DKIMとDMARCは既定でどうなっている?(Microsoft 365)

Exchange Online

設定していないテナントの場合に管理センターに警告がでるようになったようです。以前から問い合わせをいただくこともあった部分なのでいい機会なのでまとめようと思います。

詳細の確認

管理者じゃない人向けに詳細の表示をクリックした場合の内容を記載します。

送信ドメインが、ドメイン ネーム システム (DNS) の送信者ポリシー フレームワーク (SPF)、DomainKeys 識別メール (DKIM)、ドメインベースのメッセージ認証、レポート、準拠 (DMARC) などの電子メール認証レコードで構成されており、サービスの送信制限を超える大量の電子メールを送信していない場合、影響を受けることはなく、組織で必要なアクションはありません。

(中略)

プライマリメールドメイン(contoso.com など)のアドレスをバルクメールの送信者として使用しないでください。これを行うと、ドメイン内の送信者からの通常の電子メールの配信に影響を与える可能性があります。一括メール専用のカスタムサブドメインの使用を検討してください。たとえば、マーケティング電子メールには “m.contoso.com” を使用し、トランザクション電子メールには “t.contoso.com” を使用します。 

カスタムサブドメインには、DNS(SPF、DKIM、DMARC)のメール認証レコードを設定することをお勧めします。多くのメール サービス プロバイダ(Gmail、Yahoo!、Outlook.com など)は、メール認証基準を満たしていないメールを拒否するように設定されています。 

EX675941 送信メールを SPF、DKIM、DMARC で認証するようリマインダー

DKIMとDMARCというものの設定をしなくてはいけないのかな?と思って調べてみるものの、Leranの迷路にはまってよくわからないということが多いと予想するので少し噛み砕いて記載していきます。

内容の要約

バルクメール(一度に多数の人に同じメッセージを送信することを目的としたメール)を送る場合にはカスタムサブドメインを設定してそちらから送ることを推奨します。その際にSPF、DKIM、DMARCといった設定を忘れずしましょう!

当方の意訳

バルクメールをカスタムドメインで送信するとドメイン信用度下がることがある。それが原因で通常のメールが迷惑メール扱いされたら業務影響がでて問題となるので早い段階でメールの配信について設計見直しした方が良いですよ!(ドメインの信用度が劇的に改善する方法はありません。悪評と同じです。)

当方が引っ掛かった点

DKIMに関しては下記のような公式ドキュメントでの記述がある。

カスタム ドメインの DKIM に関しても、何も操作しなくて構いません。 カスタム ドメインに対応する DKIM をセットアップしていないと、Microsoft 365 が秘密キーと公開キーのペアを作成して、DKIM 署名を有効にし、カスタム ドメインに対応する Microsoft 365 の既定ポリシーを構成します。

DKIM を使用して、カスタム ドメインから送信される送信電子メールを検証する

DKIMで初期設定のonmicrosoft.com ドメインを使用しているのが一般の設定であるのであれば、カスタムドメインであってもカスタムサブドメインでも同じ仕様なのではと思ったので差異をSRで確認したみた。

EX675941 にて記載のある ”カスタムサブドメインは別途対応が必要” の情報については、誤解を招く案内となっており恐縮ではございますが、カスタムドメイン同様の認証が行われる認識であるため、DKIM のセットアップを行わずとも、既定の DKIM ポリシーが利用されます。

MSとのSRでの問い合わせの内容のサマリー

全体的な認識齟齬がないかMSに確認をしてみたところ要約としては下記のような回答となった。

カスタムドメインにて DMARC による認証を行いたい場合は、カスタムドメインでの DKIM 認証の設定、DMARC ポリシーの設定が必要となります。※ カスタムドメインの DMARC 認証にて、既定の DKIM ポリシーを利用した場合、エラーが発生する可能性があるためです。

MSとのSRでの問い合わせの内容のサマリー

なぜ、DKIM 認証の設定が必須となるのかは下記のような仕組みから設定しないと設定したことが原因で業務影響がでるからという整理となる。

DKIM をセットアップする代わりに、ドメインに対して Microsoft 365 で既定の DKIM 構成の使用を許可すると、DMARC が失敗することがあります。 このエラーは、既定の DKIM 構成が、5321.MailFrom アドレスとしてカスタム ドメインではなく初期設定の onmicrosoft.com ドメインを使用するために発生する可能性があります。 これにより、ドメインから送信されたすべてのメールの 5321.MailFrom アドレスと 5322.From アドレスとの間に不一致が生じることになります。

DMARC を使用してメールを検証する ‐ 手順 3: カスタム ドメイン用に DKIM をセットアップする

※一部の方は「5321.MailFrom」や「5322.From」という部分でつまづくと思いますがRFC(Request for Comments)の5321と5322のことです。

RFCとは、インターネット技術の標準化などを行うIETF(Internet Engineering Task Force)が発行している、技術仕様などについての文書群。TCP/IP関連のプロトコル(通信規約)の標準仕様などが記されたもので、インターネット上で公開されており誰でも入手・閲覧することができる。

RFCとは

実機を確認してみる

記事を書くにあたり最新情報などを確認しているとMicrosoft 365 管理センターのサポートの中にあるヘルプとサポートで下記のように入力すると確認画面がでてくることに気付いた。(この入力欄は特定の文言入れると調査をする仕組みが出てきたり、特別な申請をすることができたりする)

カスタムドメイン登録している「m365labo.com」を入力してみたら下記のようになった。(このドメインはSPFの登録はしてから何も設定しない)

まとめ

通常カスタムドメインやカスタムサブドメインを登録する場合はSPFレコードを登録推奨となっているため、一般的な管理者は設定を行っている。それ以外に明示的にDKIMとDMARCの設定を行っていないという管理者が多いと推測されるが、Microsoft 365の仕様としては既定のDKIMポリシーが適用されている。

ただし、下記の場合は個別対応が必要となる。複数ドメイン使っている場合やDMARCも設定する場合ということなので基本的に手動で対応する方がよいということになる。

※その後ドメインの管理UIが変わってDKIMまでは簡単に設定できるようになった。

次の状況では、カスタム ドメインの DKIM を手動で構成する必要があります。

・Microsoft 365 に複数のカスタム ドメインがある場合
・DMARC も設定する場合 (推奨)
・秘密キーを制御する場合
・CNAME レコードをカスタマイズする場合
・たとえば、サード パーティ製の大容量メーラーを使用する場合、サードパーティのドメインから発信される電子メールに DKIM キーを設定することがあります。

DKIM を使用して、カスタム ドメインから送信される送信電子メールを検証する

なお、DMARCは仕様としては設定されていないが、設定する場合はDKIMを明示的に設定する必要があるためDKIMとDMARCの両方の設定をするということが必要となる。※DMARCを必要以上に厳しい設定にすると未着・迷惑メールとなって業務影響がでたりするので正しく理解をしないと危険

そのうち各用語の整理と実際の設定を書いていく予定です(全体的にかなりボリュームがあるのと時間がかかるので分割して公開となります。すみません。)

タイトルとURLをコピーしました