デフォルトでは、Microsoft 365は、DMARCポリシーが拒否のドメインのDMARCに失敗したインバウンドメールを、ポリシーが隔離の場合と同じように処理します。
Microsoft 365がDMARCに失敗した受信メールをどのように処理するかについては、こちらをご覧ください。
管理者はアンチフィッシング・ポリシーを設定することで、「なりすまし」と判断されたメールに対して取るべきアクションを指定することができる。
結局のところ、拒否のDMARCポリシーを導入するプロセスを経たドメイン所有者は、メールが拒否されたことをアラートで知らせたいと思うだろう。また、自分のドメインがスプーフィングされている場合に、DMARCに失敗したメールを拒否したい場合もあるでしょう。これは、Exchangeメールフロールールを使用することで実現できます。
ドメインが拒否ポリシーを公開している場合にDMARCに失敗したメールは、Microsoft 365によってAuthentication-Resultsヘッダーに以下のようにマークされます。
dmarc=fail action=oreject
メール・フロー・ルールの目的は、Authentication-Resultsヘッダー内のこの特定のテキストを検索し、エラー・メッセージとともに電子メールを拒否することである。action=oreject部分はoverride rejectを意味する。
Authentication-resultsメッセージヘッダに関するマイクロソフトの詳細はこちら。
メールフロールールの作成手順
- https://admin.exchange.microsoft.com/ から Exchange 管理センターにアクセスしてください。
- 左側のメニューで、メールフロー -> ルールをクリックします。
- 新しいルールを作成し、「DMARC Action Reject」など、わかりやすい名前を付けます。
- ルール設定ウィンドウの下部にあるMore Optionsをクリックする。
- Apply this rule if…]ドロップダウンで、[A message header includes]オプションを選択する。
- 以下のスクリーンショットのように、ヘッダーの名前と探しているものを入力する。
- Do the following…]ドロップダウンメニューの[Reject the message with the explanation…]オプションを選択する。拒否の原因であるDMARCに関する短く明確なメッセージを指定します。
- メッセージの送信者アドレスを一致させる」オプションは、必ず「ヘッダー」に設定してください。
- 保存をクリックする。
上記のルールを有効にすると、このルールによって拒否されたメッセージは、送信者に対して以下のようなメッセージを含む配達状況通知を生成する。
recipient@example.com へのメッセージは届きませんでした。
example.comの管理者によって作成されたカスタムメールフロールールがあなたのメッセージをブロックしました。 送信者ドメイン
DMARC ポリシーにより拒否されました。
ご覧のように、説明文は、送信者が拒否の理由を理解できるようにするために、このルールの重要な側面です。
Microsoft 365 のメール フロー ルールは強力なツールになります。ここでは、メールを拒否するアクションを設定する前にルールをテストする手段として、レビューするために管理者にリダイレクトするなど、別のアクションを指定するオプションもあります。また、送信者や受信者の条件を追加して、ルールの範囲を特定の人やドメインに限定することもできます。
ルールが有効になったら、Exchange 管理センターの Exchange トランスポートルールのレポートページに移動して、ルールの実 行状況を確認できます。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
