マイクロソフトは最近、間接的な電子メールの流れを承認するための信頼できるARCシールを展開しました。なぜかというと、以下の通りです。
- お使いの定番のメール認証プロトコル(DMARC, SPFおよび DKIM) は、間接的に送信された電子メールを認証するには不十分です。
- これにより、正規のメールが認証に失敗することがあります
- その後、メール配信の問題につながる
このような場合、マイクロソフトの信頼性の高いARCシールがその日のために一掃されます。送信メッセージにARC署名を追加することで、送信者認証の際に、たとえヘッダーやコンテンツが信頼できる仲介者によって変更されていても、メールソースを簡単に識別し、承認することができます。 信頼できる仲介者.
マイクロソフトの文書は こちら。
主なポイント
- 信頼されたARCシールは、DMARC、SPF、DKIMのような従来のプロトコルの制限を克服し、間接的に送信された電子メールを認証するのに役立ちます。
- 間接的な電子メール・フローは、仲介サーバーによる改ざんのために、正当な電子メールが認証に失敗する原因となる。
- マイクロソフトのTrusted ARCシールは、管理者が信頼できる仲介者を指定することを可能にし、電子メールが変更されても送信者認証を通過することを保証する。
- 信頼された仲介者を使用するARCの設定と構成には、ドメイン管理者との協力とMicrosoft defenderポータルの使用が必要です。
- ARCはDMARCの代替ではなく、既存のプロトコルと連携して電子メール認証を強化するための追加セキュリティ対策である。
Microsoft Trusted ARC Sealは、どのカテゴリのユーザーに適用されるのですか?
この信頼できるARCシールは、以下のMicrosoftサービスにサインインしているユーザーが展開することができます。
- Exchange Onlineの保護
- Microsoft Defender for Office 365 プラン1、プラン2
- Microsoft 365 Defender
PowerDMARCでセキュリティを簡素化!
ダイレクトメールの流れとは?
これは、送信元ドメインから送信されたメールが、受信者のメールサーバーに直接到達することです。悪意のある第三者によって通信が傍受されない限り、メールはそのまま残り、メッセージヘッダーも保存されるため、DMARC認証チェックをパスすることができます。
間接メールフローとは?
これは、送信元ドメインから送信されたメールが、1つ以上の中間サーバーを経由する場合です(メール転送の場合のように)。これらの仲介者は、ヘッダー情報や本文に修正を加えることでメッセージを変更し、メールをDMARCに失敗させることができます。
なぜTrusted ARCシールが必要なのですか?
間接的なメールフローにおける認証の失敗
企業は、メールマーケティングキャンペーンを第三者機関に委託することがあります。第三者機関は、所有者のドメインから中間サーバーを経由して受信者にメッセージを送ります。これは、主にメールの転送やメーリングリストの利用時に顕著に見られます。
これらのメールのヘッダー情報は、それぞれの仲介者のヘッダー情報を取り込むため、その過程で変更されます。このため、Mail from: と return-path ヘッダに矛盾が生じ、SPFに失敗します。また、仲介者はフッターを追加することでメール本文の内容を変更することができますが、これはさらにDKIMを破壊することになります。
後者はまれなケースだが、実際に起こる。メッセージに対してSPFとDKIMの両方が失敗した場合、DMARCは必然的に失敗し、メッセージは(正当なものではあるが)詐欺と認識される。送信者がp=rejectのDMARCポリシーを使用している場合、このような正当なメッセージが配信されることはありません!
マイクロソフトのTrusted ARCシールによる信頼できる仲介者の指定
Microsoft 365 defender ポータルにログインしている管理者は、管理者ポータル上で信頼できる仲介者を追加することができます。送信者検証の際、マイクロソフトは DMARC ARCの署名を検証し、認証チェックを通過して安全に配信されるよう支援します。
これは、ARCが中間業者によって改ざんされる前のメッセージの元の認証情報をどのように保存し、受信サーバーがそれを検証できるかという点に関して行われます。
Trusted ARC Seal使用時の注意点
ARCシールは、管理者が信頼する仲介者によって設定される必要がある
もしあなたがドメイン管理者として、メールをルーティングしたい信頼できる仲介者のリストを持っているなら、今すぐ彼らと連絡を取る必要があります。それぞれの中間ドメインにARCを設定するよう、彼らとオープンな話し合いを持ちましょう。
この信頼できるARCシーラーのリストをディフェンダーポータルにアップロードしてください。
次のステップは、Microsoft defenderポータルにログインし、信頼できるARCシーラーのリストをアップロードすることです。ここで ドメイン名ここで、あなたのリクエストでARCを有効にしたこれらの信頼できる仲介者のドメイン名を追加することができます。これを行うには、次のページに進みます。 メール認証設定ページを開き、「追加」ボタンをクリックします。
あるいは。
また、Exchange Online Powershell を使用して、信頼できる ARC シーラーのリストを追加することもできます。この場合、Microsoft が提唱する以下の Powershell スクリプトを実行します。
Set-ArcConfig -Identity default -ArcTrustedSealers {その後にカンマ区切りで仲介者のドメイン名}を記述します。
トラステッドアークシーラーのドメイン名の調べ方
Outlookのメールボックスで信頼できるARCの送信者のドメイン名を見つけるには、以下の手順で行います。
- メールをダブルクリックで開く
- の順にクリックします。 ファイル > プロパティ
- プロパティウィンドウが表示されます。インターネットヘッダ]ボックスでメッセージヘッダ情報を確認することができます
- ここには、電子メールのARC署名の「d=」タグに記載されているドメイン名が記載されています。これは、あなたの信頼するARCシーラーのドメインです。
また、メールのヘッダー情報を使って信頼できるARCシールを確認することができます。ARC認証の結果で「pass」を検索することで、信頼できるアークシールを検証することができます。
ARCはDMARCの代替となるか?
長い話:いいえ、そうではありません。ARCは、DMARC、SPF、DKIMと組み合わせて使用すると効果的です。ARCは、ヘッダーとコンテンツに変更を加える中間サーバーを経由した場合に、正規のメールが認証に失敗するのを防ぐための追加セキュリティ対策です。
マイクロソフトのTrusted ARCシールを活用するために、今すぐDMARCを設定しましょう。無料の DMARCトライアルをPowerDMARCでお試しください。
関連記事
- SPF中立メカニズム(?いつ、どのように使うか- 2025年6月23日
- DKIMドメインのアライメントの失敗 - RFC 5322による修正- 2025年6月5日
- DMARCbisの説明 - 何が変わり、どう備えるべきか- 2025年5月19日