重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む
PowerDMARC

Office 365でDMARCをセットアップする方法とは?ステップバイステップガイド

ユネス・タラダ
office 365 パワードマルクブログ

office 365 パワードマルクブログ

読書時間 9

マイクロソフトは、Office 365ユーザーが以下のような電子メール認証プロトコルを採用することをサポートし、奨励しています。 DMARCのようなメール認証プロトコルを採用することを推奨しています。このブログでは、Office 365のメールを認証するためのDMARCの設定プロセスについて説明します:

  1. マイクロソフトのオンライン・Eメール・ルーティング・アドレス 
  2. 管理センターに追加されたカスタムドメイン
  3. パークされている、またはアクティブではないが登録されているドメイン 

2023年12月現在、 レポートによると全世界のOffice 365のアクティブユーザー数は1日あたり9,000万人を超え、有料会員数は3億4,500万人にのぼるという。2023年第2四半期、マイクロソフトは様々な情報源からフィッシング詐欺で最もなりすまされたブランドと呼ばれた。サイバー犯罪者は、マイクロソフトの統合セキュリティ・ソリューションを出し抜くことで電子メール詐欺を行っているが、これだけではすべての攻撃を防ぐには十分な強度がない。したがって、DMARCのような追加プロトコルは、防御メカニズムを強化するために不可欠です。

高度な電子メールの脅威を防ぐために、DMARCをOffice 365に設定する方法を紹介しよう。

Office 365のDMARCを設定する理由 

Office 365には、スパム対策と メールセキュリティゲートウェイが組み込まれている。では、なぜ認証にDMARC Office 365が必要なのか?それは、これらのソリューションが保護するのはインバウンドの フィッシングメールだけだからです。DMARC認証プロトコルは、アウトバウンド・フィッシング防止ソリューションです。ドメイン所有者は、認証に失敗したドメインから送信されたメールへの対応方法を受信メールサーバーに指定することができます。DMARCはまた、正当なメッセージがスパムフォルダに入るリスクを軽減します。

DMARCは、SPFとDKIMという2つの標準的な認証方法を利用する。これらは、電子メールの真正性を検証します。Office 365のDMARCポリシーを実施することで、なりすまし攻撃やなりすましからの保護を強化することができます。

Office 365の電子メールにDMARCを設定することは、現在のシナリオではこれまで以上に重要である: 

  1. 連邦政府機関は、DMARポリシーの不在や脆弱性を悪用するハッカーに対して警告を発している。 DMARCポリシー
  2. DMARCへの準拠は以下の場合に義務付けられています。 YahooとGoogleの一括送信者
  3. FBIのIC3報告書 FBIのIC3レポートは、フィッシング攻撃で最も被害を受けている国として米国を挙げている。
  4. IBMの報告5社に1社が紛失や盗難によるデータ漏洩の影響を受けていると報告している。

Office 365の使用中にDMARCは本当に必要か?

企業にはよくある誤解がある。Office 365がスパムや詐欺メールからの安全を保証してくれると思っているのだ。しかし、2020年5月に 一連のフィッシング攻撃が中東の保険会社数社に対して行われた。攻撃者はOffice 365を利用し、重大なデータ損失とセキュリティ侵害を引き起こした。そこで、ここから学んだことを紹介しよう:

理由1:マイクロソフトのセキュリティ対策は万全ではない 

このため、マイクロソフトの統合セキュリティ・ソリューションに頼るだけでは不十分なのだ。ドメインを保護するために外部の努力をしなければならないが、それは大きな間違いである。 

理由2:Office 365のDMARCを設定し、アウトバウンド攻撃から保護する必要がある

Office 365の統合セキュリティソリューションは、インバウンドメールの脅威やフィッシングから保護することができますが、自社ドメインから送信されるアウトバウンドメッセージが、顧客やパートナーの受信トレイに届く前に効果的に認証されるようにする必要があります。そこで、DMARC for Office 365の出番です。

