社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】中継サーバーを経由しExchangeOnlineに配信する構成の場合はDMARCポリシーは動作しない?

Microsoft365

DMARCMX

 

送信元のドメインでDMARCポリシーにて、[p=reject] や [p=quarantine]と設定している場合、ExchangeOnlineでDMARC認証に失敗した場合は検疫に隔離したり、拒否することができます。

ただし、MXレコードの向きによりDMARCポリシーの[p=reject] や [p=quarantine]に従った動作をしないとを確認しています。

 

ドメインの MX レコードが Exchange Online に向いている

フィッシング対策の既定のポリシーは適用し、[メッセージがなりすましとして検出された場合に DMARC レコード ポリシーを優先する]  が動作し、DMARC認証に失敗した場合、[p=reject] は削除、[p=quarantine]は検疫に隔離します。

 

ドメインの MX レコードが Exchange Online の前にある外部サーバーに向いている

拡張フィルタリング設定が有効でない場合は、[メッセージがなりすましとして検出された場合に DMARC レコード ポリシーを優先する] が動作しないため、[p=reject] や [p=quarantine]に従った処理はおこなわれません。

 

 

it-bibouroku.hateblo.jp

 

ドメインの MX レコードが外部のサーバーを向いていて、外部サーバーを中継し Exchange Online に配信している場合は、送信元のドメインにて [p=reject] や [p=quarantine] と設定した場合でも、従った動作はおこなれませんが、拡張フィルタリングを有効化することで動作させることができます。

 

拡張フィルタリングについては、以下の記事をご参照ください。

 

it-bibouroku.hateblo.jp

 

また、拡張フィルタリングを有効にしていない場合は、スプーフィングインテリジェンス機能が有効であるか、無効であるかにより動作は異なります。

 

以下の内容は外部サーバーを中継する構成で拡張フィルタリングが有効化されていない場合の例です。

 

スプーフィングインテリジェンスが有効の場合

送信元ドメインの DMARC ポリシーが [p=reject]、[p=quarantine]、[p=none]のいずれの場合でも、DMARC認証に失敗した場合は、なりすましとして [メッセージがスプーフィング インテリジェンスによってスプーフィングとして検出された場合] のアクションが動作します。

 

スプーフィングインテリジェンスが無効の場合

送信元ドメインの DMARC ポリシーが [p=reject]、[p=quarantine]の場合は、DMARC認証に失敗した場合はメールは検疫に隔離されます。

[p=none]の場合は、DMARC認証に失敗した場合でもメールは何も処理はおこなわれません。

正確に言うと[p=reject]が動作しないということですね。

 

スプーフィングインテリジェンスについては以下の記事でご紹介しておりますので参考としてくださいね。

 

it-bibouroku.hateblo.jp

 

【Microsoft365参考書】フィッシング対策ポリシーの「偽装」と「なりすまし」の違いとは?

Microsoft365

偽装なりすまし

 

Microsoft 365 Defenderのフィッシング対策ポリシーに [偽装] と[なりすまし] の設定がありますが、以下のような違いがあります。

 

偽装 について

保護設定で [メールボックス インテリジェンスを有効にする] と [偽装保護のためのインテリジェンスを有効にする] を有効にすることで、メールボックスインテリジェンス結果からの偽装として検出されたメッセージに対して、実行するアクションの選択が可能となります。

[偽装] は、紛らわしく混同しやすい文字列を使用して、ユーザーに特定のユーザーが送信者である、あるいは特定のドメインから送信されていると思わせることを目的としています。

例 : [rnicrosoft.com] の [rn] は [m] に似ており、[microsoft.com] を偽装しています。

 

メールアドレスの見た目によるなりすましの手口で、メールボックス名やドメイン名の文字の一部分を入れ替え、追加、削除、誤認しやすい他の文字への入れ替えを行ったものです。

ポリシーの保護設定の [偽装] > [0 人の送信者を管理] に対象ユーザー [admin@contoso.com] を指定すると、[admin@contoso.com] を装った送信元などからのメールを受信した場合に、偽装であると判定します。

 

[メールボックス インテリジェンスを有効にする] をオンにすると偽装に関しては AI が検知します。

ただし、[偽装保護のためのインテリジェンスを有効にする] を有効化しない場合、偽装として検知されたメールに対して何も対処が適用されない動作となります。

[偽装保護のためのインテリジェンスを有効にする] を有効にして、偽装として検知されたメールにはアクションを行うよう定義してください。

[偽装保護のためのインテリジェンスを有効にする] が有効になっていない場合、フィッシング対策ポリシーの [アクションの編集] にて、[メールボックス インテリジェンスが偽装されたユーザーを検出した場合]  がグレーアウトして編集できないことからも、[偽装保護のためのインテリジェンスを有効にする] は検知されたメールへのアクションを適用するための設定であることが伺えます。

