Office 365 DKIMセットアップは、なりすまし、フィッシング、BEC攻撃に対する防御を支援する電子メール認証プロトコルです。マイクロソフトは、送信メールが転送される過程で改ざんされたり、脅威行為者によってアクセスされたりしないように、送信メールにデジタル署名するDKIMレコードを推奨しています。O365 DKIMを有効にすることは、メールのセキュリティを確保するために不可欠なステップです。
カスタムドメインを使用したMicrosoft 365 DefenderポータルでのOffice 365 DKIM署名の有効化
注:DKIM 署名を有効にする場合 Microsoft 365 Defender ポータルを有効にすると、DKIM 設定が以前の *.onmicrosoft.com ドメインから自動的に切り替わります。以下は カスタムドメインの設定.
カスタムドメインにOffice 365 DKIMを設定する手順は以下のとおりです:
カスタムドメイン名を DKIMタブの メール認証設定ページで確認できます。以下のように表示されます:
ログインDefenderアカウントにログインします。
ポータルサイトで 電子メールとコラボレーションを選択し ポリシーとルール
について ポリシーとルールページで 脅威ポリシーを選択し メール認証設定
このページで DKIMタブをクリックし、DKIM署名を有効にしたいカスタムドメインを選択します。
ダイアログボックスが表示され、以下のトグルボタンが表示されます。 このドメインのメッセージをDKIM署名で署名する というトグルボタンが表示されます。クリックして有効にしてみてください。
この時点でエラーボックスが表示され、DKIM署名の妨げとなるCNAMEレコードがドメインにないことを通知します。エラーの詳細には、DNSに公開する必要がある2つのCNAMEレコードの構文が表示されます。これらのレコードには2つのプライマリフィールドがあります:ホスト名とレコード値です。マイクロソフトのガイドでは、以下の例を示しています:
CNAMEレコード1
ホスト名セレクタ1._ドメインキー
値: selector1-contoso-com._domainkey.contoso.onmicrosoft.com
CNAMEレコード2
ホスト名セレクタ2._ドメインキー
値: selector2-contoso-com._domainkey.contoso.onmicrosoft.com
Defenderポータルの最後のページを閉じずに、新しいウィンドウでDNS管理コンソールにログインします。2つの新しいCNAMEレコードを作成し、これらのレコードの値をDNSに貼り付けます。
様々なDNSプロバイダーのDKIMレコードを公開する方法については、当社の ナレッジベース.
注:CNAMEレコードが作成されると、DNSに変更が反映されるまで数分から数時間かかる場合があります。変更が処理された後、Microsoft 365が変更を検出するまでに時間がかかる場合があります。そのため、時間をおいてから最後のステップに進んでください。
最後のページを開いたままにしているDefenderポータルに向かい、以下の項目を切り替えてみてください。 このドメインのメッセージをDKIM署名で署名する を有効にしてください。
セキュリティ・ダイアログ・ボックスが表示されたら をクリックします。
カスタムドメインの送信メッセージに対してDKIM署名を有効にした場合、最終的な設定は以下のようになります:
.onmicrosoft.comドメインを使用してDKIM署名をカスタマイズする手順
Microsoft 365 を使用してメッセージを送信する場合、最初の *.onmicrosoft.com は自動的に DKIM で署名するように設定されますが、設定をカスタマイズすることもできます。その方法は以下の通りだ:
カスタムドメインの代わりに、*.onmicrosoft.comドメインがメール認証設定ページのDKIMタブに表示されていることを確認します。
ログインDefenderアカウントにログインします。
ポータルサイトで 電子メールとコラボレーションを選択し ポリシーとルール
について ポリシーとルールページで 脅威ポリシーを選択し メール認証設定
このページで DKIMタブをクリックし、DKIM署名をカスタマイズする*.onmicrosoft.comドメインを選択します。
ドメインの詳細ボックスで、以下の青いボタンを選択します。 DKIMキーの作成
ページの指示に従って新しいDKIMキーを作成しますが、このステップはMicrosoftが自動的に処理するため、キーを公開する必要はないことに注意してください。
ページを閉じ、ドメインの詳細ページで次の項目を有効にします。 このドメインのメッセージをDKIM署名で署名するボタンをクリックしてください。
OKをクリックして完了です!
別の方法Exchange Online Powershellを使用してDKIM署名を有効にする
Powershellを使用して、送信メッセージ(カスタムドメインと*.onmicrosoft.comドメインの両方)のDKIM署名を有効にするには、以下の手順に従います:
以下のコマンドを実行して、現在のDKIM設定を確認する:
Get-DkimSigningConfig|Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
DKIMが見つからない場合、このコマンドを実行すると、チェックの結果は "Enabled "フィールドに対して "false "ステータスを表示し、CNAMEが見つからないことを伝える。
カスタムドメインの場合、コマンドを実行し、Microsoft 365がDKIMの設定がないことを見つけると、エラーボックスが表示されます。このボックスには、DKIM用の2つのCNAMEレコードが含まれます。レコードの値とホスト名をコピーし、これらの値を使用してドメインレジストラで新しいCNAMEレコードを作成する必要があります。作成したら、DNSでレコードを公開します。
あるいは
.onmicrosoft.comドメインの送信メッセージに対してDKIM署名を有効にしたい場合は、以下のコマンドを実行し、"Domain "フィールドを*.onmicrosoft.comドメイン名に置き換えてください:
Set-DkimConfig -Identity \<Domain\> -Enabled $true
このドメインではエラーメッセージは表示されません。
最後に、最初のコマンドを実行してDKIMの設定をチェックし、正しく設定されていることを確認する。これで、"Enabled "ステータスが "True "と表示され、"Status "フィールドに "Valid "値が表示されるはずだ。
Exchange Online Powershell を使用して DKIM キーをローテーションする場合は、次の詳細ガイドを参照してください。 こちらを参照してください。.
Office 365のDKIMを無効にする方法は?
DefenderポータルからワンクリックでOffice 365のDKIMを無効化することができます。
次のページにアクセスしてください。 メールとコラボレーション > ポリシーとルール > 脅威ポリシー > DKIM
について DKIMページで "Enable "ボタンをトグルしてプロトコルを無効にします。
注:DKIM検証は、SPFが失敗する可能性のあるメール転送のような特殊なケースにおいて、メッセージの認証に役立ちます。さらに、DKIMはGoogleとYahooの一括送信者には必須であり、すべての送信者に推奨されています。お客様のドメインでDKIMを有効にしておくことは、良いメールプラクティスと考えられており、マイクロソフトと弊社の両方が強く推奨しています。
その他の関連記事
コンテンツ・レビュー、ファクト・チェック、情報源
この記事で提供されるすべての情報と画像は、マイクロソフト社の DKIM 設定ガイド.コンテンツは、サイバーセキュリティの専門家によってレビューされ、正確性を保証するために事実確認されています。また、サービス・プロバイダーによって新たな変更が加えられた場合には、定期的に記事を更新するようにしています。
この記事がお役に立てば幸いです!メール認証、DKIM、DMARCは初めてですか?無料の DMARCトライアルをお試しください。