Last update : December 12 2022
重要なことです。このドキュメントは、Vade for M365を使用しているお客様とパートナーを対象としています。このドキュメントは、このドキュメントが作成された時点でのMicrosoftの推奨プラクティスについて通知することを目的としています。Vadeは、このドキュメントに記載されている情報の使用または更新に関して一切その責任を負いません。
Exchange Online Protection(EOP)の設定
フィッシング(Phishing)対策
次の手順は、フィッシング対策保護を強化するのに役立ちます。
手順
1.Microsoft 365セキュリティプラットフォームにログインします。
2.左側のメニューでメールとコラボレーションのポリシーとルールをクリックします。
3.脅威ポリシーをクリックします。
4.フィッシング対策をクリックします。
5.Office365 AntiPhish Default (既定)をクリックします。
注 : 特定のユーザ、グループ、またはドメインのカスタムポリシーを作成して、それらの優先
度を変更できます。
6.保護設定の編集をクリックします。
7.スプーフィング インテリジェンスを有効にする(推奨)にはボックスをオンにします。
8.保存をクリックします。
9.アクションの編集をクリックします。
10.最初の連絡先に関する安全性のヒントを表示する(推奨)ボックスをオンにします。
ユーザがその送信者から初めてメールを受信した場合、あるいは、ユーザがその送信者からメールを
めったに受信しない場合に、メールにバナーが表示されます。
11.偽装した認証されていない送信者に"(?)"を表示ボックスをオンにします。
送信者がMicrosoftによって認証されなかった場合、Outlookの送信者カードに?記号が表示されま
す。
12."Via"タグの表示のボックスをオンにします。
メールが送信されたプラットフォームが表示されます。例:chris@contoso.com via fabrikham.com.
13.保存をクリックします。
スパム対策
次の手順は、フィッシング対策保護を強化するのに役立ちます。
手順
1.Microsoft 365セキュリティプラットフォームにログインします。
2.左側のメニューでメールとコラボレーションのポリシーとルールをクリックします。
3.脅威ポリシーをクリックします
4.迷惑メール対策をクリックします。
5.迷惑メール対策の受信ポリシー(既定)>スパムのしきい値とプロパティを編集するをクリックします。
6.バルク メールのしきい値を6に設定します。
注 : Microsoftは、受信した苦情に基づいて送信者にスコア(BCL、一括苦情レベル)を割り当
てます。スコアが高いほど、送信者は大量のメールを送信し、苦情を発生させていることにな
ります。Vadeは受信トレイで受け入れられる送信者のBCLしきい値を6に下げることを推奨し
ます。
7.SPFレコード:ハード フェイルオプションでオンを選択します。
注 :MXレコードがMicrosoftに渡される場合、またはExchange Onlineの前にメールゲートウェ
イがある場合に「事前配信」を正しく構成したときだけ、このオプションを有効にします。
送信者ポリシーフレームワーク(SPF)DNSレコードにリストされていないIPアドレスから送信されたメールは、スパムに分類されます。
8.保存をクリックします。
9.アクションの編集をクリックします。
10.ゼロアワー自動消去(ZAP)のすべてのボックスをオンにします。
Exchange Onlineメールボックスで受信したフィッシング、スパム、およびマルウェアのメールは検 疫されます。
マルウェア対策
次の手順は、マルウェアが組み込まれたメールを検疫して、マルウェア対
策保護を強化するのに役立ちます。
手順
1.Microsoft 365セキュリティプラットフォームにログインします。
2.左側のメニューでメールとコラボレーションのポリシーとルールをクリックします。
3.脅威ポリシーをクリックします。
4.マルウェア対策をクリックします。
5.Default (既定) > 保護設定を編集をクリックします。
6.共通添付ファイルのフィルターを有効にするボックスをオンにします。
7.好みに応じて、配信不能メッセージ (NDR)を含むメッセージを拒否するか、メッセージを検疫するを選択します。
Microsoftのマルウェア対策ポリシーに従ってフィルタリングされたファイルの種類が組み込まれたメールは、拒否または検疫されます。
8.マルウェアのゼロアワー自動消去を有効にする (推奨)ボックスをオンにします。
マルウェアが組み込まれたメールが初期フィルタリングをすり抜け、Exchange Onlineの受信トレイで検出された場合、そのメールは自動的に検疫されます。
9.保存をクリックします。
注 : ユーザは、マルウェアが組み込まれたメールを取得できません。