 

 

なりすまし について

保護設定で [スプーフィング インテリジェンスを有効にする] を有効にすることで、メッセージを総合的に判断し、送信者のドメインと送信元 IP アドレスなどに差異がある場合に、なりすましメールとして判定しブロックします。

[なりすまし] はドメインを対象とした機能となり、[microsoft.com] のような特定のドメインへなりすましているものです。

 

各項目の、設定の詳細についてまとめましたので参考としてくださいね。

 

保護設定を編集

 

ユーザーの保護を有効にする

保護対象のユーザーに登録した場合には、登録したユーザーに偽装した外部からのメールを、偽装されたメールとして検知するという機能です。

また、保護対象のユーザーに登録しない場合は、ユーザーの偽装保護は機能せず、偽装されたメールを受信した場合にも偽装として検知しない動作となります。

 

既定では、ユーザーの偽装保護用に送信者の電子メールアドレス が構成されていません。 したがって、既定では、送信者の電子メール アドレスは、既定のポリシーまたはカスタムポリシーの偽装保護によってカバーされません。

内部または外部の電子メールアドレスを ユーザー に追加してリストを保護すると、それらの送信者からのメッセージは偽装保護チェックの対象になります。

 

ドメインの保護を有効にする

"自分が所有するドメインを含める" をオンにした場合、テナント内に存在するドメインに偽装して外部から送られてきたメールを、偽装として検知する動作となります。

オフにした場合は、テナント内のドメインに偽装されて送られてきたメールを検知しない動作となります。

 

"カスタムドメインを含める" をオンにしてドメインを指定した場合は、指定したドメインに偽装されて送られてきたメールを検知する動作となります。

オフの場合は、偽装されたメールを受信した場合にも検知しない動作となります。

 

既定では、[保護するドメインを有効にする] で偽装保護用に送信者 ドメインが構成されていません。 したがって、既定では、既定のポリシーまたはカスタムポリシーでは、偽装保護の対象となる送信者ドメインはありません。

ドメインを [保護するドメインを有効にする] リストに追加すると、それらのドメインの送信者からのメッセージは偽装保護チェックの対象です。 ポリシーが適用される受信者 (既定のポリシーのすべての受信者)にメッセージが送信された場合、メッセージは偽装のチェックを受け取ります。

 

メールボックスインテリジェンスを有効にする

機械学習アルゴリズムを適用し、ユーザーのメールフロー情報が蓄積されていくにつれて [偽装] や [なりすまし] メールから保護をさらに強化する機能です。

[メールボックス インテリジェンス] 機能によって蓄積されたフロー情報において、[偽装] や [なりすまし] 判定の判断材料となります。

普段と異なる経路からのメッセージに対しても、[メールボックス インテリジェンス] 機能によって蓄積されたフロー情報より、[偽装] や [なりすまし] 判定となされる動作は想定される動作となります。

 

頻繁に連絡先を使用してユーザーの電子メールパターンを決定する人工知能 (AI) を有効または無効にします。

この設定は、AI がメッセージと正当な送信者と偽装された送信者を区別するのに役立ちます。

 

偽装保護のためのインテリジェンスを有効にする

この設定を有効にすることで、メールボックスインテリジェンス結果からの偽装として検出されたメッセージに対して、実行するアクションの選択が可能となります。

本機能を有効にしない場合、[メールボックス インテリジェンス] を有効にしていても、何も処理されない動作となります。

 

アクションは以下の通りです。

  • 処理を何も適用しない : [メールボックス インテリジェンス] をオン、 [偽装保護のためのインテリジェンスを有効にする] をオフにした場合と同じ結果 になります。
  • メッセージを他のメールアドレスにリダイレクトする
  • メッセージを受信者の迷惑メールフォルダーに移動します
  • メッセージを検疫する
  • メッセージの配信と [BCC] 行への他のアドレスの追加を行う
  • 配信される前にメッセージを削除する

 

スプーフィングインテリジェンスの有効/無効を確認する手順

1. 管理者の権限を持つアカウントで Microsoft 365 Defender (https://security.microsoft.com) へサインインします。

