ヒント
Microsoft Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 サインアップできるユーザーと試用版の条件については、「Microsoft Defender for Office 365 を試す」を参照してください。
Microsoft 365 データセンター内のEmailサーバーは、スパムの送信に対して一時的に有罪になる可能性があります。 たとえば、Microsoft 365 経由で送信メールを送信したり、Microsoft 365 アカウントを侵害したりする、オンプレミスのメール organizationでのマルウェアや悪意のあるスパム攻撃などです。 また、攻撃者は、Microsoft 365 転送を介してメッセージを中継することで、検出を回避しようとします。
これらのシナリオでは、影響を受ける Microsoft 365 データセンター サーバーの IP アドレスが Microsoft 以外のブロックリストに表示される可能性があります。 これらのブロックリストを使用する宛先メール組織は、これらの Microsoft 365 メッセージ ソースからのメールを拒否します。
リスクの高い配信プール
IP アドレスがブロックされないようにするために、スパムと判断された Microsoft 365 データセンター サーバーからの送信メッセージはすべて 、リスクの高い配信プールを介して送信されます。
高リスク配信プールは、送信メール用の個別の IP アドレス プールであり、"低品質" メッセージ (スパムや バックスキャッターなど) の送信にのみ使用されます。 高リスク配信プールを使用すると、送信メールの通常の IP アドレス プールがスパムを送信するのを防ぐことができます。 送信メールの通常の IP アドレス プールでは、"高品質" メッセージを送信する評判が維持されるため、これらの IP アドレスが IP ブロックリストに表示される可能性が低くなります。
リスクの高い配信プール内の IP アドレスが IP ブロックリストに配置される可能性は残りますが、この動作は設計上の問題です。 多くの電子メール組織はリスクの高い配信プールからのメッセージを受け入れないので、目的の受信者への配信は保証されません。
詳細については、「 送信スパムを制御する」を参照してください。
注:
ソース メール ドメインに A レコードがなく、パブリック DNS で MX レコードが定義されていないメッセージは、スパムや送信制限の処理に関係なく、リスクの高い配信プールを通じて常にルーティングされます。
次の制限を超えるメッセージはブロックされるため、リスクの高い配信プールを介して送信されません。
- サービスの送信制限。
- 送信者がメールの送信を制限されている送信スパム ポリシー。
バウンス メッセージ
送信リスクの高い配信プールは、すべての配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) の配信を管理します。 NDR の急増の原因として考えられるのは次のとおりです。
- サービスを使用しているいずれかの顧客に影響を与えるなりすましキャンペーン。
- ディレクトリハーベスト攻撃。
- スパム攻撃。
- 不正なメール サーバー。
これらの問題のいずれかが発生すると、サービスによって処理される NDR の数が急激に増加する可能性があります。 これらの NDR は、多くの場合、他のメール サーバーやサービス ( バックスキャッターとも呼ばれます) へのスパムと見なされます。
リレー プール
特定のシナリオでは、Microsoft 365 経由で転送またはリレーされるメッセージは、宛先が Microsoft 365 を実際の送信者と見なしてはならないため、特別なリレー プールを使用して送信されます。 Microsoft 365 からメールを自動転送またはリレーするための正当で無効なシナリオがあるため、このメール トラフィックを分離することが重要です。 リスクの高い配信プールと同様に、中継メールには別の IP アドレス プールが使用されます。 このアドレス プールは頻繁に変更される可能性があり、Microsoft 365 の発行済み SPF レコードの一部ではないため、発行されません。
Microsoft 365 では、転送されたメッセージを確実に配信できるように、元の送信者が正当であることを確認する必要があります。
転送またはリレーされたメッセージは、リレー プールを使用しないように、次のいずれかの条件を満たす必要があります。
- 送信送信者は、 承認済みドメイン内にあります。
- メッセージが Microsoft 365 に送信されると SPF が渡されます。
- 送信者ドメインの DKIM は、メッセージが Microsoft 365 に送信されたときに渡されます。
送信者を認証できる場合は、送信者の書き換えスキーム (SRS) を使用して、転送されたメッセージが信頼できるソースからのメッセージであることを受信者の電子メール システムが認識できるように支援します。 そのしくみと、送信ドメインが Office 365 の Sender Rewriting Scheme (SRS) で認証に合格したことを確認するためにできることの詳細を確認できます。
DKIM を機能させるには、ドメインを送信するために DKIM を有効にしてください。 たとえば、fabrikam.com は contoso.com の一部であり、organizationの承認済みドメインで定義されます。 メッセージ送信者が sender@fabrikam.comされている場合は、DKIM を fabrikam.com に対して有効にする必要があります。 有効にする方法については、「 DKIM を設定してクラウド ドメインからメールに署名する」を参照してください。
カスタム ドメインを追加するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
ドメインの MX レコードが Microsoft 以外のサービスまたはオンプレミスのメール サーバーを指している場合は、 コネクタの拡張フィルター処理を使用する必要があります。 強化されたフィルター処理により、SPF 検証が受信メールに対して正しいことを確認し、リレー プール経由で電子メールを送信しないようにします。
使用された送信プールを確認する
Exchange サービス管理者またはグローバル管理者は* Microsoft 365 から外部受信者にメッセージを送信するために使用された送信プールを確認できます。
重要
* Microsoft では、最小限の特権の原則を強くお勧めします。 アカウントにタスクを実行するために必要な最小限のアクセス許可のみを割り当てることは、セキュリティ リスクを軽減し、organizationの全体的な保護を強化するのに役立ちます。 グローバル管理者は、非常に特権の高いロールであり、緊急シナリオや別のロールを使用できない場合に制限する必要があります。
これを行うには、 メッセージ トレースを使用 し、出力で OutboundIpPoolName プロパティを探します。 このプロパティには、使用された送信プールのフレンドリ名の値が含まれています。