MENU
  1. ホーム
  2. Microsoft 365
  3. メール
  4. Microsoft 365 管理センターからできる「ドメイン認証」とメール送信エラー対策

Microsoft 365 管理センターからできる「ドメイン認証」とメール送信エラー対策

Microsoft 365 メール

「自社からのメールが取引先の迷惑メールフォルダに入ってしまう」
「重要なメールが相手に届いていない」

Microsoft 365(Exchange Online)を使っていて、こんなトラブルに遭遇したことはありませんか?

実は、2024年2月以降、GmailやYahoo!メールなどの主要メールサービスは、SPF、DKIMといった送信ドメイン認証を必須とするガイドラインを導入しました。
適切な設定がされていないメールは、迷惑メール扱いされたり、最悪の場合は受信拒否されてしまう時代になっています。

本記事では、Microsoft 365管理センターから誰でも確認・設定できる「ドメイン認証」の基本と、SPF・DKIM・DMARCという3つの送信ドメイン認証技術について、実務に即して分かりやすく解説します。

そもそも「送信ドメイン認証」とは?

なりすましメールの脅威

メールの差出人は、技術的には簡単に偽装できます。
このため、実在する企業や組織になりすました「フィッシングメール」のマルウェアメールが、日々大量に送信されています。

送信ドメイン認証とは、正しい送信者からメールが送られたかどうかを受信者側が検証できるようにすることで、なりすましメールを防止する技術です。

3つの認証技術:SPF・DKIM・DMARC

送信ドメイン認証には、主に以下の3つの技術があります:

  1. SPF(Sender Policy Framework):送信元のIPアドレスを検証
  2. DKIM(DomainKeys Identified Mail):電子署名でメールの改ざんを検証
  3. DMARC(Domain-based Message Authentication, Reporting and Conformance):SPFとDKIMの結果に基づいて、認証失敗時の処理方法を指定

SPF、DKIM、DMARCが連携して電子メールメッセージの送信者を認証することで、なりすましメールを効果的に防ぐことができます。

まだ分かりにくいでしょうか?
解説を工夫してみます。

たとえば――
お友だちの「たろうくん」の名前で手紙が届いたとします。

でも、
その手紙は本当にたろうくんが書いたものかどうか、見ただけではわかりません?

実はメールも同じです。

メールの「From(差出人)」は、うそを書こうと思えば、かんたんに書けてしまいます。
だから、悪い人が

  • 有名な会社のふりをする
  • 銀行のふりをする
  • 先生のふりをする

といった「なりすましメール」を送ることができてしまうのです。

これを防ぐためのしくみが
送信ドメイン認証です。

送信ドメイン認証には、3人のチェックマンがいます。

1. SPF(エスピーエフ)

「この人、本当にこの場所から送っていい人?」

SPFは、
「この会社のメールは、この決まった場所(IPアドレス)からしか送られませんよ」
というルールをチェックします。

もし違う場所から送られていたら、

「あれ? なんかおかしいぞ?」

となります。

2. DKIM(ディーキム)

「この手紙、途中で書きかえられていない?」

DKIMは、メールに**特別なサイン(電子署名)**をつけます。

届いたときにそのサインを確認して、

  • 本物かどうか
  • 途中で内容を書きかえられていないか

をチェックします。

3. DMARC(ディーマーク)

「もしニセモノだったら、どうする?」

DMARCは、SPFとDKIMの結果を見て、

  • ゴミ箱に入れる
  • 受信拒否する
  • いちおう受け取るけど注意マークをつける

などのルールを決めます。

3つがそろうとどうなる?

  • SPF → 送っていい場所かチェック
  • DKIM → 内容が本物かチェック
  • DMARC → ニセモノだったらどうするか決める

この3つが力を合わせることで、

なりすましメールを見つけやすくなる
フィッシングメールを減らせる

ようになります。

Microsoft 365管理センターでの確認方法

ドメインの設定状況を確認する

Microsoft 365でドメイン認証の状態を確認するには、以下の手順で進めます

  1. Microsoft 365管理センターhttps://admin.cloud.microsoft/)にアクセス
  2. 左メニューから**[設定] > [ドメイン]**を選択
  3. 確認したい独自ドメインをクリック
  4. **[DNSレコード]**タブを確認

ここで、SPFやDKIMに必要なDNSレコードの情報が表示されます。
※独自ドメインの所有権の確認 (Microsoft 365 に独自ドメインを登録) ができていない場合は
表示されません。

