DMARCに失敗したインバウンドメールをMicrosoft 365はどのように処理するのですか?
by
読書時間 5 分
DMARCに失敗したMicrosoft 365の受信メールは、DMARCポリシーが「p=reject」に設定されていても拒否されません。これは、送信者側のメールセキュリティポリシーによって送信中に紛失する可能性のある正当なメールをブロックしないようにするためです。
Microsoft 365がDMARC失敗メールを拒否しないのはなぜですか?
Microsoft 365は、DMARCチェックに失敗したメールを順番に拒否することはありません。
- メール転送のシナリオやメーリングリストの使用から生じる可能性のある偽陰性を避けることができる
- 送信者側の設定の問題により、正当なメールが拒否されることを回避できる
このため、Microsoft 365のメールセキュリティは、メッセージを完全に拒否するのではなく、スパムとしてマークする方が良いと判断している。ユーザーは、マイクロソフトを活用することで、これらのメールを受信トレイで受信することができる:
- 差出人セーフリストの作成
- Exchange メールフロールールとして知られるトランスポートルールの作成
正規のメールがDMARCに引っかかることは心配かもしれませんが、この手法では、悪意のあるメールがDMARCのチェックを回避してユーザーの受信箱に入り込んでしまう可能性があります。
この資料は、以下の方法で確認することができます。 マイクロソフト 365による、Exchange Online プラットフォームにおける受信 DMARC の設定に関する文書をご覧ください。
未承認の受信メールを隔離するMicrosoft 365トランスポートルールを作成する方法とは?
Office 365 DMARC の展開に関するこれらの懸念に対処するため、送信者のメッセージヘッダーを使用して Exchange Mail Flow/ Transport ルールを作成することができます。
ケース1:内部ドメインからの受信メールを隔離するトランスポートルールの設定
Fromアドレスに内部ドメインが含まれるメールを受信した場合、そのメールを隔離するためのトランスポートルールを設定することができます。これにより、メールは受信箱ではなく、ユーザーの隔離フォルダにロッジされます。
ルールで検証しています。
- Fromフィールドが独自ドメインと一致するかどうか
- メッセージに対するDMARCが失敗しているかどうか
これによって、どのようなアクションが必要なのかが決まる。
注意 このルールを設定する前に、制限されたユーザーベースに導入し、大規模な展開を行う前に土壌をテストすることをお勧めします。DMARCを通過しない場合、設定に誤りがあることになり、正当な電子メールの損失につながる可能性があります。
ルールを設定するには、以下の手順で行います。
- Exchange Online の管理センターにログインします。
- メールフロー > ルール
- 追加]アイコン > [新規ルール作成]を選択して、新規ルールを作成します。
- メッセージ内の送信者アドレスの一致」を「ヘッダー」に設定する。
- Apply this rule if...では、このルールを適用したい条件をドロップダウンメニューから選択します。ここでは、DMARC認証の結果が「fail」で、かつ「From」ドメインが自分のドメイン名と一致する場合にルールを設定します。
- 以下を実行...で、アクションを選択し、"メッセージをホストされた検疫所に配信する "に設定することができるようになりました。
- 保存]をクリックします。
ケース2:外部ドメインからの受信メールを隔離するトランスポートルールの設定
DMARCに不合格となった組織の範囲外のドメイン(外部ドメイン)からのメールを受信した場合、フィッシングの可能性や悪意があることをユーザーに警告する免責事項を設定することができます。
注意 DMARCに失敗した外部ドメインに対する免責事項を記述することは、電子メールを完全に制限したくない場合に有効です。送信者側のプロトコルの設定に誤りがあると、認証チェックに失敗することがよくあります。
ルールを設定するには、以下の手順で行います。
- Exchange Online の管理センターにログインします。
- メールフロー > ルール
- 追加]アイコン > [新規ルール作成]を選択して、新規ルールを作成します。
- メッセージ内の送信者アドレスの一致」を「ヘッダー」に設定する。
- Apply this rule if...」では、このルールを適用したい条件をドロップダウンメニューから選択します。ここでは、DMARC認証の結果が「fail」である場合のルールを設定したいと思います。
- Do following...で、アクションを選択し、「Prepend disclaimer...」に設定し、希望のdisclaimerを設定することができます。
- Fromヘッダーがドメイン名と一致する場合のように、このルールに例外を追加することができます。
- 保存]をクリックします。
未承認の受信メールを拒否するMicrosoft 365トランスポートルールを作成する方法とは?
- Exchange Online の管理センターにログインします。
- 次のページに進みます。 メールフロー > ルール
- 選択する + ルールの追加
- をクリックします。 新規ルールの作成をクリックします。
- メールフロールールに名前を付けます。例えばDMARCポリシーオーバーライド
- 下 "このルールを適用する場合「を選択します。メッセージヘッダーが以下のいずれかの単語を含む場合、このルールを適用します。"
- ここで、「」をクリックします。テキストを入力するをクリックし、「認証結果」を選択します。認証結果"
- 同様にをクリックします。単語を入力する「をクリックし、お好みのオプションまたはすべてのオプションを選択します。
- 下 "以下の操作を行います。「を選択します。メッセージをブロックする"
- さらに、"メッセージを拒否し、説明を含める"
メールフロールールを保存します。変更処理に数分かかる場合がありますが、これで完了です。
重要な注意点
- DMARCは、偽装されたそっくりさんドメインからは保護されず、直接ドメイン詐称やフィッシング攻撃に対してのみ有効です
- DMARCポリシーが「none」に設定されている場合、DMARCに失敗したメールを隔離または拒否することはできず、p=reject/quarantineのみがスプーフィングから保護することができる。
- DMARCの拒否は、正当なメールを失う可能性があるため、軽視できない。
- より安全な展開のために DMARCレポートツールを設定し、電子メールチャネルと認証結果を毎日監視します。
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- DMARC MSPケーススタディ:CloudTech24、PowerDMARCでクライアントのドメイン・セキュリティ管理を簡素化- 2024年10月24日
- 機密情報を電子メールで送信する際のセキュリティリスク- 2024年10月23日
- 5種類の社会保障メール詐欺とその防止策- 2024年10月3日