2. 左側メニュー [メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] をクリックします。

3. [Office365 AntiPhish Default (既定)] をクリックします。

4. [保護設定を編集] をクリックします。

5. "なりすまし" の [スプーフィング インテリジェンスを有効にする (推奨)] にチェックが入っている場合は有効、チェックが入っていない場合は無効です。

※ 有効にする場合は、チェックを入れて [保存] をクリックします。

 

 

スプーフィングとして検出したメールに対するアクションを確認する手順

1. 管理者の権限を持つアカウントで Microsoft 365 Defender (https://security.microsoft.com) へサインインします。

2. 左側メニュー [メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] をクリックします。

3. [Office365 AntiPhish Default (既定)] をクリックします。

4. [アクションの編集] をクリックします。

5. [メッセージがスプーフィング インテリジェンスによってスプーフィングとして検出された場合] の項目にて確認することができます。プルダウンから [メッセージを検疫する] または、[メッセージを受信者の迷惑メールフォルダに移動します] を選択することができます。

※ [スプーフィングインテリジェンスを有効にする (推奨)] が無効の場合、こちらの項目はグレーアウトされます。

 

 

[メールボックス インテリジェンスを有効にする] [偽装保護のインテリジェンスを有効にする] の確認、および、有効化の操作手順

1. 管理者権限を付与したアカウントにて、Microsoft 365 Defender (https://security.microsoft.com) にサインインします。

2. 左側メニューより [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] の順にクリックします。

3. 該当のポリシーを選択します。

※ カスタムポリシーを作成していない場合は、[Office 365 AntiPhish Default (既定)] のみ表示されています。

4. 画面右側の設定画面より、[保護設定を編集] をクリックします。

5. [保護設定を編集] の [偽装] の項目にて [メールボックス インテリジェンスを有効にする] また [偽装保護のためインテリジェンスを有効にする] にチェックをつけ、[保存] > [閉じる] をクリックすることで設定が可能となります。

 

※ [偽装保護のためインテリジェンスを有効にする] がオンになっていることで、以下の操作にてメールボックスインテリジェンスが偽装されたユーザーを検出した場合のアクションを選択することが可能です。

 

6. 下部までスクロールし、[アクションの編集] をクリックします。

7. [メールボックス インテリジェンスが偽装されたユーザーを検出した場合] 項目の値を確認します。

8. 必要に応じてプルダウンメニューからアクションを選択します。

 

 

【Microsoft365参考書】アカウントを作成したがメールボックスが作成されない。作成まで24時間かかる?

Microsoft365

メールボックス24時間

 

今回は、アカウントの作成やExchangeOnlineのライセンスを付与してもなかなかメールボックスが作成されないシナリオについてご紹介したいと思います。

 

まず、メールボックスの作成については、通常であればものの数分で作成されることがほとんどですが、最大で24時間かかる場合があります

 

そのため、24時間までは想定内ですので、まずは24時間待ってみましょう。

 

4月など新入社員のメールボックスを作成する企業が多くなることでサーバーに負荷がかかるため、メールボックスが作成されるまでに時間がかかる可能性が高くなります。そのため、3月中にメールボックスを作成しておくことをオススメします。

 

24時間以上かかっても作成されない場合は、何か問題が出ている可能性があります。

なお、以下の方法でメールボックスが作成される可能性があるので、お試しください。

 

 

1.ExchangeOnlineのライセンスの再付与

一度、ExchangeOnlineのライセンス外して保存をし、再度、ライセンスを付与してみましょう。

それから、24時間以内にメールボックスが作成されるか様子をみてください。

 

2.アカウントの再作成

新規作成されたアカウントであれば、ExchangeOnline以外のサービスをまだ利用していない状態だと思いますので、アカウントを削除し再作成してみましょう。

なお、今までExchangeOnline以外のサービスを利用しているアカウントで、ExchangeOnlineのライセンスを付与したがメールボックスが作成されない場合は、アカウントを削除すると他のサービスに影響がありますので注意してください。

 

3.強制同期

管理者にて管理画面からAzureADとExchangeOnlineの強制同期を実行できますので、以下の記事を参考に実施してください。

 

it-bibouroku.hateblo.jp

 

メールボックスが作成されたか判断するには?

実際にメールボックスが作成されたか判断するには、Outlook on the webにアクセスできれば作成が完了していると判断ができます。

管理者で判断するには、Exchange管理センターの[メールボックス]の項目にそのメールボックスが表示されていれば、ExchageOnlineに存在していることを示してますので、メールボックスが作成されていると判断できます。

 

また、PoweshellでGet-Mailboxでそのメールボックスを指定し実行して、エラーが表示されずに情報が出力されればメールボックスが作成されていると判断できます。

 

<構文> 

Get-Mailbox -Identity <メールアドレス>

 

 

【Microsoft365参考書】エクスプローラーでメールを削除することができる?