理由3:DMARCはメールチャネルの監視に役立つ 

DMARCは、直接ドメインのなりすましやフィッシング攻撃からドメインを保護するだけではありません。また、メールチャネルの監視にも役立ちます。拒否/隔離」のような強制的なポリシーでも、「なし」のような緩やかなポリシーでも、認証結果を追跡することができます。 DMARCレポート.これらのレポートは、お客様の電子メールアドレスまたは DMARCレポートアナライザーツールに送信されます。モニタリングにより、お客様の正当なEメールが正常に配信されることを保証します。

Office 365におけるDMARCの仕組み 

Office 365でDMARCを実装するには、ドメイン所有者はDNS設定でDMARCレコードを公開する必要がある。ドメイン所有者は、希望するポリシー(なし、隔離、拒否)を指定できる。なりすましのOffice 365メールを受信サーバーが拒否するように設定することもできる。

Office 365の管理者は、Exchange管理センターやPowerShellコマンドを使ってDMARC設定を管理できる。

また、DMARC Office 365を設定して、ドメインのメールがサードパーティによってどのように処理されているかについてのレポートを要求することもできます。

では、DMARCをOffice 365に導入する方法を確認しよう: 

始める前に考慮すべきこと

マイクロソフト社の文書によると マイクロソフトの資料:

Office 365のDMARCを設定する方法とは?

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、ドメインのDNSにTXTレコードとして存在します。DMARCは、独自ドメインから発信される電子メールを媒介とする脅威に対する主要な防御策として機能します。DMARCを設定する前に、あなたのドメインは、高度な保護のために、SPFまたはDKIMのいずれかのレコードを含んでいる必要があります。

カスタムドメインを使用している場合、以下にDMARCレコードの作成手順を示します。DMARCを設定するためにSPFとDKIMの両方を設定することは必須ではありません。しかし、追加の保護レイヤーを追加することをお勧めします。 

ステップ1: ドメインの有効なメールソースを特定する

送信元IPアドレス(サードパーティを含む)は、お客様に代わってメール送信を許可するものです。 

ステップ2: ドメインのSPFを設定する

次に SPFを設定する必要があります。そのためには、SPF TXTレコードを作成し、外部のメールベンダーを含む有効な送信元をすべて含めるようにします。PowerDMARC に無料でサインアップし、SPF レコード作成ツールを使用してレコードを作成することができます。

ステップ3: ドメインのDKIMを設定する

DMARC Office 365を有効にするには、ドメインにSPFまたはDKIMを設定する必要があります。DMARCを有効にするには、ドメインに対してSPFまたはDKIMを設定する必要があります。 DKIMを設定することをお勧めします。PowerDMARCに無料でサインアップし、SPFレコード生成ツールを使用してレコードを作成できます。

ステップ4:DMARC TXTレコードの作成

PowerDMARCの無料の DMARCレコードジェネレーターを使用することができます。正しい構文で即座にレコードを生成し、DNSに公開し、ドメインのDMARCを設定します!

の実施方針のみであることに注意してください。 拒否だけが効果的になりすまし攻撃を防ぐことができます。まずは なしポリシーで開始し、定期的にメールトラフィックを監視することをお勧めします。これをしばらく続けてから、最終的に強制に移行してください。

DMARCレコードでは、ポリシーモード(none/quarantine/reject)を定義し、DMARCレポートを受信したい場合は、"rua "フィールドにメールアドレスを入力します。

DMARCレポートの受信を希望する場合は、"rua "フィールドにメールアドレスを入力してください。

DMARCポリシーポリシータイプ構文アクション
なしリラックス/ノーアクション/寛容p=なし;認証に失敗したメッセージに対しては何もしない。
隔離強行p=隔離;DMARCに失敗したメッセージを隔離する
拒否する強行p=拒否;DMARCに失敗したメッセージを破棄する

