パシフィックネットは、企業のDXを支援するITサブスクサービスのトップランナーです。
パシフィックネット
Exchange Online に DKIM と DMARC を追加する方法

投稿日:2023年7月11日

前回、Gmail に DKIM および DMARC を追加する手順を紹介しました。
今回は、Exchange Online 環境での DKIM と DMARC の設定方法について説明します。
これにより、企業は電子メール送信元の認証とメールの完全性を確保し、受信者に対して信頼性の高いメールサービスを提供することができます。

■ Gmail に DKIM ・ DMARC を追加する方法はこちら
 ・ビジネスメール詐欺を防げ! Gmail に DMARC を設定する方法
 ・「なりすまし」「メールの改ざん」を検知! Gmail に DKIM を追加する方法

DKIM(DomainKeys Identified Mail)の設定

DKIM は、電子メールの送信元の認証とメッセージの完全性を確保するための技術です。
Exchange Online で DKIM を有効にすると、送信されるすべてのメールにデジタル署名が付加されます。
これにより、電子メールの送信元の偽装や改ざんを防ぐことができます。
受信者は、DKIM 署名を検証することで、メールが正当な送信元から送信されたことを確認できます。

DKIM の設定手順は次の通りです。

1. セキュリティ (Microsoft 365 Defender) 管理センターにログインします。

https://security.microsoft.com/

セキュリティ (Microsoft 365 Defender) 管理センターにログインします。

2. 左ナビゲーションの [ポリシーとルール] をクリックし、表示されたページ内の [脅威ポリシー] をクリックします。

左ナビゲーションの [ポリシーとルール] をクリックし、表示されたページ内の [脅威ポリシー] をクリックします。

3. [脅威ポリシー] ページが表示されたら、ルール セクションの [メール認証の設定] をクリックします。

[脅威ポリシー] ページが表示されたら、ルール セクションの [メール認証の設定] をクリックします。

4. [メール認証の設定] ページが表示されたら、トップ ナビゲーションの [DKIM] をクリックし、設定するドメインを選択します。

[メール認証の設定] ページが表示されたら、トップ ナビゲーションの [DKIM] をクリックし、設定するドメインを選択します。

5. 右側に、選択したドメインに関連する DKIM のステータスが表示されます。
右下に表示された [DKIM キーを作成] をクリックします。

右側に、選択したドメインに関連するDKIM のステータスが表示されます。右下に表示された [DKIM キーを作成] をクリックします。

6. DKIM署名に使用するドメイン キーを作成します。公開鍵が生成されますので、[コピー] をクリックしてメモ帳などにコピーします。

DKIM署名に使用するドメイン キーを作成します。公開鍵が生成されますので、[コピー] をクリックしてメモ帳などにコピーします。

7. ドメインのDNSレコードに CNAME として公開鍵を追加します。これにより、送信されるメールに署名が付加されます。
    例:

ドメインのDNSレコードに CNAME として公開鍵を追加します。これにより、送信されるメールに署名が付加されます。

8. DNS に追加した値が反映したことを確認します。
    例:

DNS の TXT レコードにDKIM のレコードを追加したら、Google 管理センターに戻り、[認証を開始する] をクリックします。

9. 反映されたら、無効になっているスライダーを右にずらし、有効化します。

反映されたら、無効になっているスライダーを右にずらし、有効化します。

10. [セキュリティ] が表示されたら、[OK] をクリックします。

[セキュリティ] が表示されたら、[OK] をクリックします。

11. 右下の [閉じる] をクリックします。

右下の [閉じる] をクリックします。

12. セキュリティ (Microsoft 365 Defender) 管理センターを閉じます。

注:Exchange Online の DKIM キーでは 1024 ビットと 2048 ビットの両方がサポートされています。
以前は、1024 ビットがデフォルトでしたが、今回のテストでは2048 ビットがデフォルトになっていました。

DMARC(Domain-based Message Authentication, Reporting, and Conformance)の設定

DMARC は、送信元ドメインの認証とメール送信ポリシーの定義を行うためのプロトコルです。
DMARC を使用すると、企業は電子メールの送信ドメインに対して厳密な制御を行い、不正な送信やスパムメールの送信を防止することができます。

DMARC の設定自体は簡単に実装できますが、運用には専門的な知識や経験が必要です。

また、一度設定したら終わりではなく、継続的なモニタリングも求められます。

DMARC 運用時の理想的な設定値は、以下の通りです。
v=DMARC1; p=reject; rua=mailto:rua@example.com; pct=100; adkim=s; aspf=s

設定を行うには、以下の手順で設定値を確認していきます。
(ここでは、各タグの詳細な説明は省略しています。)

1.pタグに設定する、認証できないメールの処理方法を決めます。
ポリシーは3つ(none、quarantine、reject)ありますが、初期導入時はnone とすることをお勧めします。

2.rua タグに設定する、レポートを受信するためのメールアドレスを決めます。
rua とはReporting URL for aggregate dataの略です。
DMARC が集計した SPF 、 DKIM の認証結果を rua タグで指定したメールアドレスに送付する、という設定になります。
rua タグは任意の設定となりますので、省略することができます。

3. pctタグに設定する、 DMARC の検証対象とするメールの割合を決めます。
pct に設定できるのは整数のみのため、1 ~ 100 のいずれかの整数を設定します。
pctタグの設定は任意ですが、省略した場合は既定値のpct=100となって運用されます。

4. aspfタグに設定する、アライメントのモードを決めます。
モードは2つあり、strict モード(aspf=s)とrelaxed モード(aspf=r)があります。
aspf タグは任意の設定は任意ですが、初期導入時は規定値の r となって運用されます。

5.adkim タグに設定する、アライメントのモードを決めます。
モードは2つあり、strict モード(adkim=s)とrelaxed モード(adkim=r)があります。
adkim タグは任意の設定は任意ですが、初期導入時は規定値の r となって運用されます。

6. 手順1~5 で決めた設定値を DMARC の設定値に落とします。
DMARC の作法として、v タグを先頭に、そのあとに p タグを指定します。
例:v=DMARC1; p=none; rua=mailto:rua@example.com

7. 手順6をDNSに設定します。例えば example.com の場合、以下のようになります。
Type:TXT
Host:_dmarc. example.com
Value:v=DMARC1; p=none; rua=mailto:rua@example.com
TTL: 3600

初期導入時は「p=none」となりますが、なりすましメールの撲滅には、「p=reject」となることが理想です。
ただし、安易に「p=reject」とすると、メール配信サービスを利用している場合に不都合が出る場合がありますので、コンサルティングを受けることを推奨いたします。

パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。

執筆者:水口 博文


ご依頼・ご相談・お見積もりは担当営業部へ

PageTop

サイト内検索

※サイト内検索機能は、Google カスタム検索を利用しています。