SPFレコードの確認

ドメインの「DNS レコード」より、Microsoft Exchange 項目に表示されている TXT レコードの値を確認できます。

Microsoft 365の場合、SPFレコードは通常以下のような形式になります:

v=spf1 include:spf.protection.outlook.com -all

このレコードが、DNSサーバ側に正しく登録されているかを確認する必要があります。

SPF(Sender Policy Framework)の設定

SPFの仕組み

SPFは、ドメインのメールを送信する権限を持つソースメールサーバーを指定します。

具体的には:

  1. 送信側:DNSにSPFレコード(TXTレコード)を登録し、ドメインからメールを送信できるIPアドレスを公開
  2. 受信側:メール受信時に、送信元IPアドレスとSPFレコードを照合
  3. 一致すれば正規のメール、不一致ならなりすましの可能性と判断

簡単に説明すると、
このドメインは、○△という場所から送りますよ、と登録しておきます。
受け取る側は、○△からメールが来たかどうかを確認すれば、
正しいところから来たメールだなと判断できるのわけです。

Microsoft 365でのSPF設定手順

1. SPFレコードの値を確認

Microsoft 365管理センターで、設定すべきSPFレコードの値を確認します

  • 管理センター > 設定 > ドメイン > 対象ドメインを選択 > DNSレコードタブ
  • Exchange Onlineの項目にあるTXTレコードの値をコピー

2. DNSプロバイダーでレコードを追加

ご利用のDNSサービス(お名前.com、Cloudflare、Route 53など)の管理画面から、以下のレコードを追加します:

  • 種類:TXT
  • 名前:@ または ドメイン名
  • v=spf1 include:spf.protection.outlook.com -all

3. 反映を待つ

DNSの変更は、数分~48時間程度で反映されます。

参考:カスタム クラウド ドメインの有効なメール ソースを識別するように SPF を設定する



DKIM(DomainKeys Identified Mail)について

DKIMの仕組み

DKIMは、ドメインを使用してメッセージの重要な要素にデジタル署名し、
メッセージが転送中に変更されないようにします。

仕組みは以下の通りです:

  1. 送信側:秘密鍵でメールに電子署名を付与
  2. 送信側:公開鍵をDNSに公開
  3. 受信側:公開鍵を使って署名を検証し、メールが改ざんされていないことを確認

まあ、
簡単に言うと、
メールについている秘密鍵と登録されている公開鍵が
ピッタリ合うと改ざんされていないなってわかるってことです。

参考:クラウド ドメインからメールに署名するように DKIM を設定する



DMARC(Domain-based Message Authentication, Reporting and Conformance)の設定

DMARCの仕組み

DMARCは、ドメイン内の送信者のSPFまたはDKIMチェックに失敗するメッセージのアクションを指定し、DMARC結果を送信する場所を指定します。

DMARCは以下を実現します:

  1. SPFとDKIMの認証結果を総合的に判断
  2. 認証失敗時の処理方法(「何もしない」「隔離」「拒否」)を受信側に指示
  3. 認証結果のレポートを受け取る

Microsoft 365でのDMARC設定手順

DMARCは、DNSにTXTレコードを追加するだけで設定できます。

1. DMARCポリシーを決定

以下の3つのポリシーから選択します:

  • p=none:認証失敗でも何もしない(レポートのみ受け取る)
  • p=quarantine:認証失敗時は隔離(迷惑メールフォルダへ)
  • p=reject:認証失敗時は拒否(受信しない)

推奨される段階的アプローチ

  1. まずp=noneでレポートを収集
  2. 問題がないことを確認したらp=quarantineに変更
  3. 最終的にp=rejectに強化

2. DMARCレコードの例

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; pct=100; adkim=r; aspf=r

各パラメータの意味:

  • v=DMARC1:DMARCバージョン1
  • p=quarantine:認証失敗時は隔離
  • rua=mailto:...:集計レポートの送信先
  • pct=100:ポリシーを適用する割合(100%)
  • adkim=r:DKIM認証の緩和モード
  • aspf=r:SPF認証の緩和モード

3. DNSプロバイダーでTXTレコードを追加

  • 種類:TXT
  • 名前_dmarc
  • :上記のDMARCポリシー文字列


参考:クラウド送信者の差出人アドレス ドメインを検証するように DMARC を設定する

送信ドメイン認証(SPF・DKIM・DMARC)の設定は、一見複雑に見えるかもしれませんが、理解できれば比較的簡単に設定できます。

まだ設定していない場合は、今すぐMicrosoft 365管理センターの「ドメイン」画面から現在の設定状況を確認し、必要なDNSレコードを追加しましょう。

メールは今もビジネスの重要なコミュニケーション手段です。
適切な設定で、安心・確実なメール運用を実現しましょう。

免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。

Microsoft 365 メール
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

Connect Keyのアバター Connect Key

関連記事