Office 365でDMARCをセットアップする方法とは? 段階ごとのガイド
Office 365に足りないものとは
2023年1月24日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 How to Setup DMARC in Office 365? Step-by-Step Guide の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
Microsoftは、DMARCのようなメール認証プロトコルのサポートを、すべてのメールプラットフォームで拡大しています。
しかし、その利点を十分に活用するためには、Office 365にDMARCを正しく実装する方法を知っておく必要があります。
近年、多くの企業がOffice 365などの有効で堅牢なクラウドベースのプラットフォームやホスト型メール送受信ソリューションの利用へと移行しています。
それに伴い、サイバー犯罪者もプラットフォームに統合されたセキュリティソリューションを巧みに操ってメール詐欺を行う、悪質なテクニックをアップグレードしてきました。
このブログでは、DMARCをOffice 365に設定する方法を説明します。
Office365でDMARCを設定する理由は?
まず、スパム対策ソリューションやメールセキュリティゲートウェイがすでにOffice 365スイートに統合され、偽のメールをブロックしているのに、なぜOffice 365の認証にDMARCが必要なのかという疑問が湧くかもしれません。
なぜなら、これらのソリューションは、ドメイン宛に送信された内部へのフィッシングメールから特に保護しますが、DMARC認証プロトコルでは、ドメイン所有者に、ドメインから送信されたメールが認証チェックに失敗した場合の対応方法を受信メールサーバに指定する権限を与えるからです。(※)
※訳注: つまりDMARCを設定すれば、なりすましメールをどのように処理するかを、ドメインの所有者側で指定できるのです。
DMARCは、SPFとDKIMという2つの標準的な認証手法を利用して、メールの信頼性を検証します。
Office 365におけるDMARCは、ポリシーを強制的に設定することで、なりすまし攻撃や直接的なドメインなりすましに対する高度な防御を提供することができます。
Office 365を利用していてDMARCは本当に必要か?
Office 365のソリューションを導入していれば、スパムやフィッシング攻撃から安全に守られるという誤解が、企業の間でしばしばあります。
しかし、2020年5月、Office 365を利用している中東の保険会社数社が相次いでフィッシング攻撃を受け、重大なデータ損失と前例のない量のセキュリティ侵害が発生しました。
そこで、ここから学んだことを紹介します。
理由その1:Microsoftのセキュリティソリューションは万全ではない
このため、Microsoftの統合セキュリティソリューションに依存し、ドメインを保護するために外部から取り組みを実施しないことは、大きな間違いであると言えます。
理由その2:社外に向かう攻撃を防ぐ為にDMARCをOffice 365に設定する必要がある
Office 365の統合セキュリティソリューションは、内部へのセキュリティ脅威やフィッシングの試みに対する保護を提供できますが、さらに自社ドメインから送信される外部へのメッセージが、顧客やパートナーの受信トレイに届く前に有効に認証されることを確認する必要があります。
そこで登場するのが、Office 365のDMARCです。
理由その3:DMARCはメールチャネルの監視に役立つ
DMARCは、直接的なドメインなりすましやフィッシング攻撃からドメインを保護するだけでなく、メールチャネルの監視にも役立ちます。
「排除(reject)/隔離(quarantine)」のような強制的なポリシーであっても、「なし(none)」のような緩やかなポリシーであっても、メールアドレスまたはDMARCレポート解析ツールに送られるDMARCレポートにより、認証結果を追跡することができます。
Office 365の中でDMARCはどのように機能するのか?
Office 365でDMARCを設定すると、SPFやDKIMのチェックに失敗したメールをどう処理するかをOffice 365に指示することになります。
例えば、企業がサードパーティのメールサービスを使用している場合、DMARCを使用して、これらのチェックをパスしない送信者からのメッセージを拒否するようにOffice 365に指示できます。
また、Office 365でDMARCを設定すると、ドメインのメールがサードパーティによってどのように操作されているかのレポートを要求できます。
DMARCは、まず第一に自社ドメインから発信されたと主張するすべてのメールが実際に正当な通信手段かを保証することで、企業ブランドの保護に貢献します。
DMARCはドメインに代わり、送信者に対してメールを送信する前に自身の身元を検証するよう要求し、これを実現します。
送信者が上記を行わなかった場合、DMARCはメッセージを排除します。
それでは、Office 365のDMARCの設定方法を確認しましょう。
Office 365でDMARCを設定する方法とは?
