送信方向の配信のプール
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft 365 データセンター内のEmailサーバーは、スパムの送信に対して一時的に有罪になる可能性があります。 たとえば、Microsoft 365 経由で送信メールを送信したり、Microsoft 365 アカウントを侵害したりする、オンプレミスのメール organizationでのマルウェアや悪意のあるスパム攻撃などです。 また、攻撃者は、Microsoft 365 転送を介してメッセージを中継することで、検出を回避しようとします。
これらのシナリオでは、影響を受ける Microsoft 365 データセンター サーバーの IP アドレスがサード パーティのブロックリストに表示される可能性があります。 これらのブロックリストを使用する宛先メール組織は、これらの Microsoft 365 メッセージ ソースからのメールを拒否します。
リスクの高い配信プール
IP アドレスがブロックされないようにするために、スパムと判断された Microsoft 365 データセンター サーバーからの送信メッセージはすべて 、リスクの高い配信プールを介して送信されます。
高リスク配信プールは、送信メール用の個別の IP アドレス プールであり、"低品質" メッセージ (スパムや バックスキャッターなど) の送信にのみ使用されます。 高リスク配信プールを使用すると、送信メールの通常の IP アドレス プールがスパムを送信するのを防ぐことができます。 送信メールの通常の IP アドレス プールでは、"高品質" メッセージを送信する評判が維持されるため、これらの IP アドレスが IP ブロックリストに表示される可能性が低くなります。
リスクの高い配信プール内の IP アドレスが IP ブロックリストに配置される可能性は残りますが、この動作は設計上の問題です。 多くの電子メール組織はリスクの高い配信プールからのメッセージを受け入れないので、目的の受信者への配信は保証されません。
詳細については、「 送信スパムを制御する」を参照してください。
注:
ソース メール ドメインに A レコードがなく、パブリック DNS で MX レコードが定義されていないメッセージは、スパムや送信制限の処理に関係なく、リスクの高い配信プールを通じて常にルーティングされます。
次の制限を超えるメッセージはブロックされるため、リスクの高い配信プールを介して送信されません。
- サービスの送信制限。
- 送信者がメールの送信を制限されている送信スパム ポリシー。
バウンス メッセージ
送信リスクの高い配信プールは、すべての配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) の配信を管理します。 NDR の急増の原因として考えられるのは次のとおりです。
- サービスを使用しているいずれかの顧客に影響を与えるなりすましキャンペーン。
- ディレクトリハーベスト攻撃。
- スパム攻撃。
- 不正なメール サーバー。
これらの問題のいずれかが発生すると、サービスによって処理される NDR の数が急激に増加する可能性があります。 これらの NDR は、多くの場合、他のメール サーバーやサービス ( バックスキャッターとも呼ばれます) へのスパムと見なされます。
リレー プール
特定のシナリオでは、Microsoft 365 経由で転送またはリレーされるメッセージは、宛先が Microsoft 365 を実際の送信者と見なしてはならないため、特別なリレー プールを使用して送信されます。 Microsoft 365 からメールを自動転送またはリレーするための正当で無効なシナリオがあるため、このメール トラフィックを分離することが重要です。 リスクの高い配信プールと同様に、中継メールには別の IP アドレス プールが使用されます。 このアドレス プールは頻繁に変更される可能性があり、Microsoft 365 の発行済み SPF レコードの一部ではないため、発行されません。
Microsoft 365 では、転送されたメッセージを確実に配信できるように、元の送信者が正当であることを確認する必要があります。
転送またはリレーされたメッセージは、リレー プールを使用しないように、次のいずれかの条件を満たす必要があります。
- 送信送信者は、 承認済みドメイン内にあります。
- メッセージが Microsoft 365 に送信されると SPF が渡されます。
- 送信者ドメインの DKIM は、メッセージが Microsoft 365 に送信されたときに渡されます。
送信者を認証できる場合は、送信者の書き換えスキーム (SRS) を使用して、転送されたメッセージが信頼できるソースからのメッセージであることを受信者の電子メール システムが認識できるように支援します。 そのしくみと、送信ドメインが Office 365 の Sender Rewriting Scheme (SRS) で認証に合格したことを確認するためにできることの詳細を確認できます。
DKIM を機能させるには、ドメインを送信するために DKIM を有効にしてください。 たとえば、fabrikam.com は contoso.com の一部であり、organizationの承認済みドメインで定義されます。 メッセージ送信者が sender@fabrikam.comされている場合は、DKIM を fabrikam.com に対して有効にする必要があります。 有効にする方法については、「 DKIM を使用してカスタム ドメインから送信された送信メールを検証する」を参照してください。
カスタム ドメインを追加するには、「 Microsoft 365 にドメインを追加する」の手順に従います。
ドメインの MX レコードがサード パーティのサービスまたはオンプレミスのメール サーバーを指している場合は、 コネクタの拡張フィルター処理を使用する必要があります。 強化されたフィルター処理により、SPF 検証が受信メールに対して正しいことを確認し、リレー プール経由で電子メールを送信しないようにします。
使用された送信プールを確認する
Exchange サービス管理者またはグローバル管理者は* Microsoft 365 から外部受信者にメッセージを送信するために使用された送信プールを確認できます。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
これを行うには、 メッセージ トレースを使用 し、出力で OutboundIpPoolName
プロパティを探します。 このプロパティには、使用された送信プールのフレンドリ名の値が含まれています。