次の方法で共有

信頼できる ARC シーラーを構成する

電子メール認証 は、Microsoft 365 組織との間で送受信されるメールを検証し、ビジネス メール侵害 (BEC)、ランサムウェア、その他のフィッシング攻撃で使用されるなりすまし送信者を防ぐのに役立ちます。

ただし、一部の正当なメール サービスでは、メッセージが Microsoft 365 組織に配信される前にメッセージが変更される場合があります。 転送中の受信メッセージを変更すると、Microsoft 365 で次の電子メール認証エラーが発生する可能性があります。

  • SPF は、新しいメッセージ ソース (IP アドレス) のために失敗します。
  • コンテンツの変更により DKIM が失敗します。
  • DMARC は SPF および DKIM エラーのために失敗します。

認証された受信チェーン (ARC) は、正当な電子メール サービスによるメッセージの変更による受信電子メール認証エラーを減らすのに役立ちます。 ARC は、電子メール サービスで元の電子メール認証情報を保持します。 メッセージを変更したサービスを信頼し、電子メール認証チェックでその元の情報を使用するように Microsoft 365 組織を構成できます。

信頼できる ARC シールを使用するタイミング

Microsoft 365 組織は、Microsoft 365 受信者に配信されたメッセージが次の方法で定期的に影響を受ける場合にのみ、信頼できる ARC シーラーを識別する必要があります。

  • 中間サービスは、メッセージ ヘッダーまたは電子メール コンテンツを変更します。
  • メッセージの変更により、他の理由で認証が失敗します (添付ファイルを削除するなど)。

管理者が Defender ポータルで信頼できる ARC シーラーを追加した後、Microsoft 365 は ARC シーラーが提供する元の電子メール認証情報を使用して、サービスを通じて Microsoft 365 に送信されるメッセージを検証します。

ヒント

Microsoft 365 組織で信頼できる ARC シーラーとして、正当で必要なサービスのみを追加します。 このアクションは、影響を受けるメッセージが電子メール認証チェックに合格するのに役立ち、正当なメッセージが電子メール認証エラーのために迷惑メール フォルダーに配信されたり、検疫されたり、拒否されたりするのを防ぎます。

はじめに把握しておくべき情報

  • https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [電子メール認証設定] ページに直接移動するには、https://security.microsoft.com/authenticationを使用します。

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Office 365 の既定のアクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。

    • Exchange Online のアクセス許可: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。

    • Microsoft Entra のアクセス許可: グローバル管理者ロール*またはセキュリティ管理者ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

      重要

      * Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

Microsoft Defender ポータルを使用して信頼できる ARC シーラーを追加する

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[Email & Collaboration>Policies & Rules>Threat policies>Email Authentication Settings in the Rules section >ARC に移動します。 または、[ 電子メール認証設定 ] ページに直接移動するには、 https://security.microsoft.com/authenticationを使用します。

  2. [ 電子メール認証設定 ] ページで、[ ARC ] タブが選択されていることを確認し、[ 追加] を選択します。

    ヒント

    [ARC] タブに信頼できるシーラーが既に一覧表示されている場合は、[編集] を選択します。

  3. 開いた [ 信頼できる ARC シーラーの追加] ポップアップで、ボックスに信頼された署名ドメイン (たとえば、fabrikam.com) を入力します。

    ドメイン名は、影響を受けるメッセージの ARC-Seal ヘッダーと ARC-Message-Signature ヘッダーd 値に表示されるドメインと一致する必要があります。 メッセージ ヘッダーを表示するには、次のメソッドを使用します。

    必要な回数だけこの手順を繰り返します。 既存のエントリを削除するには、エントリの横にある [ ] を選択します。

    [信頼できる ARC シーラーの追加] ポップアップが完了したら、[保存] を選択します

Exchange Online PowerShell を使用して信頼できる ARC シーラーを追加する

PowerShell を使用して信頼された ARC シーラーを表示、追加、または削除する場合は、 Exchange Online PowerShell に接続して次のコマンドを実行します。