Office 365スイートに付属するセキュリティソリューションは、スパムフィルタとして機能しており、なりすましからドメインを保護することはできないため、DMARCの必要性が強調されています。
DMARCは、ドメインのDNSにDNSのTXTレコードとして存在します。
ドメインにDMARCを設定するためには、次のことが必要です。
ステップ1:ドメインの有効なメール送信元を特定する
これらは、あなたに代わってメール送信を許可させたい送信元IPアドレス(サードパーティを含む)となります。
ステップ2:ドメインのSPFを設定する
ここで、送信者検証のためのSPFを設定する必要があります。
これを行うには、外部のメールベンダを含む有効な送信元をすべて包括したSPFのTXTレコードを作成します。
ステップ3:ドメインのDKIMを設定する
Office 365でDMARCを有効にするには、ドメインに対してSPFまたはDKIMを設定する必要がありますが、DKIMを設定することでドメインのメールにさらなるセキュリティ層を追加することができます。
ステップ4:ドメインのDNSにDMARCのTXTレコードを公開する
最後に、DMARCレコードをDNSに公開する必要があります。
PowerDMARCの無料のDMARCレコードジェネレータを使用すると、DNSで公開するための正しい構文のレコードを即座に生成でき、ドメインのDMARCを設定することができます。
ただし、なりすまし攻撃やドメインの不正利用を効果的に軽減できるのは「排除」の強制ポリシーだけであり、一方で単にメールチャネルを監視したい場合は、設定の初期段階では「なし」のポリシーが有効なことに注意してください。
Office 365でDMARCポリシーが有効でない場合は何が起こる?
Office 365のDMARCを有効にしないと、ドメインがなりすましに遭う危険性があります。
DMARCは、メールシステムにアクセスして詐欺やフィッシングに利用しようとするメール送信者によるなりすましから、ドメインを保護するために設計されています。
Office 365アカウントのDMARCを有効にしない場合、それはたとえ許可を得ていなくとも、誰でもドメインを騙ってメールを送信できることを意味します。
また、誰がメッセージを送ったのか、そのメッセージが許可された送信元から来たものかも判断できなくなります。
ドメイン所有者は、ドメインやブランド名を悪用したドメインなりすまし攻撃やフィッシング攻撃に常に注意する必要があります。
どのようなメール送受信ソリューションを利用する場合でも、ブランドの信頼性を確保し、大切な顧客からの信頼を維持するためには、ドメインをなりすましや偽装から保護することが不可欠です。
MicrosoftのOffice 365を使用する際にPowerDMARCが必要な5つの理由
MicrosoftのOffice 365は、多くのクラウドベースのサービスやソリューションのホストを、統合されたアンチスパムフィルタとともにユーザに提供しています。
しかし、さまざまな利点がある一方で、セキュリティの観点から使用中に直面する可能性のある欠点は次のとおりです。
- 自分のドメインから送信された、外部へのメッセージを検証するソリューションがない
- 認証チェックに失敗したメールのレポート機能がない
- メールのエコシステムを可視化できない
(訳注:メールのエコシステムとは、各種メールソフトやそれらのサーバ、認証情報などの連携やつながりによって形作られる全体のシステムを意味します) - 送受信メールの流れを管理および監視するためのダッシュボードがない
- SPFレコードのLookupが常に10回の制限以下であることを保証する仕組みがない
PowerDMARCによるDMARCのレポーティングとモニタリング
PowerDMARCはOffice 365とシームレスに統合され、BEC(訳注:ビジネスメール詐欺)や直接的なドメインなりすましなどの巧妙なソーシャルエンジニアリング攻撃からドメイン所有者を保護する高度な認証ソリューションを提供します。
PowerDMARCに登録すると、すべてのメール認証のベストプラクティス(SPF、DKIM、DMARC、MTA-STS、TLS-RPTおよびBIMI)を組み入れるだけでなく、広範囲で詳細なDMARCレポート機能が提供され、メールのエコシステムに完全に可視化する、マルチテナントのSaaSプラットフォームと契約することになります。
(訳注:マルチテナントとは、雑居ビルのように、仮想化されたサーバの1部分を借り合ってサービスを受ける仕組みのことです)
PowerDMARCのダッシュボード上のDMARCレポートは、2つのフォーマットで生成されます。
- 集計レポート
- フォレンジックレポート
私たちは、業界の様々な問題を解決し、認証体験をより良いものにするために努力してきました。
DMARCのフォレンジックレポートの暗号化を保証するだけでなく、7種類のビューで集計レポートを表示し、ユーザの体験の向上とわかりやすさを追求しています。
PowerDMARCは、メールの流れや認証の失敗を監視し、世界中の悪意のあるIPアドレスをブラックリストに登録するのに役立ちます。
DMARCアナライザは、ドメインに適したDMARCの正しい設定と、監視から強制への短時間での移行を支援します。
これにより、作業の複雑さを気にすることなく、Office 365でDMARCを有効にすることができます。
もしサポートが必要なら、まずは無料のトライアルをお試しください。
専門家が初期設定を支援します。