Microsoft Office 365のDKIMレコードを設定するには?
DKIM(DomainKeys Identified Mail)は、Office 365で使用できる電子メール認証方式で、送信者のドメインの正当性を確認し、電子メールの内容が転送中に変更されていないことを保証します。
DKIMデジタル署名は、送信メールに追加され、受信サーバーがメッセージの発信元と完全性を検証できるようにします。この署名は、お客様のドメイン名に関連付けられている秘密鍵を使用して作成されます。電子メールサーバーは、DKIMで署名された電子メールメッセージを受信すると、お客様のドメインのDNSレコードで公開されている公開鍵を使用して署名を検証できます。署名が有効であれば、メールサーバーはそのメッセージがあなたのドメインから送信されたものであり、なりすましメールではないと確信できます。
さらに DMARCと組み合わせることで、DKIMはスパムとしてマークされたり、メールフィルターによって拒否されたりする代わりに、正当なメールが受信者の受信箱に届く可能性を高めます。
なぜDKIM Office 365を設定する必要があるのですか?
Office 365にDKIMを設定すべき理由はいくつかある:
- なりすましやフィッシング攻撃からドメインを守るためになりすましとは、不正な送信者があなたのドメイン名を使用してメールを送信することです。フィッシングとは、不正な送信者が銀行やクレジットカード会社などの正当な送信元からと見せかけてメールを送信することです。DKIMは、メールメッセージの送信者を確認することで、これらの攻撃を防ぐことができます。
- メールの配信性を高めるために一部のメール サーバーは、DKIM 認証されていないメールを拒否します。DKIM for Office 365を設定することで、意図した受信者にメールが配信される可能性を高めることができます。
- 業界の規制に準拠するため。金融サービスや医療などの一部の業界では、DKIM の使用を義務付ける規制があります。Office 365 で DKIM を設定することで、組織がこれらの規制に準拠していることを確認できます。
Office 365でDKIMを設定する
注意 Office 365 の DKIM 設定は、以前は O365 Exchange Online ポータルを使用して実施されていました。しかし、マイクロソフトのセキュリティプロセスに関する改善が進められているため、Office 365のDKIM設定プロセスがアップグレードされ、以下のポータルに移動しました。 Microsoft 365 Defenderポータルに移動しました。
default.onmicrosoft.comを使用してメールを送信する場合、または単一のカスタムドメインの場合、Microsoftがデフォルトで2048ビットDKIMキーでメールに署名するため、手動でDKIM Office 365を設定する必要はありません。以下の手順でOffice 365のDKIM署名を設定できるのは、Office 365に複数のドメインを登録している場合のみです。
1.Defenderポータルにログイン
- ログイン ディフェンダーアカウント.上記のリンクをご利用ください。
- ポータルで ポリシー&ルールをクリックします。 電子メールとコラボレーション
- についてポリシーとルールページで 脅威ポリシー
2.DKIMキーを作成する
- DomainKeys Identified Mail(DKIM)を選択し、DKIMページを開きます。
- DKIMページで、DKIMを有効にしたいドメインを選択します(これは、送信メッセージの送信に使用するドメインです)。
- 有効化]ボタンをクリックして、DKIMの有効化プロセスを開始することができます。ダイアログボックスが表示され、以下のステータスが表示されます。キーを表示するには、DKIMキーの作成ボタンをクリックします:
3.DKIM CNAMEレコードをコピーする
- ポップアップにDKIM CNAMEレコードが表示されます。
- 青い "コピー "ボタンをクリックすると、クリップボードに記録がコピーされます。
DNSでOffice 365のDKIMレコードを公開するには?
- DNSプロバイダーの管理コンソールにログインする。
- DNSレコードセクションに移動する
- 新規CNAMEレコードの作成(レコードタイプ:CNAME)
- Defenderポータルで提供されているように、コピーしたホスト名と値を貼り付けます。
- TTLを3600に維持
- レコードの変更を保存し、DNSがこれらの変更を処理するまで24~48時間待ちます。
注:DNSレコードの公開プロセスは、利用するDNSホスティングプロバイダーによって異なります。また、レコードの有効化にかかる時間もプロバイダーによって異なります。主なプロバイダーのプロセスを以下に示します:
DefenderアカウントでMicrosoft Office 365のDKIMキーを有効にする
DNS上でレコードの公開が完了したら、DefenderポータルのDKIMページに戻り、"有効にする"オプションを切り替えます。
DKIMを有効にできませんでした:CNAMEレコードが見つかりません
エラーが続き、MicrosoftのDefenderポータルでドメインのDKIMを有効にできなかった場合は、以下の手順に従ってください:
- 公開されているDKIMレコードを検索するには DKIMレコード検索ツールを使用して、公開されたDKIMレコードが有効でエラーがないかどうかを確認します。
- DNSが変更を保存するのに時間がかかっている可能性があります。設定を確認する前に、少なくとも48時間待ってください。
- DKIMレコードの構文をクロスチェックし、冗長なスペースや特殊文字などの不整合がないことを確認する。
- DNSホスティングプロバイダーと連絡を取り、この問題について話し合いましょう。
- マイクロソフトのサポートチームに連絡し、アドバイスを求める。
Powershellを使ってOffice 365のDKIMを設定するには?
特に複数のドメインで有効にしたい場合は、Powershellを使用してOffice 365ドメイン用のDKIMを作成および設定できます。そのためには
1.接続先 Exchangeオンライン
2.以下のスクリプトを実行して、Office 365 DKIMセレクタを抽出します:
3.Office 365から提供されたCNAMEレコードをDNSに追加する。
4.以下のコマンドを実行して、ドメインのDKIMを有効にする:
Office 365のDKIMレコードを確認するには?
Office365のDKIMレコードはPowerDMARCで確認できます。
1.PowerDMARCに無料でサインアップ
ポータルにアクセスするためにPowerDMARCで無料アカウントを作成する
2.Powertoolbox>DKIMレコード検索に進む。
左側のナビゲーションバーで 分析ツール > Powertoolbox > DKIMレコード検索
3.ドメイン名とDKIMセレクタを入力します。
セレクター名を手動で入力するか、「オート」モードをオンにしておけば、当社のテクノロジーが自動的にセレクターを検出します。
4.あなたの記録を確認するには、「Lookup」をクリックしてください。
検索ボタンをクリックすると、以下のようにオフィス365のDKIMレコードの有効性と設定されたタグを確認することができます:
Office 365のDKIMを無効にするには?
DefenderポータルからワンクリックでOffice 365のDKIMを無効にできます。
以下にアクセスするだけです。 メールとコラボレーション > ポリシーとルール > 脅威ポリシー > DomainKeys Identified Mail(DKIM)
DKIMページで"有効にする「を切り替えてください。
注:DKIM認証は、SPFが失敗する可能性のあるメール転送のような特殊なケースにおいて、メッセージの認証に役立ちます。お客様のドメインでDKIMを有効にしておくことは、良いメールプラクティスと考えられており、マイクロソフトと弊社の両方が強く推奨しています。
その他の関連記事
Microsoft Office 365 DMARCセットアップ
この記事がお役に立てば幸いです!メール認証やDMARCは初めてですか?無料の DMARCトライアルをお試しください。
- FTC、なりすまし詐欺の人気媒体は電子メールであると報告- 2024年4月16日
- SubdoMailingとサブドメイン・フィッシングの台頭- 2024年3月18日
- Mailchimp DMARC、SPF、DKIMセットアップガイド- 2024年2月26日