• DMARCに失敗したインバウンドメールをMicrosoft 365はどのように処理するのですか?

DMARCに失敗したインバウンドメールをMicrosoft 365はどのように処理するのですか?

ブログ

Microsoft 365の受信メールがDMARCに失敗した場合、DMARCポリシーを "p=reject "に設定しても拒否されることはありません。

byアホナ・ルドラ

最終更新日:
6 読了時間:約6分
DMARCに失敗したインバウンドメールをMicrosoft 365はどのように処理するのですか?
目次-

DMARCに失敗したMicrosoft 365の受信メールは、DMARCポリシーが「p=reject」に設定されていても拒否されませんでした。これは、送信者側のメールセキュリティポリシーにより、送信中に紛失する可能性のある正当なメールをブロックしないようにするためです。

主なポイント

  1. Microsoft 365は、正当なメッセージがブロックされるのを防ぐため、DMARC失敗メールを拒否しません。
  2. 失敗したDMARCメッセージをスパムとしてマークすることで、ユーザーは潜在的に重要なメールを受け取ることができます。
  3. 安全な送信者」リストを作成することで、正当なメールが受信トレイに届くようにすることができます。
  4. トランスポートルールは、未承認の受信メールを隔離または警告するように設定できます。
  5. DMARCポリシーが "p=reject "に設定されている場合、適切に設定されていないと、正当な電子メールを失う可能性がある。

なぜMicrosoft 365はDMARC失敗メールを拒否しなかったのか?

Microsoft 365は、DMARCチェックに失敗したメールを拒否しなかった:

  • メール転送のシナリオやメーリングリストの使用から生じる可能性のある偽陰性を避けることができる
  • 送信者側の設定の問題により、正当なメールが拒否されることを回避できる

このため、Microsoft 365のメールセキュリティは、メッセージを完全に拒否するのではなく、スパムとしてマークする方が良いと判断した。ユーザーは、マイクロソフトを活用することで、これらのメールを受信トレイで受信することができる: 

  1. 差出人セーフリストの作成 
  2. Exchange メールフロールールとして知られるトランスポートルールの作成

正規のメールがDMARCに引っかかることは心配かもしれませんが、この手法では、悪意のあるメールがDMARCのチェックを回避してユーザーの受信箱に入り込んでしまう可能性があります。 

このドキュメントは マイクロソフト365Exchange Online プラットフォームの受信DMARC 設定については、Microsoft 365 の次のドキュメントを参照してください。

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

未承認の受信メールを隔離するMicrosoft 365トランスポートルールを作成する方法とは?

Office 365 DMARC の展開に関するこれらの懸念に対処するため、送信者のメッセージヘッダーを使用して Exchange Mail Flow/ Transport ルールを作成することができます。 

ケース1:内部ドメインからの受信メールを隔離するトランスポートルールの設定

Fromアドレスに内部ドメインが含まれるメールを受信した場合、そのメールを隔離するためのトランスポートルールを設定することができます。これにより、メールは受信箱ではなく、ユーザーの隔離フォルダにロッジされます。 

ルールで検証しています。 

  • Fromフィールドが独自ドメインと一致するかどうか 
  • メッセージに対するDMARCが失敗しているかどうか

これによって、どのようなアクションが必要なのかが決まる。

注意 このルールを設定する前に、制限されたユーザーベースに導入し、大規模な展開を行う前に土壌をテストすることをお勧めします。DMARCを通過しない場合、設定に誤りがあることになり、正当な電子メールの損失につながる可能性があります。

ルールを設定するには、以下の手順で行います。 

  1. Exchange Online の管理センターにログインします。 
  2. メールフロー > ルール
  3. 追加]アイコン > [新規ルール作成]を選択して、新規ルールを作成します。
  4. メッセージ内の送信者アドレスの一致」を「ヘッダー」に設定する。
  5. Apply this rule if...では、このルールを適用したい条件をドロップダウンメニューから選択します。ここでは、DMARC認証の結果が「fail」で、かつ「From」ドメインが自分のドメイン名と一致する場合にルールを設定します。
  6. 以下を実行...で、アクションを選択し、"メッセージをホストされた検疫所に配信する "に設定することができるようになりました。 
  7. 保存]をクリックします。

ケース2:外部ドメインからの受信メールを隔離するトランスポートルールの設定

DMARCに不合格となった組織の範囲外のドメイン(外部ドメイン)からのメールを受信した場合、フィッシングの可能性や悪意があることをユーザーに警告する免責事項を設定することができます。 

注意 DMARCに失敗した外部ドメインに対する免責事項を記述することは、電子メールを完全に制限したくない場合に有効です。送信者側のプロトコルの設定に誤りがあると、認証チェックに失敗することがよくあります。