Microsoft365

エクスプローラー削除

 

Microsoft Difender のエクスプローラでは、マルウェアやフィッシングと判定されたメールを確認したり、適用されたトランスポートルールやDLPポリシーなどを確認することができます。

また、送信者や受信者だけではなく、ドメインや表示名、件名、適用されたトランスポートルールを条件として検索することもできます。

 

そのほかにもエクスプローラーでは、メールを選択し、[メッセージに関する操作] から迷惑メールフォルダに移動や削除することも可能です。

 

 [エクスプローラー] の利用には、E5 プランまたは Microsoft 365 Defender for Office 365 のライセンスが必要です。  

 

今回は、エクスプローラーを利用しメールを削除する方法についてご紹介したいと思います。

 

エクスプローラーは、"セキュリティ管理者" または "セキュリティ閲覧者" の権限を付与したユーザーでも利用することができますが、それだけでは [移動と削除] の項目が表示されず、メールを削除することはできません。

 

[移動と削除] を表示するためには、Microsoft Defender for Office 365 の役割 [Search And Purge] が必要です。

 

グローバル管理者であれば、[移動と削除] の項目は表示され、メールを削除することができます。

 

"セキュリティ管理者" または "セキュリティ閲覧者" の権限を付与したユーザーで利用する場合は、以下のカスタム役割グループの作成手順を実施してください。

 

Microsoft 365 Defender for Office 365 のカスタム役割グループの作成手順例

 

新規役割グループを作成する場合

  1. 全体管理者権限を付与されたアカウントで、Microsoft 365 Defender (https://security.microsoft.com) へアクセスします。
  2. 画面左側メニューから [アクセス許可]、右側画面から [メールと共同作業の役割] 項目の [役割] をクリックします。
  3. [役割グループの作成] をクリックし、[名前] に任意の役割グループ名を入力して [次へ] をクリックします。
  4. [役割の選択] 画面で [役割の選択] をクリックします。
  5. 一覧から [Search And Purge] および任意の役割を選択し、[追加] をクリックします。

    ※ 検索窓で検索もできます。

  1. [次へ] をクリックします。
  2. [メンバーの選択] 画面で [ユーザーの選択] をクリックします。
  3. 一覧から役割を付与するアカウントを選択し、[選択] をクリックします。
  4. [次へ] > [作成] をクリックします。

 

セキュリティ管理者(Security Administorator) のコピーから作成する場合

  1. 全体管理者権限を付与されたアカウントで、Microsoft 365 Defender (https://security.microsoft.com) へアクセスします。
  2. 画面左側メニューから [アクセス許可]、右側画面から [メールと共同作業の役割] 項目の [役割] をクリックします。
  3. [Security Administorator] を選択し、[コピー] をクリックします。
  4. [名前] に任意の役割グループ名を入力して [コピーを作成する] をクリックします。
  5. [役割の選択] 画面にてコピーで作成した役割を選択し [編集] をクリックし [次へ] をクリックします。
  6. [役割グループの役割の編集] 画面で [役割の選択] をクリックし、一覧から [Search And Purge] を追加し [選択] をクリックします。

    ※ 検索窓で検索もできます。

  1. [完了] > [次へ] をクリックします。
  2. [メンバーの選択] 画面で [ユーザーの選択] をクリックします。
  3. 一覧から役割を付与するアカウントを選択し、[選択] をクリックします。
  4. [次へ] > [保存] をクリックします。

 

論理的な削除と物理的な削除について

[Microsoft 365 Defender] > [エクスプローラー] の機能にて、検索結果のメールを選択して [メッセージに関する操作] より、[削除済みアイテムに移動] [物理的な削除] や [論理的な削除] の操作を実行することで、受信者ユーザーのメールボックスより該当メールを削除することができます。

[削除済みアイテムに移動]は、そのままの意味合いで削除済みフォルダに移動する動作ですが、[論理的な削除] と [物理歴な削除] の動作について下記に記載します。

 

論理的な削除について

論理的な削除をしたアイテムは、回復可能なアイテム領域の Deletions に移動させることを指します。

Deletions には、削除済みアイテムフォルダーから削除されたアイテムが格納されております。

このフォルダーは、Outlook および Outlook Web App の "削除済みアイテムの復元機能" により、ユーザー画面に表示されます。

※ 当フォルダーに格納されたアイテムは一定期間 (既定 14日) 経過後、メールボックスから完全削除が行われます。

※ 訴訟ホールドなどの保持機能を有効化なされている場合、各保持機能にもとづいたフォルダーにアイテムは移動され保持されます。

 

