MC1093237の内容
メッセージセンターのMC1093237 として、オンプレミスやサードパーティー製のシステムなど (外部) から Microsoft365 テナントに登録している承認済みドメインを送信元ドメインとして直接送信されたメールをブロックする機能が実装されることが公開されました。
なお、送信元ドメインは、ヘッダーFromではなく、エンベロープFromだけを見ているようです。
また、既定のドメインである "<テナントドメイン>.onmicrosoft.com" は本設定の対象にはなりません。
以下の条件にすべて合致するメールがブロックの対象となります。
例として、テナントに contoso.com の承認済みドメインが登録されている場合は以下のとおりです。
対象となる
ヘッダーFrom : user@contoso.com
エンベロープFrom : user@contoso.com
対象とならない
ヘッダーFrom : user@contoso.com
エンベロープFrom : user@yahoo.co.jp
ヘッダーFrom : user@yahoo.co.jp
エンベロープFrom : user@yahoo.co.jp
承認済みドメインについては、以下の記事をご参照ください。
設定したほうがいいのか?
外部のサーバーからエンベロープ From を自身のテナントに登録されているドメインを利用して送信してくるメールをブロックする機能であるため、外部サーバーから承認済みドメインを利用して送信する運用をしていないのであれば、有効にしてもいいと思いますが、少しでも実際の運用に影響がありそうであれば、有効にしなければ現状維持の状態になるだけであり、有効にする必要はないのかなと思います。
設定方法
以下のコマンドレットのパラメータによりブロックすることが可能となります。
ExchangeOnlineに接続してから実行します。
<コマンド>
Set-OrganizationConfig -RejectDirectSend $true
既定値は False であり、直接送信を許可する状態です。
設定を確認する場合は、以下のコマンドで可能です。
<コマンド>
Get-OrganizationConfig | Select RejectDirectSend
※True になっていれば、機能は有効化されています。
回避する方法
送信元ドメインが承認済みドメインである直接送信であっても、受信コネクタを経由し配信されるフローを構成されている場合は、ブロックされずに受信することが可能です。
そのため、機能を有効化し、特定の送信元からの直接送信はブロックしないように設定したい場合は、受信コネクタに送信元のIPアドレスを登録しておけば可能です。
なお、受信コネクタはパートナータイプのコネクタで可能であり、IPアドレス、または、証明書でも認証でも可能です。
受信コネクタについては、以下の記事をご参照ください。
ブロックされた場合、どのようなエラーが返されるか?
設定変更は 30 分以内に反映され、この機能を有効にすると、直接送信によるメールを受信した場合、以下の配信不能通知 (NDR) が送信元に返されます。
エラー内容
550 5.7.68 TenantInboundAttribution; Direct Send not allowed for this organization from unauthorized sources
留意点
内部ユーザーが外部ユーザーにメールを送信した場合に、外部ユーザーが転送設定で同一テナントの内部ユーザーに転送した場合は、外部から承認済みドメインを送信元ドメインとしてメールを送信されるため、ブロックされてしまうようです。
直接送信については、以下の記事をご参照ください。
