365のメールにDKIM/DMARCを追加する方法

最近、365の管理画面にこんなメッセージが出るようになりました。「メールにSPF, DKIM, DMARCレコードを追加してください」との内容です。

Gmailのガイドライン変更によってメールが届かなくなる可能性が出てきてしまった影響のようです。

SPFは既に登録されている会社がほとんどだと思いますので、365にDKIM, DMARCを設定する方法をご紹介します。

DKIM

DKIMは、

• 秘密鍵と公開鍵のペアを作成
• 公開鍵をDNSサーバーに公開
• 送信者は秘密鍵でメールに署名を作成
• 受信者は受信したメールの署名を公開鍵で照合

する仕組みとのことです。

365管理→セキュリティ→ポリシーとルール→脅威ポリシー→メールの認証の設定→設定したい独自ドメインより、DKIMキーを作成します。

指示された2つのCNAMEレコードをDNSゾーンに追加します。

もう一度365管理→セキュリティ→ポリシーとルール→脅威ポリシー→メールの認証の設定より、DKIMセキュリティ有効にします。

確認サイトで確認して問題なければ完了です。

DMARC

DMARCは、

• FROMアドレスのドメインとSPF/DKIMで検証したドメインが一致することを確認し、
• 確認に失敗した場合の処理方法を定義

します。

処理方法としては、

• none: ドメイン所有者は何も要求しない
• quarantine: ドメイン所有者が受信者に対してスパムメールとして扱われることを希望する
• reject: ドメイン所有者が受信者に対して受信を拒否することを希望する

の3つがあります。

尚、マイクロソフトは、noneから開始し、quarantine、rejectの順で厳しくしていく手順を推奨しています。

共有メールボックスの作成

事前にdmarc@your-domainのような共有メールボックスを作成しておきます。これはDMARCレポートの送信先として利用するためです。

メールアドレスは設定するドメインと同じでないといけません。

DNSレコードの登録

DNSに"_dmarc"のTXTレコードを追加します。以下はszx.jpの場合の設定例です。

v=DMARC1; p=none; pct=100; rua=mailto:dmarc@szx.jp; ruf=mailto:dmarc@szx.jp

確認サイトで確認して問題なければ完了です。

公式ドキュメント

• Microsoft 365 ドメインからのメールに署名するように DKIM を設定する
• Microsoft 365 で送信者の差出人アドレス ドメインを検証するように DMARC を設定する