[MC835648] で承認済みドメインの IPv6 が有効化されるとの情報が公開されました。
Microsoft365 テナントに登録されている承認済みドメインの IPv6 が有効化されることで外部からメールを受信した場合に、MX レコードを参照する際の Exchange Online のエンドポイント (接続先) として、今まではIPv4 アドレス(Aレコード)が返されていましたが、IPv6 アドレス(AAAAレコード)も返されるようになるというものです。
AAAAレコードは、AレコードではIPアドレスの長さがIPv4では32ビットですが、IPv6では128ビットになり、4倍に増えているため、AAAAレコードと表記されます。AAAAレコードを参照してホスト名からIPアドレスを割り出す操作を[正引き]といいますが、逆に、IPアドレスにホスト名を対応付ける情報は PTRレコードと呼ばれ、これを参照してIPアドレスからホスト名を割り出す操作を [逆引き]といいます。
この変更による影響は、ネットワーク環境でプロキシやファイアーウォールで外部との通信を制限している場合、Microsoft 365 の各サービスの IP アドレスや URL との通信の許可登録が必要となりますが、IPv4 のアドレスだけでは無く、IPv6 のアドレスに関しても許可登録が必要となります。
IPv4で通信している場合はそのまま利用できますので、IPv6での通信をしている場合は許可登録が必要になります。
そのため、以下の両方の内容に当てはまらない場合は特に影響はないと考えてもいいです。
また、受信するという点ではあまり影響はないですが、外部の送信元が IPv6 を利用している場合に以下の 2 点の要件を満たしていないと受信が拒否されるという影響があります。
現状、そこまでIPv6で送信するのが主流ではないので影響は少ないのかなと思います。
organizationがオプトインした後、ソース IPv6 メール サーバーが次の両方の要件を満たしている限り、organizationは IPv6 経由で匿名受信メールを受信できます。
・ソース IPv6 アドレスには、IPv6 アドレスからドメイン名を検索できる有効な逆引き DNS ルックアップ (PTR) レコードが必要です。
・また、送信者は、SPF 検証 (RFC 7208 で既定されている) と DKIM 検証 ( RFC 6376 で既定されている) のどちらかに合格する必要があります。
匿名受信メールは、外部から IPv6 を利用して送信してきたメールのことです。
IPv6の有効化を回避するには?
承認済みドメインの IPv6 の有効化を回避し、現在の動作である IPv4 アドレスのみ返すようにしたい場合、Powershell のコマンドレットでオプトアウトを実行することで可能です。
なお、10 月 16 日までにオプトアウトが実行されていない場合は、IPv6 が有効となるようです。
承認済みドメインの IPv6 有効化のオプトアウト実行手順をご紹介します。
以下の記事の手順にて、管理者にてExchange Online に接続してから実行してください。
現在の承認済みドメインの IPv6 の状況を確認するには?
<構文>
Get-IPv6StatusForAcceptedDomain -Domain "対象の承認済みドメイン"
<実行例>
Get-IPv6StatusForAcceptedDomain -Domain "contoso.com"
<出力結果>
[Status] : Enabled(IPv6が有効)、Disabled(IPv6が無効)
すべての承認済みドメインの状態を一括で見ることができないようで、ドメインごとに確認する必要があります。
承認済みドメインの IPv6 の有効化をオプトアウトするには?
<構文>
Disable-IPv6ForAcceptedDomain -Domain "対象の承認済みドメイン"
<実行例>
Disable-IPv6ForAcceptedDomain -Domain "contoso.com"
コマンドレットを実行後に Get-IPv6ForAcceptedDomain を実行し、[Status] が "Disabled" になったら、オプトアウトが適用されています。
登録されているすべての承認済みドメインのIPv6の有効化をオプトアウトするには?
<実行例>
Get-AcceptedDomain -ResultSize unlimited | foreach {Disable-IPv6ForAcceptedDomain -Domain $_.DomainName}