Trusted ARC Seal とは何ですか?| マイクロソフトが信頼するARCの送信者

マイクロソフトは最近、間接的な電子メールの流れを承認するための信頼できるARCシールを展開しました。なぜかというと、以下の通りです。 

  • お使いの定番のメール認証プロトコル(DMARC, SPFおよび DKIM) は、間接的に送信された電子メールを認証するには不十分です。
  • これにより、正規のメールが認証に失敗することがあります 
  • その後、メール配信の問題につながる 

このような場合、マイクロソフトの信頼性の高いARCシールがその日のために一掃されます。送信メッセージにARC署名を追加することで、送信者認証の際に、たとえヘッダーやコンテンツが信頼できる仲介者によって変更されていても、メールソースを簡単に識別し、承認することができます。 信頼できる仲介者.

マイクロソフトの資料は こちらからご覧ください。

Microsoft Trusted ARC Sealは、どのカテゴリのユーザーに適用されるのですか?

この信頼できるARCシールは、以下のMicrosoftサービスにサインインしているユーザーが展開することができます。 

  • Exchange Onlineの保護
  • Microsoft Defender for Office 365 プラン1、プラン2
  • Microsoft 365 Defender

ダイレクトメールの流れとは? 

送信元ドメインから送信されたメールが、受信者のメールサーバーに直接到達することです。悪意のある第三者に通信を傍受されない限り、メールはそのままメッセージヘッダーが保存されるため、DMARCの認証チェックをパスすることができます。 

間接メールフローとは?

これは、送信元ドメインから送信されたメールが、1つ以上の中間サーバーを経由する場合です(メール転送の場合のように)。これらの仲介者は、ヘッダー情報や本文に修正を加えることでメッセージを変更し、メールをDMARCに失敗させることができます。  

なぜTrusted ARCシールが必要なのですか?

間接的なメールフローにおける認証の失敗

企業は、メールマーケティングキャンペーンを第三者機関に委託することがあります。第三者機関は、所有者のドメインから中間サーバーを経由して受信者にメッセージを送ります。これは、主にメールの転送やメーリングリストの利用時に顕著に見られます。 

これらのメールのヘッダー情報は、それぞれの仲介者のヘッダー情報を取り込むため、その過程で変更されます。このため、Mail from: と return-path ヘッダに矛盾が生じ、SPFに失敗します。また、仲介者はフッターを追加することでメール本文の内容を変更することができますが、これはさらにDKIMを破壊することになります。 

後者はまれなケースですが、実際に起こります。SPFとDKIMの両方がメッセージに対して失敗すると、必然的にDMARCも失敗し、メッセージは(正当なものではあるが)不正なものとして認識される。送信者がp=rejectに設定されている場合、これらの正当なメッセージは決して配信されないでしょう 

マイクロソフトのTrusted ARCシールによる信頼できる仲介者の指定

Microsoft 365 defender ポータルにログインしている管理者は、管理者ポータル上で信頼できる仲介者を追加することができます。送信者検証の際、マイクロソフトは DMARC ARCの署名を検証し、認証チェックを通過して安全に配信されるよう支援します。

これは、ARCが中間業者によって改ざんされる前のメッセージの元の認証情報をどのように保存し、受信サーバーがそれを検証できるかという点に関して行われます。  

Trusted ARC Seal使用時の注意点

ARCシールは、管理者が信頼する仲介者によって設定される必要がある

もしあなたがドメイン管理者として、メールをルーティングしたい信頼できる仲介者のリストを持っているなら、今すぐ彼らと連絡を取る必要があります。それぞれの中間ドメインにARCを設定するよう、彼らとオープンな話し合いを持ちましょう。 

この信頼できるARCシーラーのリストをディフェンダーポータルにアップロードしてください。

次のステップは、Microsoft defenderポータルにログインし、信頼できるARCシーラーのリストをアップロードすることです。ここで ドメイン名ここで、あなたのリクエストでARCを有効にしたこれらの信頼できる仲介者のドメイン名を追加することができます。これを行うには、次のページに進みます。 メール認証設定ページを開き、「追加」ボタンをクリックします。

あるいは。 

また、Exchange Online Powershell を使用して、信頼できる ARC シーラーのリストを追加することもできます。この場合、Microsoft が提唱する以下の Powershell スクリプトを実行します。 

Set-ArcConfig -Identity default -ArcTrustedSealers {その後にカンマ区切りで仲介者のドメイン名}を記述します。

トラステッドアークシーラーのドメイン名の調べ方

Outlookのメールボックスで信頼できるARCの送信者のドメイン名を見つけるには、以下の手順で行います。 

  • メールをダブルクリックで開く 
  • の順にクリックします。 ファイル > プロパティ
  • プロパティウィンドウが表示されます。インターネットヘッダ]ボックスでメッセージヘッダ情報を確認することができます
  • ここには、電子メールのARC署名の「d=」タグに記載されているドメイン名が記載されています。これは、あなたの信頼するARCシーラーのドメインです。

また、メールのヘッダー情報を使って信頼できるARCシールを確認することができます。ARC認証の結果で「pass」を検索することで、信頼できるアークシールを検証することができます。

ARCはDMARCの代替となるか? 

長い話:いいえ、そうではありません。ARCは、DMARC、SPF、DKIMと組み合わせて使用すると効果的です。ARCは、ヘッダーとコンテンツに変更を加える中間サーバーを経由した場合に、正規のメールが認証に失敗するのを防ぐための追加セキュリティ対策です。 

マイクロソフトのTrusted ARCシールを活用するために、今すぐあなたの組織でDMARCを設定してください。無料 DMARCの無料トライアルをお試しください。

関連記事