DMARCレコードの構文は以下のようになります: 

v=DMARC1; p=reject;rua=mailto:reporting@example.com;

このレコードの強制ポリシーは "reject "で、ドメインに対してDMARC集約レポートが有効になっている。 

Microsoft Admin Centerを使用してOffice 365 DMARCレコードを追加する手順

Office 365 DMARC レコードを追加するには、次のようにします。 MOERAドメイン(*onmicrosoft.comドメイン)の DMARC レコードを追加するには以下の手順を実行します:

1.マイクロソフトの管理センターにログインする。 

2.次のページに進みます。 すべて表示 > 設定 > ドメイン

3.ドメインページのドメインリストから*onmicrosoft.comドメインを選択し、ドメインの詳細ページを開きます。

4.このページのDNSレコードタブをクリックし、+レコードの追加を選択します。 

5.新しいDMARCレコードを追加するためのテキストボックスが表示されます。以下に、特定のフィールドに入力すべき値を示します: 

タイプ:TXT

名称:ドマルク

TTL:1時間

:(作成したDMARCレコードの値を貼り付ける)

6.保存をクリックする。 

カスタムドメインにOffice 365 DMARCレコードを追加する

example.comのようなカスタムドメインをお持ちの場合、DMARCのセットアップ方法に関する詳細なガイドをご覧ください。 DMARCの設定方法.私たちのガイドの手順に従って、簡単にプロトコルを設定することができます。マイクロソフトは、カスタムドメインのDMARCを設定する際に、いくつかの貴重な推奨事項を行っています。私たちはこれらのヒントに同意し、クライアントにも提案しています!それでは、DMARCがどのようなものかを見ていきましょう:

非アクティブドメインにOffice 365 DMARCレコードを追加する

私たちは 非アクティブ/パークドメインの保護SPF、DKIM、DMARCを使用した詳細なガイドをカバーしました。詳しい手順はそちらをご覧いただきたいが、簡単に概要を説明すると、非アクティブドメインであってもDMARCを設定する必要がある。

非アクティブドメインのDNS管理コンソールにアクセスして、DMARCレコードを発行するだけです。DNSにアクセスできない場合は、DNSプロバイダにお問い合わせください。このレコードは、DMARCに失敗した非アクティブドメインから発信されたすべてのメッセージを拒否するように設定できます: 

v=DMARC1;p=却下; 

Office 365でDMARCポリシーが有効になっていないとどうなりますか?

Office 365 DMARCポリシーを有効にしないと、ドメインがなりすまされる危険性があります。

DMARCは、お客様のメールシステムにアクセスし、詐欺やフィッシングに利用しようとするメール送信者が、お客様のドメインを詐称することを防ぐために設計されたものです。

ポリシーが定義されていなければ、レコードは無効と同じです。Office 365のメールに対してDMARCポリシーを有効にしないと、たとえ許可されていなくても、誰でもあなたのドメインを代表してメールを送信できることになります。また、誰がメッセージを送信したのか、許可された送信元から送信されたのかどうかを判断することも不可能になります。

ドメイン所有者としては、あなたのドメインやブランド名を使って悪質な活動を行うために、ドメインなりすまし攻撃やフィッシング攻撃を仕掛けてくる脅威者に常に注意を払う必要があります。どのようなメール交換ソリューションを使用するにしても、なりすましやなりすましからドメインを保護することは、ブランドの信頼性を確保し、尊敬する顧客層からの信頼を維持するために不可欠です。

Microsoft Office 365を使用中にPowerDMARCが必要な5つの理由

Microsoft Office 365は、統合されたスパム対策フィルターとともに、クラウドベースのサービスとソリューションのホストをユーザーに提供する。しかし、さまざまな利点があるにもかかわらず、セキュリティの観点から使用中に直面する可能性のある欠点があります:

PowerDMARCによるDMARCレポートとモニタリング

PowerDMARC は Office 365 とシームレスに統合され、BEC や直接ドメインのなりすましといった高度なソーシャルエンジニアリング攻撃からドメイン所有者を保護する高度な認証ソリューションを提供します。 

PowerDMARCと契約すると、すべてのメール認証のベストプラクティス(SPF、DKIM、DMARC、 MTA-STSTLS-RPT、BIMI)だけでなく、広範で詳細なDMARCレポートメカニズムを提供し、電子メールエコシステムの完全な可視性を提供します。 DMARCレポートPowerDMARCダッシュボード上のDMARCレポートは、2つのフォーマットで生成されます:

私たちは、業界の様々な問題を解決することで、お客様の認証体験をより良いものにするよう努めてきました。DMARCフォレンジックレポートの暗号化を保証し、7つの異なるビューで集約レポートを表示することで、ユーザーエクスペリエンスを向上させ、わかりやすくします。 

PowerDMARCは、電子メールフローと認証の失敗を監視するのに役立ちます。 ブラックリスト悪意のあるIPアドレスをブラックリストに登録することができます。当社の DMARCアナライザーは、お客様のドメインにDMARCを正しく設定し、監視から実施にすぐに移行できるよう支援します。これにより、複雑な作業を心配することなく、DMARCオフィス365を有効にすることができます。

よくあるご質問

1.なぜPowerDMARCが必要なのでしょうか?

Microsoft Defender for Office 365は一般的なメールセキュリティに有効ですが、PowerDMARCはDMARCのようなメール認証プロトコルに特化した専門的な機能を提供します。また、なりすましメールやフィッシング、その他の不正行為に対処するための高度なレポート機能、監視機能、アラート機能を提供します。 

PowerDMARC を Office 365 と統合することで、電子メールのセキュリティ体制を強化し、電子メールのエコシステムを包括的に可視化することができます。

PowerDMARCを使えば、こんなことができる: 

2.Office365 DMARC と PowerDMARC の違いは何ですか?

Office 365のネイティブDMARC機能は、DMARCレコードの公開や集計レポートの受信など、電子メール認証のための基本的な機能を提供します。しかし、PowerDMARCは、高度なレポート、モニタリング、アラート機能を提供することで、これらの基本機能を超えています。 

詳細な分析とフォレンジックレポート、Eメールトラフィックの包括的な可視性、およびドメインレピュテーションを保護するための事前対策を提供します。

さらに、PowerDMARC は、自動化ツールと専門家のサポートにより、DMARC ポリシーの実装と管理を簡素化します。 

3.DMARCは無料ではないのですか?

はい、DMARC自体はフリーでオープンな標準です。しかし、DMARCを効果的に実装・管理するには、多大な時間、リソース、専門知識が必要となります。 

DMARCレコードを公開し、基本的な集計レポートを無料で受け取ることができますが、PowerDMARCのような高度なDMARC管理プラットフォームは、詳細な分析、モニタリング、アラート、専門家によるサポートなどの追加機能やサービスを提供し、非常に手頃なサブスクリプション料金で利用することができます。 

DMARCは無料ですが、PowerDMARCのようなプラットフォームを利用することで、導入プロセスを合理化し、メールセキュリティ体制を強化し、メールエコシステムに関する貴重な洞察を得ることができます。これは、ブランドの評判を保護し、メールベースの攻撃のリスクを軽減する上で、画期的な変化となるでしょう。

コンテンツ・レビューとファクト・チェックのプロセス

Office 365 DMARCセットアッププロセスに関する情報は、マイクロソフトの公式ドキュメントから引用しています。この文書は、Microsoftポータルの開発者による変更に応じて、将来更新される可能性があります。記事中に記載されている推奨事項は、私たちのクライアントのためにリアルタイムで機能したものに基づいており、あなたにも役立つ可能性があります。

最新記事 by Yunes Tarada(全て見る)
モバイル版を終了する