社畜の所業

Office365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。

【Office365参考書】承認済みドメインについて解説

 

Office 365 の承認済みドメインについて紹介します。
 
Office 365 へドメインの追加をいたしますと、自動的に Exchange Online の承認済みドメインに追加されます。
そして、Office365 に登録されているユーザーより、承認済みドメインに追加されたドメインのメールアドレスに送信すると内部解決を行い、以下の設定に基づき配送が行われる動作となります。
 

・権限あり (既定) : Office365 に登録のないメールアドレス宛の場合、送信者に配信不能レポート (NDR) を送信する。
 
・内部の中継 : Office365 に登録のないメールアドレス宛の場合、外部の MX レコードを参照して送信する。
 

要するに承認済みドメインドメインに送信したメールは、MX レコードが外部のサーバーを向いていても、まずは Office365 にメールアドレスが存在していないか確認します。
規定では、[権限あり] となっているため、Office365 内部に該当のメールアドレスが存在しない場合は、送信者に NDR を返します。
 
そのため、MX レコードの配信先の外部サーバーへ送信するには、[内部の中継] に変更することで Office365 内部に該当のメールアドレスが無いとわかったら、MX レコードの配信先へ配信することができます。
 
承認済みドメインを [内部の中継] に変更する手順は以下のとおりです。
 

■承認済みドメインを内部の中継に変更する手順

1. 全体管理者アカウントで Office365 にサインインし、Exchange 管理センターを開きます。
2. 左側のメニューから [メールフロー] をクリックします。
3. 遷移後の画面で [承認済みドメイン] をクリックします。
4. 遷移後の画面に表示された独自ドメインの設定をダブルクリックします。
5. [内部の中継] のラジオボタンをクリックし、[保存] をクリックします。
 

SPFレコード

今回は SPF レコードについて記述します。

 

本レコードは、送信したメールが、本当にそのサーバーから送信されたかどうかを、メールを受信するサーバ側が確認するためのものです。
実際はTXTレコードに、SPFレコードとして送信元のIPアドレスを登録し、受信側で送信元の IP アドレスと SPF レコードに登録されているIP アドレスを比較することで、差出人のメールアドレスが他のドメインになりすましていないかどうかを確認します。

なお、SPF レコードにつきましては登録が必須のレコードではなく、相手先のサーバーでSPF認証のセキュリティを利用している場合に、SPFレコードが登録されていないことで、送信に失敗する可能性があります。



下記に補足としてSPF レコードの末尾についております [-all] と [~all] の違いについて記述します。


1. [-all] の場合

設定以外のアドレスは該当のドメインのメールサーバーとして認証しないという設定になります。
現在、Office 365 の最新の SPF レコードはこの設定になっており、後述いたします [~all] に比べセキュリティ上、より強固な設定となっております。
SPF の認証に失敗した場合は、Fail となります。


2. [~all] の場合:~(チルダ

設定以外のアドレスは該当のドメインのメールサーバーとして認証しないという設定までは同じですが、この設定の場合、「正当なメールでも送信ドメイン認証が成功しない場合がある可能性があります」という宣言を行うため、何らかの原因により受信側が認証に失敗した場合でも、受信拒否されないようになります。
そのため、受信者がなりすましメールを受信した際にも、明確に見分けることが難しくなります。
SPF の認証に失敗した場合は、SoftFail となります。

 

 

SPFレコードも前回の MXレコードの回で記述した、コマンドプロンプトの nslookup で確認することができます。

 

1. ご利用の PC (Windows OS) にて、コマンドプロンプトを起動します。
2. [nslookup] と入力し、Enter を押します。
3. [set type=txt] と入力し、Enter を押します。
4. [paxxxxxxxxn.com] ドメインを入力し、Enter を押します。

 

 

[出力結果例(gmail.comの場合)]

権限のない回答:
gmail.com text =

"v=spf1 redirect=_spf.google.com"

 