  • 既存の信頼できる ARC シーラーを表示する

    Get-ArcConfig

    信頼された ARC シーラーが構成されていない場合、コマンドは結果を返しません。

  • 信頼できる ARC シーラーを追加または削除する

    既存の ARC シーラーを指定した値に 置き換えるには 、次の構文を使用します。

    Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

    TenantId\ 値は、委任された組織でのみ、独自の組織では必要ありません。 これは、Microsoft 365 の多くの管理ポータル URL ( tid= 値) に表示される GUID です。 たとえば、a32d39e2-3702-4ff5-9628-31358774c091 です。

    この例では、"cohovineyard.com" と "tailspintoys.com" を組織内で唯一の信頼できる ARC シーラーとして構成します。

    Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

    既存の値を保持するには、追加する新しい ARC シーラーと共に保持する ARC シーラーを必ず含めます。

    他のエントリに影響を与えずに ARC シーラーを追加または削除するには、 Set-ArcConfig の「例」セクションを参照してください。

信頼できる ARC シーラーを検証する

メッセージが Microsoft 365 に到達する前にサービスからの ARC シールがある場合は、メッセージが配信された後に、最新の ARC ヘッダーのメッセージ ヘッダーを確認します。

最後の ARC-Authentication-Results ヘッダーで、 arc=passoda=1を探します。 これらの値は、次を示します。

  • 前の ARC が検証されました。
  • 前の ARC シーラーは信頼されています。
  • 前のパスの結果を使用して、現在の DMARC エラーをオーバーライドできます。

例:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

ARC の結果を使用して DMARC エラーをオーバーライドしたかどうかを確認するには、最後の Authentication-Results ヘッダーでcompauth=passreason=130を探します。 例:

Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

信頼できる ARC シーラーのメール フロー図

このセクションの図では、メール フローと、信頼できる ARC シーラーの有無による電子メール認証の結果への影響を対比します。 どちらの図でも、Microsoft 365 組織は、Microsoft 365 に配信される前に受信メールを変更する正当なメール サービスを使用しています。 この変更により、メール フローが中断され、ソース IP を変更して電子メール メッセージ ヘッダーを更新することで、電子メール認証エラーが発生する可能性があります。

次の図は、信頼できる ARC シーラー を使用しない 結果を示しています。

Contoso は SPF、DKIM、DMARC を発行します。SPF を使用する送信者は、contoso.com 内から fabrikam.com に電子メールを送信し、このメッセージは、電子メール ヘッダーの送信 IP アドレスを変更する正当なサード パーティサービスを通過します。Microsoft 365 での DNS チェック中に、変更された IP が原因でメッセージが SPF に失敗し、コンテンツが変更されたため DKIM に失敗します。DMARC は SPF および DKIM エラーのために失敗します。メッセージは迷惑メール フォルダーに配信され、検疫されるか、拒否されます。

次の図は、信頼できる ARC シーラー を使用 した結果を示しています。

Contoso は SPF、DKIM、DMARC を発行しますが、必要な信頼された ARC シーラーも構成します。SPF を使用する送信者は、contoso.com 内から fabrikam.com に電子メールを送信し、このメッセージは、電子メール ヘッダーの送信 IP アドレスを変更する正当なサード パーティサービスを通過します。サービスは ARC シールを使用し、サービスは Microsoft 365 で信頼できる ARC シーラーとして定義されているため、変更は受け入れられます。SPF は新しい IP アドレスに対して失敗します。コンテンツの変更により DKIM が失敗します。DMARC は、以前のエラーが原因で失敗します。ただし、ARC は変更を認識し、Pass を発行し、変更を受け入れます。スプーフィングもパスを受け取ります。メッセージは受信トレイに配信されます。

次の手順

https://mha.azurewebsites.netで、メッセージ ヘッダー アナライザーを使用して ARC ヘッダーを確認します。

SPFDKIMDMARC、構成手順を確認します。