投稿日:2023年7月11日
前回、Gmail に DKIM および DMARC を追加する手順を紹介しました。
今回は、Exchange Online 環境での DKIM と DMARC の設定方法について説明します。
これにより、企業は電子メール送信元の認証とメールの完全性を確保し、受信者に対して信頼性の高いメールサービスを提供することができます。
■ Gmail に DKIM ・ DMARC を追加する方法はこちら
・ビジネスメール詐欺を防げ! Gmail に DMARC を設定する方法
・「なりすまし」「メールの改ざん」を検知! Gmail に DKIM を追加する方法
DKIM は、電子メールの送信元の認証とメッセージの完全性を確保するための技術です。
Exchange Online で DKIM を有効にすると、送信されるすべてのメールにデジタル署名が付加されます。
これにより、電子メールの送信元の偽装や改ざんを防ぐことができます。
受信者は、DKIM 署名を検証することで、メールが正当な送信元から送信されたことを確認できます。
DKIM の設定手順は次の通りです。
https://security.microsoft.com/
注:Exchange Online の DKIM キーでは 1024 ビットと 2048 ビットの両方がサポートされています。
以前は、1024 ビットがデフォルトでしたが、今回のテストでは2048 ビットがデフォルトになっていました。
DMARC は、送信元ドメインの認証とメール送信ポリシーの定義を行うためのプロトコルです。
DMARC を使用すると、企業は電子メールの送信ドメインに対して厳密な制御を行い、不正な送信やスパムメールの送信を防止することができます。
DMARC の設定自体は簡単に実装できますが、運用には専門的な知識や経験が必要です。
また、一度設定したら終わりではなく、継続的なモニタリングも求められます。
DMARC 運用時の理想的な設定値は、以下の通りです。
v=DMARC1; p=reject; rua=mailto:rua@example.com; pct=100; adkim=s; aspf=s
設定を行うには、以下の手順で設定値を確認していきます。
(ここでは、各タグの詳細な説明は省略しています。)
1.pタグに設定する、認証できないメールの処理方法を決めます。
ポリシーは3つ(none、quarantine、reject)ありますが、初期導入時はnone とすることをお勧めします。
2.rua タグに設定する、レポートを受信するためのメールアドレスを決めます。
rua とはReporting URL for aggregate dataの略です。
DMARC が集計した SPF 、 DKIM の認証結果を rua タグで指定したメールアドレスに送付する、という設定になります。
rua タグは任意の設定となりますので、省略することができます。
3. pctタグに設定する、 DMARC の検証対象とするメールの割合を決めます。
pct に設定できるのは整数のみのため、1 ~ 100 のいずれかの整数を設定します。
pctタグの設定は任意ですが、省略した場合は既定値のpct=100となって運用されます。
4. aspfタグに設定する、アライメントのモードを決めます。
モードは2つあり、strict モード(aspf=s)とrelaxed モード(aspf=r)があります。
aspf タグは任意の設定は任意ですが、初期導入時は規定値の r となって運用されます。
5.adkim タグに設定する、アライメントのモードを決めます。
モードは2つあり、strict モード(adkim=s)とrelaxed モード(adkim=r)があります。
adkim タグは任意の設定は任意ですが、初期導入時は規定値の r となって運用されます。
6. 手順1~5 で決めた設定値を DMARC の設定値に落とします。
DMARC の作法として、v タグを先頭に、そのあとに p タグを指定します。
例:v=DMARC1; p=none; rua=mailto:rua@example.com
7. 手順6をDNSに設定します。例えば example.com の場合、以下のようになります。
Type:TXT
Host:_dmarc. example.com
Value:v=DMARC1; p=none; rua=mailto:rua@example.com
TTL: 3600
初期導入時は「p=none」となりますが、なりすましメールの撲滅には、「p=reject」となることが理想です。
ただし、安易に「p=reject」とすると、メール配信サービスを利用している場合に不都合が出る場合がありますので、コンサルティングを受けることを推奨いたします。
パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。
執筆者:水口 博文