物理的な削除について

物理的な削除をしたアイテムは、回復可能なアイテム領域の Purges に移動させることを指します。

Purges には、訴訟ホールド (無期限) または単一アイテムの回復のいずれかが有効 (単一アイテムの回復は既定で有効) である場合、削除されたアイテムが格納されています。

※ ユーザーからは見ること、および、復元ができない領域です。

 

エクスプローラーで削除などを実施する手順

  1. 管理者権限を付与したユーザーにて、[Microsoft 365 Defender (https://security.microsoft.com)] へサインインします。
  2. 左側メニューの[メールとコラボレーション] > [エクスプローラー] の順にクリックします。
  3. [すべてのメール] タブを選択し、上部のカレンダーから対象のアイテムを受信した日時に設定します。

※ 30 日前まで指定が可能です。

  1. 画面下の一覧から対象となるメールアイテムにチェックを入れ、[メッセージに関する操作]をクリックします。

以下の項目から任意の操作を選択します。

・削除済みアイテムに移動

・論理的な削除

・物理的な削除

  1. 名前、説明は任意で入力し、[次へ] をクリックします。
  2. 重要度を任意で指定し、[次へ] をクリックします。
  3. "設定を確認" 画面にて設定など問題ないようであれば、[次へ] をクリックします。
  4. "アクションの送信"画面に移動し、上部に「この修復アクション(承認ID:*****)の状態をアクションセンターで追跡します。アクションセンターでデータが更新されるまで数分かかることがあります」と表示されたら完了です。
  5. "アクションセンター" のリンクをクリックすることでアクションセンターに移動し状況について確認することができます。

※表示されるまで時間がかかります。

 

Microsoft Defender の左メニューの [アクションと報告] > [アクションセンター]でも移動することが可能です。

 

削除したアイテムを復元する場合は以下の記事でご紹介しておりますので参考としてくださいね。

it-bibouroku.hateblo.jp

 

 

【Microsoft365参考書】転送設定とは?ヘッダーFromとReturn-Path(エンベロープFrom)とは?

Microsoft365

転送From

 

受信したメールを自動的に他のユーザーに転送する自動転送設定がExchangeOnlineでは、以下のように複数あります。

 

転送設定

  • 仕分けルール (受信トレイのルール) の転送とリダイレクト
  • Outlook on the web のオプションの転送
  • Microsoft365 管理センターの [アクティブなユーザー] の転送
  • Exchange 管理センターの [メールボックス] の転送(以下の2つの設定が可能です)
  1.  [外部のメールアドレスに転送する (ForwardingSMTPAddress)] 
  2.  [内部のメールアドレスに転送する (ForwardingAddress)]  

 

Outlook on the webのオプションの転送設定と[外部のメールアドレスに転送する]は同じ設定で連動しています。また、Microsoft365管理センターの[アクティブなユーザー]の転送を設定した場合、Outlook on the webのオプションの転送設定にも設定が反映されます。

 

仕分けルール以外の転送設定では、転送元のユーザーでメールを受信せずに転送先にだけメールを受信するように設定することもできます。

 

FromとReturn-Path(エンベロープFrom)とは?

受信したメールのメッセージヘッダーを確認すると、FromとReturn-Pathという値を確認することができます。

Fromはメールの送信者として表示されるメールアドレスでReturn-Pathは本来の送信者という意味合いです。もしエラーなどになり配信不能通知(NDR) が返される場合は、Retrun-Pathのアドレスに返されます。

基本的にはFromとReturn-Pathは一緒のアドレスですが、異なる場合もあります。

転送設定によっても違いますので以下にまとめました。

 

仕分けルールの転送

Return-Path : 転送元アドレス

From : 転送元アドレス

 

仕分けルールのリダイレクト

Return-Path : 転送元アドレス

From : 送信者アドレス

 

Outlook on the webオプションの転送

Return-Path : 送信者アドレス

From : 送信者アドレス

 

[内部のメールアドレスに転送する (ForwardingAddress)] 

Return-Path : 送信者アドレス

From : 送信者アドレス

 

[外部のメールアドレスに転送する (ForwardingSMTPAddress)]

Return-Path : 送信者アドレス

From : 送信者アドレス

 

手動で転送した場合

 Return-Path : 転送元アドレス

From : 転送元アドレス

 

ヘッダー情報については以下の記事でご紹介しておりますので参考としてくださいね。

it-bibouroku.hateblo.jp