MicrosoftのDMARC集計レポート

DKIMの鍵のbit数を増やしてセキュリティを強化

2021年12月21日
著者: Syuzanna Papazyan
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 How to upgrade your DKIM keys (from 1024-bit to 2048-bit) for Microsoft Office 365 Exchange Online?の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

待ちに待った展開がついにやってきました!
MicrosoftはDMARC RUAの集計レポートをユーザに送りますが、あなたはそれに気づいていない可能性があります。
MicrosoftのDMARC集計レポートは、dmarcreport@microsoft.comから送信されます。
MicrosoftのDMARC集計ファイルは、標準的なXML形式で送信されます。

MicrosoftはついにDMARCレポートを採用しました。
これは本質的に、Hotmail、Outlook、Live、およびmsn.comのユーザがMicrosoftDMARC集約データのさまざまな利点を享受できるようになることを意味します。

MicrosoftのDMARC集計データを処理する

PowerDMARCレポートアナライザーは、Microsoft DMARCの集計データを解析し、より効率的に処理できるよう整理されたフォーマットにします。

PowerDMARCのDMARCレポートアナライザーは、マイクロソフトから送信されるレポートデータを直接受信できるよう、あらかじめ設定されています。
ユーザが行う必要があるのは、PowerDMARCプラットフォームにドメインを追加し、DMARC DNSレコードを設定することだけで、私たちは簡単でわかりやすい方法でレポートを処理し、表示します。
こちらでご覧いただけます。

• Hotmail、Outlook、Live、および msn.com の受信者アドレスから送信された DMARC 集計データを、生の XML ファイル形式から解析し、シンプルで読みやすい情報に整理して表にしたものです。
• PowerDMARCはRFC違反を回避するようにあらかじめ設定されており、お客様が心配することなく、Microsoftサーバから送信されたDMARCデータを受信し、解析することが可能です。
• 複数のドメインの登録、メールチャネルの監視、DNSの変更をダッシュボードから直接行え、指先で操作可能なボタンを使用できます。
• 検索バーで、結果ごと、送信元ごと、組織ごと、国ごと、ジオロケーション、詳細統計、ドメインごとの検索結果など、さまざまなカテゴリに結果を絞り込むことができます。
• メールのパフォーマンスをより深く理解し、ドメインの偽装やなりすまし、マイクロソフトのビジネスドメインを使った偽メールの送信を素早く察知することができます。また、送信元からのSPFやDKIMの失敗を分析することも可能です。

このため、鍵の長さがますます重要になってきています。

ハッカーはDKIMキーを破るより良い方法を考案し続けています。
鍵の長さは、認証を破るのがどれだけ難しいかに直結しています。
2048ビットのキーを使用すると、現在および将来の攻撃に対する強化された保護を提供し、セキュリティが向上し、ビット数をアップグレードすることの重要性が強調されます。

Exchange Online Powershellで手動でDKIMの鍵をアップグレードする

• まず、Microsoft Office 365 PowerShellに管理者として接続します（Powershellアカウントが署名されたPowershellスクリプトを実行するように設定されていることを確認してください）。
• DKIMが設定されている場合、鍵を2048ビットにアップグレードするために、Powershellで以下のコマンドを実行します。

  
  Rotate-DkimSigningConfig -KeySize 2048 -Identity <署名された既存の設定のguid>
  

• DKIMを導入していない場合は、Powershellで以下のコマンドを実行してください。

  
  New-DkimSigningConfig -DomainName <設定を生成する対象ドメイン> -KeySize 2048 -Enabled $true
  

• 最後に、ビット数が2048ビットにアップグレードされたDKIMが正常に設定されたことを確認するために、以下のコマンドを実行します。

  
  Get-DkimSigningConfig -Identity <設定されたドメイン> | Format-List
  

重要: 手順が完了するまでの間、Powershellに接続されていることを確認してください。
変更が反映されるまで、最大で72時間かかることがあります。

なりすましやBEC(Business Email Compromise: ビジネスメール詐欺)からドメインを守るには、DKIMだけでは不十分です。
Office 365用にDMARCを設定することで、ドメインのメールセキュリティをアップグレードしましょう。