送信者ポリシーフレームワーク(SPF)の設定
SPFの設定
SPFはドメインからのアウトバウンドフローを検証し、個人情報の窃取を防
ぎます
重要 : SPFの設定に関しては、パートナーにお問い合わせください。
SPF構文
Microsoft 365の標準的なSPF TXTレコードには、次の構文があります。
v=spf1 include:spf.protection.outlook.com ip4:<adresse_ipv4> ip6:<adresse_ipv6>
-all
- v=spf1 :TXTレコードを開始し、SPFプロトコルにリンクします。
- include:spf.protection.outlook.com :カスタム ドメインを正当な送信者として識別します。
- ip4:<adresse_ipv4>, ip6:<adresse_ipv6> :オプションで、IPv4またはIPv6アドレスを正当な送信者として識別します。
- -all : ハードフェイルを示します。
DNSレコードを追加してSPFを使用する
1.Microsoft 365管理センターにログインします。
2.左メニュー内の設定>ドメインをクリックします。
3.ドメインをクリックして、ドメインリストにDNSレコードを追加します。
4.DNSレコードをクリックします。
5.+レコードの追加をクリックします。
6.種類からTXT(テキスト)を選択します。
7.TXT名に@あなたのドメイン名を入力します。
8.v=spf1 include:spf.protection.outlook.com ip4:<adresse_ipv4> ip6:<adresse_ipv6> -allをTXT値の下に入力します。
9.TXT名に@あなたのドメイン名を入力します。
注 : サブドメインごとに新しいレコードを追加する必要があります。
DKIM
DKIMの設定
DKIM(DomainKeys Identified Mail)を使用すると、メールヘッダーのアウトバウンドフローにデジタル署名を追加できます。
重要 : Please contact your partner for help setting up DKIM.
このタスクについて
DKIMをセットアップすると、ドメインがその名前をメールに関連付けたり、暗号化認証を使って署名し
たりできるようになります。ドメインからメールを受信するメールシステムは、このデジタル署名を使って、メールが正当かどうかを判断できます。
手順
1. Microsoft 365セキュリティプラットフォームにログインします。
2. DKIMを構成するドメインをクリックします。
3. このドメインのメッセージにDKIM 署名を追加しますを有効にします。CNAMEレコードを追加する必要があることを示すポップインウィンドウが開きます。
4. ポップインウィンドウに表示されるCNAMEをコピーします。
5. DNSプロバイダーのWebサイトで、有効にするDKIMのCNAMEレコードを追加します。
6. 手順1、2、3をもう一度行います。
タスクの結果: デジタル署名は、アウトバウンドフローメールのヘッダーに適用されます。
DMARC
DMARCの構文
Microsoft 365の標準的なDMARC TXTレコードには、次の構文があります。
v=DMARC1; p=<policy>; <email>=mailto:<@mail>
- v=DMARC1:TXTレコードを開始し、DMARCプロトコルにリンクします。
-
p=<policy>:実行する処理を定義します。
- なし:未処理。
- 拒否:メールは拒否され、送信サーバーに通知されます。
- 検疫:メールを「スパム」フォルダへ移動します。
- <email>=mailto:<@mail>:ドメインのDMARCアクティビティに関するレポートを受信できます。例:rua=mailto:d@rua.agari.com.
DMARCの設定
DMARC(Domain-based Message Authentication, Reporting, and Conformance)により、受信メールシステムは、SPFやDKIMのチェックが失敗した場合に、ドメインからのメールをより適切に分類できます。
始める前に
重要 : SPFの設定に関しては、パートナーにお問い合わせください。
最初にSPFとDKIMを構成する必要があります。
手順
1. Microsoft 365管理センターにログインします。
2. ドメインをクリックして、ドメインリストにDNSレコードを追加します。
3. DNSレコードをクリックします。4. Click DNS record.
4. +レコードの追加をクリックします。
5.種類からTXT(テキスト)を選択します。
6. TXT名に_dmarcを入力します。
7. TXT値にv=DMARC1; p=<policy>; <email>=mailto:<@mail>を入力します。
8. 保存をクリックします。