ルールを設定するには、以下の手順で行います。 

  1. Exchange Online の管理センターにログインします。 
  2. メールフロー > ルール
  3. 追加]アイコン > [新規ルール作成]を選択して、新規ルールを作成します。
  4. メッセージ内の送信者アドレスの一致」を「ヘッダー」に設定する。
  5. Apply this rule if...」では、このルールを適用したい条件をドロップダウンメニューから選択します。ここでは、DMARC認証の結果が「fail」である場合のルールを設定したいと思います。 
  6. Do following...で、アクションを選択し、「Prepend disclaimer...」に設定し、希望のdisclaimerを設定することができます。
  7. Fromヘッダーがドメイン名と一致する場合のように、このルールに例外を追加することができます。
  8. 保存]をクリックします。

未承認の受信メールを拒否するMicrosoft 365トランスポートルールを作成する方法とは?

  • Exchange Online の管理センターにログインします。

  • 次のページに進みます。 メールフロー > ルール

  • 選択する + ルールの追加

  • をクリックします。 新規ルールの作成をクリックします。

  • メールフロールールに名前を付けます。例えばDMARCポリシーオーバーライド 
  • 下 "このルールを適用する場合「を選択します。メッセージヘッダーが以下のいずれかの単語を含む場合、このルールを適用します。"

  • ここで、「」をクリックします。テキストを入力するをクリックし、「認証結果」を選択します。認証結果"

  • 同様にをクリックします。単語を入力する「をクリックし、お好みのオプションまたはすべてのオプションを選択します。

  • 下 "以下の操作を行います。「を選択します。メッセージをブロックする"

  • さらに、"メッセージを拒否し、説明を含める"

メールフロールールを保存します。変更処理に数分かかる場合がありますが、これで完了です。

マイクロソフト、新しいポリシー処理方法を発表2023年6月20日更新

2023年6月、マイクロソフトはコンシューマー向けサービス(live.com / outlook.com / hotmail.com)のDMARCポリシー処理に関する重要な変更を発表した:

  • 送信者が強制DMARCポリシーまたは「拒否」または「隔離」を設定している場合、マイクロソフトはDMARC認証に失敗したメールを配信する代わりに拒否または隔離することで、送信者のポリシーを尊重します。
  • アクションが実行されると、マイクロソフトは送信者にエラーメッセージとともにNDR(Non-Delivery Report)を送信する:"550 5.7.509:Access denied, sending domain example.com does not pass DMARC verification and has a DMARC policy of reject" というエラーメッセージが送信者に送信されます。

:企業のお客様向けに、Microsoft 365は、ドメインのMXが直接Office 365を指している場合、DMARCに失敗したメッセージを拒否または隔離することにより、デフォルトで送信者のDMARCポリシー(p=reject、p=quarantineなど)を尊重するようになりました。Microsoft 365 DefenderポータルのAnti-Phishing settingsでポリシーごとにこの動作をカスタマイズできます。MXがサードパーティのセキュリティソリューションを指している場合、Enhanced Filtering for Connectorsが有効になっていない限り、DMARCエンフォースメントが適用されない場合があります。

マイクロソフトのバルク送信者にDMARCが義務付けられる

DMARCは、マイクロソフトのコンシューマー・サービスに1ドメインあたり1日5000通以上のメールを送信する場合、オプションではないことに注意することが重要です。新しい要件によると

  • 大量の送信者は、送信ドメインに対してSPFとDKIMの両方をパスして実装する必要がある。
  • 大量の送信者は、少なくともp=noneで、SPFとDKIMのどちらか、または両方に対して整列されたDMARCを実装し、パスしなければならない。

PowerDMARCは、グローバル企業やあらゆる規模の企業にとって、これらの要件を迅速かつ安全に満たすのに役立ちます!今すぐお問い合わせください。

重要な注意点

  1. DMARCは、なりすましのそっくりドメインからは保護できず、直接ドメインのなりすましやフィッシング攻撃に対してのみ有効である。
  2. DMARCポリシーが「none」に設定されている場合、DMARCに失敗したメールを隔離または拒否することはできず、p=reject/quarantineのみがスプーフィングから保護することができる。
  3. DMARCの拒否は、正当なメールを失う可能性があるため、軽視できない。 
  4. より安全な展開のために DMARCレポートツールを設定し、電子メールチャネルと認証結果を毎日監視します。

最新記事 by Ahona Rudra(全て見る)
最終更新日:
SPFレコードとDMARCの伝播にかかる時間は?スプーフィングを止める方法私のメールアドレスからのなりすましメールを止めるには?