送信元サーバーから中継サーバーを経由し、Exchange Online で受信しているメールフローである場合、SPF 認証や DKIM 認証の際に中継サーバーの送信元 IP アドレスから判定をおこないます。
そのため、SPF 認証や DKIM 認証に失敗し、DMARCポリシーにより拒否されることが想定されます。
それを回避する方法として、[拡張フィルタリング] の機能を利用することで、外部インターネットからオンプレミスサーバーなど中継サーバーを経由して Exchange Online へ配送されるメールに対し、Exchange Online にメールを受け渡した直前のサーバーではなく送信元の IP アドレスを参照して SPF 認証や DKIM 認証をを行うことができます。
拡張フィルタリングを利用する場合は、受信コネクタを設定する必要があります。
Exchange Online に接続した送信元 IP アドレスはメッセージヘッダー情報上 [CIP] にて確認が可能ですが、
そのため、トランスポートルールで [送信者] > [IP アドレスが次の範囲内にあるか、完全に一致する] を条件としたルールを作成している場合は、最後に Exchange Online に接続したサーバーの IP アドレスを指定する必要があり、メッセージヘッダーの [CIP] の IP アドレスを指定する構成となるため、送信元サーバーの送信元IPアドレスを指定している場合は動作しないことをご注意ください。
[メッセージヘッダー] > [次のテキストパターンと一致する] を条件として"X-MS-Exchange-ExternalOriginalInternetSender"の値で送信元サーバーの送信IPアドレスを指定することで動作することができます。
それでは、受信コネクタと拡張フィルタリングの設定方法についてご紹介したいと思います。
受信コネクタの設定手順例
- 全体管理者の権限を付与したアカウントで、Exchange 管理センター (https://admin.exchange.microsoft.com/) にサインインします。
- 左側メニューより [メールフロー] > [コネクタ] をクリックします。
- 右側画面の [+ コネクタを追加] をクリックします。
- [新しいコネクタ] 画面で [パートナー組織] を選択し、[次] をクリックします。
- [コネクタ名] 画面で [名前] を任意に入力し、[次] をクリックします。
- [送信メールを認証する] 画面で [送信側サーバーの IP アドレスが、パートナー組織に属している次の IP アドレスのいずれかと一致することを確認する] を選択します。
- 入力欄に送信元の送信 IP アドレス (大元の送信元サーバーの IP アドレス) を入力して [+] をクリックし、欄の下に表示されたことを確認してから [次] をクリックします。
※ 複数の IP アドレスや CIDR 表記の範囲指定も可能です。
- [セキュリティの制限] 画面で [メッセージが TLS 経由で送信されていない場合は拒否する] を運用に応じて設定します。
- [コネクタを確認する] 画面で設定内容を確認し、問題がなければ [コネクタを作成] をクリックします。
拡張フィルタリングの設定手順例
- 全体管理者の権限を付与したアカウントで、Microsoft 365 Defender (https://security.microsoft.com) へアクセスします。
- 左側メニューより [ポリシーとルール]、右側画面から [脅威のポリシー] > [拡張フィルタリング] をクリックします。
- 一覧から、上記にて作成した受信コネクタを選択します。
- [IP アドレスをスキップする] で任意の項目を選択します。
・コネクタの拡張フィルタリングを無効にする (初期値) : 拡張フィルタリングを無効にします。
・自動的に検出して最後の IP アドレスをスキップする : Exchange Online にメールを受け渡すサーバーの IP アドレスを自動的に検出してスキップします。
・コネクタに関連付けされたこれらの IP アドレスをスキップする : スキップさせたい任意の IP アドレスを指定します。
- [これらのユーザーに適用する] にて、"組織全体に適用する" を選択します。
- [保存] をクリックします。
複数の中継サーバーを利用している場合は、[コネクタに関連付けされたこれらの IP アドレスをスキップする]でそれぞれの中継サーバーのIPアドレスを指定することで可能です。
なお、MXレコードをセキュリティサーバーなど中継サーバーをポイントして、中継サーバーからExchangeOnlineにルーティングする構成をしているシナリオも多いと思いますが、そのシナリオの場合は、拡張フィルタリングを設定していないとDMARCポリシーが動作しないことを確認しています。
以下の記事で書いてますのでご参照くださいね。
SPF認証、DKIM認証については以下の記事でご紹介しておりますので参考としてくださいね。