社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】MC640228 DMARC 認証に失敗した際にメールを処理するようになった?

Microsoft365

 

MC640228 にて、DMARC 認証に失敗した際に送信元ドメインに設定されている DMARC レコードのアクションに従って、メールを処理する機能が実装されたことが公開されました。

 

DMARC 認証の失敗時には、送信元が設定している DMARC レコードのアクションに従って受信側がメールを処理することが期待されますが、これまで Exchange Online では外部から受信したメールの送信者の DMARC 認証に失敗した場合に、送信元ドメインの DMARC ポリシーが [p=quarantine] や [p=reject] であっても、一律に [SPOOF (なりすまし)] として扱っていました。

 

そのため、受信テナントの [フィッシング対策ポリシー] の [メッセージがスプーフィング インテリジェンスによってスプーフィングとして検出された場合] で設定されているアクション (規定値は [メッセージを受信者の迷惑メール フォルダーに移動します]) に従って動作していました。

 

MC640228 の機能実装により、[フィッシング対策ポリシー] の設定内に [メッセージがなりすましとして検出された場合に DMARC レコード ポリシーを優先する] 項目 (チェックボックス) が追加されました。
本項目は既定で有効であり、チェックボックスにチェックが付きます。

 

[メッセージを拒否する] にて受信を拒否している場合は、[550 5.7.1 This message failed DMARC evaluation of domain microsoft.com and was rejected as per DMARC policy. Contact your administrator if this was a legitimate email.] のエラー内容が記載された配信不能通知 (NDR) が送信者に返ります。
また、受信拒否したメールについては、メッセージ追跡の包括的レポートのログからも、上記エラーコードが確認できます。


該当項目を画面から確認するための具体的な操作手順をご紹介します。

 

 

 

 [フィッシング対策] ポリシーの [メッセージがなりすましとして検出された場合に DMARC レコードポリシーを優先する] の設定の確認方法

1. 管理者権限を付与したアカウントにて、Microsoft 365 Defender (https://security.microsoft.com) にサインインします。
2. 左側メニューより [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] の順にクリックします。
3. ポリシーを選択します。
4. 画面右側に表示されたポリシーの設定画面の下方にある [アクションの編集] をクリックします。
5. [アクションの編集] 画面に [メッセージがなりすましとして検出された場合に DMARC レコードポリシーを優先する] のチェックボックスがあります。

チェックボックスにチェックが付いている場合は、送信元ドメインの DMARC ポリシーが [p=quarantine] や [p=reject] の状態で、DMARC 認証に失敗した際に、Exchange Online でどのように処理するかを、以下のいずれかから任意に設定することが今後可能となります。

 

p=quarantine の場合

・メッセージを検疫する (既定値です。)
・メッセージを受信者の迷惑メール フォルダーに移動します

 

p=reject の場合

・メッセージを検疫する
・メッセージを拒否する (既定値です。)


なお、MC640228の変更前と同じ状況に戻すには、[フィッシング対策ポリシー] で [メッセージがなりすましとして検出された場合に DMARC レコード ポリシーを優先する] 項目のチェックを外して無効化することで可能です。


フィッシング対策ポリシーによりなりすまし (SPOOF) と判定された場合は、[メッセージがスプーフィング インテリジェンスによってスプーフィングとして検出された場合] 項目で設定されているアクションに従って動作します。
既定の値は [メッセージを受信者の迷惑メール フォルダーに移動します] です。

 

 

 

[フィッシング対策] ポリシーの [メッセージがなりすましとして検出された場合に DMARC レコードポリシーを優先する] を無効化する手順

1. 管理者権限を付与したアカウントにて、Microsoft 365 Defender (https://security.microsoft.com) にサインインします。
2. 左側メニューより [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] の順にクリックします。
3. ポリシーを選択します。
4. 画面右側に表示されたポリシーの設定画面の下方にある [アクションの編集] をクリックします。
4. [アクションの編集] 画面の [メッセージがなりすましとして検出された場合に DMARC レコードポリシーを優先する] のチェックボックスのチェックを外して [保存] します。

 

ドメインの [p=quarantine] [p=reject] の設定を確認する場合、Powershell を使用して、DMARC 設定を確認することができます。

 

nslookup 確認例

nslookup -type=txt _dmarc.<独自ドメイン>

 

実行例

nslookup -type=txt _dmarc.contoso.com

 

learn.microsoft.com

 

また、DMARC のメール認証チェックの結果は、受信メッセージの Authentication-results メッセージ ヘッダーに記録されます。
該当メールのメッセージ ヘッダーより、"dmarc=" で始まる情報をご確認ください。

"pass" や "fail" の場合は、DMARC チェックされている状態です。
"bestguesspass" や "none" の場合は、ドメインに DMARC TXT レコードが存在しないことを示します。