Office 365にDMARCを追加する

MicrosoftのOffice 365プラットフォームは、DMARC（Domain-based Message Authentication, Reporting, and Conformance）をサポートしています。マイクロソフトの完全なガイドはここに記載されています。

SPFレコード
インバウンドとアウトバウンド
サードパーティセキュアEメールゲートウェイ
ステップ１
ステップ２
無料相談開催中！

SPFレコード

まずはSPFとDKIMの設定を見直すことから始めましょう。また、なりすましを防止するために、Microsoftのガイド「Set up SPF in Office 365」をお勧めする。SPF レコードがどのようにフォーマットされるかは、Office 365 が唯一のサービスかどうかによって異なります。

Office 365のみを使用している場合
v=spf1 mx include:spf.protection.outlook.com ?all

他のサービスも使っている場合は、既存のSPFに「include:spf.protection.outlook.comを追加して、以下のようにします。
v=spf1 include:spf.serviceA.com include:spf.protection.outlook.com ?all

SPFレコードが正しく実装されていることを確信したら、?allを-allに変更する。

インバウンドとアウトバウンド

上記の記事で、マイクロソフトはインバウンドとアウトバウンドベースのメールを区別している。DMARCの観点からは、プロトコルの重要な側面は、偽メールから正規のメールを識別することであり、送信先についてはそれほど気にする必要はない。しかし、この用語はDMARCの実装に関連しており、異なる組織の管理およびサポート責任を反映しています。つまり、インバウンドメールはITオペレーションによって管理およびサポートされ、アウトバウンドメールはマーケティング、カスタマーケアおよびその他の機能チームによって管理されます。インバウンドとアウトバウンドメールのDMARCの実装は、SPFとDKIMレコード管理の同じガイドラインに従います。しかし、アウトバウンドメールでは、サブドメイン、フルまたはCNAME、手動ベースの委任、基本的なサードパーティベンダーの管理について考える必要があります。

サードパーティセキュアEメールゲートウェイ

Office 365の契約者は、Gmailの契約者よりも、サードパーティの電子メールクラウドフィルタリングサービスを受信レイヤーとして追加しているようだ：ProofPoint、Cisco、Forcepoint(Websense)、Symantec、Mimecastなど。

これらは、従来の電子メールセキュアゲートウェイに分類され、そのインフラストラクチャに電子メールをルーティングするためにMXレコードを変更する必要があります。Office 365はこれらのサードパーティゲートウェイの背後にありますが、SPF、DKIM、DMARCレコードの検証は行われます。このため、インバウンドとアウトバウンドの両方で、対処すべき多くの問題が発生する。例えばインバウンドでは、送信元がサードパーティのメールゲートウェイとして表示されるため、Office 365のSPF検証は失敗します。サードパーティのメールゲートウェイがすべての送信メールに免責事項を追加すると、Office 365ベースのDKIM署名が失敗するためです。

ステップ１

DMARCレコードを作成し、ドメインのサブドメインに_dmarc.yourdomain.comの形式で追加します（先頭にアンダースコアを忘れないでください）。

記録の作成にはいくつかのオプションがある。

dmarcianのDMARCレコードウィザードを使用してレコードを生成 – 基本的な技術的専門知識が必要で、すべてのメールは指定された受信トレイに送信されます。
DMARCレコードが作成され、ドメインのDNSにどのように配置するかガイダンスが表示されます。レポートはdmarcianのダッシュボードに送信され、解釈しやすくなります。