MXレコード

用意したドメインでメールを利用するためには、DNSレコードを登録する必要があります。

まずは、メールを受信するうえで必要なレコードである、MXレコードについて記述します。

 

MXレコードはメールアドレスのドメインに配信するメールサーバーのホストを割り当てるものです。

 

例えば、example.com のドメインの MX レコードに サーバーのホスト名 test.example.com を登録しているとします。

その場合、example.com のドメインのメールアドレスにメールを受信した場合に、MXレコードを見て、記述されているサーバー (test.example.com) へメールが配信されます。

 

また、MXレコードは複数、登録することができ、優先度を設定することができます。
それにより、優先度の高いメールサーバーで障害が発生し、メールが受信できない場合は、次の優先度の高いサーバーへ配信することができます。

 

なお、数値が低いほうが優先度が高いです。

例 : 優先度 0 と優先度 10 の場合は、優先度 0 が高い

ドメインの MXレコードを確認する場合は、コマンドプロンプトnslookup を利用することで確認できます。

 

1. ご利用の PC (Windows OS) にて、コマンドプロンプトを起動します。
2. [nslookup] と入力し、Enter を押します。
3. [set type=mx] と入力し、Enter を押します。
4. 該当のドメインを入力し、Enter を押します。

 

[出力結果例 (gmail.comの場合)]
権限のない回答:
gmail.com MX preference = 40, mail exchanger = alt4.gmail-smtp-in.l.google.com
gmail.com MX preference = 30, mail exchanger = alt3.gmail-smtp-in.l.google.com
gmail.com MX preference = 20, mail exchanger = alt2.gmail-smtp-in.l.google.com
gmail.com MX preference = 5, mail exchanger = gmail-smtp-in.l.google.com
gmail.com MX preference = 10, mail exchanger = alt1.gmail-smtp-in.l.google.com

 

alt4.gmail-smtp-in.l.google.com internet address = 74.125.192.27
alt4.gmail-smtp-in.l.google.com AAAA IPv6 address = 2607:f8b0:400d:c00::1a
alt3.gmail-smtp-in.l.google.com internet address = 173.194.219.27
alt3.gmail-smtp-in.l.google.com AAAA IPv6 address = 2607:f8b0:4002:c03::1a
alt2.gmail-smtp-in.l.google.com internet address = 64.233.182.27
alt2.gmail-smtp-in.l.google.com AAAA IPv6 address = 2607:f8b0:4001:c0a::1a
gmail-smtp-in.l.google.com internet address = 173.194.72.27
gmail-smtp-in.l.google.com AAAA IPv6 address = 2404:6800:4008:c03::1b
alt1.gmail-smtp-in.l.google.com internet address = 74.125.30.27
alt1.gmail-smtp-in.l.google.com AAAA IPv6 address = 2607:f8b0:4003:c03::1b

 

上記の例では優先度 5 の gmail-smtp-in.l.google.com のサーバーに優先的に配信されます。

IPアドレス

IPアドレスについて記録しておきます。

IPアドレスは大きく分けて、以下の2種類があります。
 
 
グローバルIPアドレスとは、インターネットに接続された機器に割り当てられるIPアドレスであり、
プライベートIPアドレスとは、会社や家庭など組織内で割り当てられるアドレスです。
そのため、プライベートIPアドレスが割り当てられた機器はインターネットでは通信をおこなえないものとなっております。
 

グローバルIPアドレスの範囲

「クラスA」

1.0.0.0~9.255.255.255
11.0.0.0~126.255.255.255
 

「クラスB」

128.0.0.0~172.15.255.255
172.32.0.0~191.255.255.255
 

「クラスC」

192.0.0.0~192.167.255.255
192.169.0.0~223.255.255.255
 
 

■プライベートIPアドレスの範囲

 

「クラスA」

10.0.0.0~10.255.255.255
 

「クラスB」

172.16.0.0~172.31.255.255
 

「クラスC」

192.168.0.0~192.168.255.255
 
プライベートIPアドレス以外のIPアドレスグローバルIPアドレスとを覚えたほうがよさそうですね。