS-RPT、BIMI)だけでなく、広範かつ詳細なDMARCレポートメカニズムを提供し、電子メールエコシステムの完全な可視性を提供します。 DMARCレポートPowerDMARCダッシュボード上のDMARCレポートは、2つのフォーマットで生成されます:
- 集計レポート
- フォレンジックレポート
私たちは、業界の様々な問題を解決することで、お客様の認証体験をより良いものにするよう努めてきました。DMARCフォレンジックレポートの暗号化を保証し、7つの異なるビューで集約レポートを表示することで、ユーザーエクスペリエンスを向上させ、わかりやすくします。
PowerDMARCは、電子メールフローと認証の失敗を監視するのに役立ちます。 ブラックリスト悪意のあるIPアドレスをブラックリストに登録することができます。当社の DMARCアナライザーは、お客様のドメインにDMARCを正しく設定し、モニタリングからエンフォースメントにすぐに移行できるよう支援します。これにより、複雑な作業を心配することなく、DMARCオフィス365を有効にすることができます。
DMARC for Office 365 FAQ
コンテンツ・レビューとファクト・チェックのプロセス
Office 365 DMARCセットアッププロセスに関する情報は、マイクロソフトの公式ドキュメントから引用しています。この文書は、Microsoftポータルの開発者による変更に応じて、将来更新される可能性があります。記事中に記載されている推奨事項は、私たちのクライアントのためにリアルタイムで機能したものに基づいており、あなたにも役立つ可能性があります。
- DMARCの認証されていないメールは禁止されている【解決済み- 2025年1月14日
- DKIM Signature is Not Valid(DKIM署名が有効ではありません)」エラーを修正するには?- 2025年1月14日
- 550-5.7.26 Gmailエラー:送信者が未認証のためメールがブロックされました- 2025年1月13日