Microsoft 365 の送信者書き換えスキーム (SRS)
注:
2023 年 8 月には、SMTP またはメールボックスで転送されたメッセージに変更がロールアウトされます。 転送メールボックスの代わりに、SRS を使用してこれらのメッセージを書き直します。 これにより、Exchange Online で SRS を使用するすべての転送方法が統合されます。 SRS は転送されたメッセージの中断を回避するように設計されていますが、特殊なケースによっては問題が発生する可能性があります。 この変更の 1 つのケースは、オンプレミス サーバー経由でインターネットに中継されるメッセージが SRS で書き換えされないことです。 この動作の変更を回避するには、「 送信者の書き換えスキームの今後の変更」で説明されている新しい設定を参照してください。
リレー プール機能は、SRS の書き換え動作に影響を与える Microsoft 365 で導入されています。 このリレー プールに該当するメッセージは、SRS によって書き換えられるのをスキップし、Microsoft 365 SPF レコードに含まれていない IP から送信されます。 これは主に、SRS がこれらのエラーを解決しないように、Exchange Online に入るときに SPF チェックに失敗するメッセージに影響します。 詳細については、リレー プールのドキュメント「 送信配信プール」を参照してください。
自動転送が SPF と互換性のない問題を解決するために、送信者書き換えスキーム (SRS) 機能が Microsoft 365 に追加されました。 SRS 機能は、Microsoft 365 から外部に送信されるすべての該当するメッセージの P1 差出人アドレス (エンベロープ差出人アドレスとも呼ばれます) を書き換えます。
注:
電子メール クライアントによって表示される From ヘッダー (Display From アドレスまたは P2 From アドレスとも呼ばれます) は変更されません。
SRS 機能により、送信者ポリシー フレームワーク (SPF) チェックに合格した場合に元の送信者から到着したが、転送後に最終的な外部宛先で SPF チェックが失敗する、該当するメッセージの配信が向上します。
SRS では、次のシナリオで P1 From アドレスが書き換えられます。
- 次のいずれかの方法を使用して、外部受信者に自動転送 (またはリダイレクト) される Microsoft 365 のメッセージ。
- SMTP 転送
- メールボックスルール (または受信トレイルール) リダイレクト
- メール フロー (トランスポート) ルールのリダイレクト
- 外部メンバーを持つグループまたは DLs
- メール連絡先の転送
- メール ユーザー転送
- 顧客のオンプレミス環境から自動転送 (またはリダイレクト) され、Exchange Online 経由で中継されるメッセージ。
SRS の書き換えは、未確認ドメインのスプーフィングを防ぐために使用されることに注意してください。 メッセージは、所有しているドメインから送信し、[承認済みドメイン] リストを使用して所有権を確認したドメインからのみ送信する必要があります。 Microsoft 365 の承認済みドメインの詳細については、「 Exchange Online で承認済みドメインを管理する」を参照してください。
注:
SRS の書き換えでは、転送されたメッセージに対する DMARC の受け渡しの問題は解決されません。 書き換えられた P1 From アドレスが原因で SPF チェックが合格しますが、DMARC ではメッセージが渡されるアライメント チェックも必要です。 転送されたメッセージの場合、署名された DKIM ドメインが From ヘッダー ドメインと一致しないため、DKIM は常に失敗します。 元の送信者が転送されたメッセージを拒否するように DMARC ポリシーを設定した場合、転送されたメッセージは DMARC ポリシーを受け取るメッセージ転送エージェント (MTA) によって拒否されます。 ARC 標準は、転送に関する DKIM の問題に対処するために開発され、これらの問題に対処するためにサービスに実装されています。
このエラー シナリオと他の配信エラーが発生すると、SRS の書き換えが使用されていないときに、元の送信者ではなく、配信不能レポート (NDR) が Exchange Online に返されます。 したがって、SRS 実装の一部は、メッセージを配信できない場合に元の送信者に NDR を返すを再ルーティングすることです。
次のセクションでは、さまざまな自動転送シナリオと、SRS がそれらを処理する方法に関する情報を示します。
Microsoft 365 でホストされているメールボックスの自動転送メール
ホストされているメールボックスに送信され、SMTP 転送、メールボックスルールリダイレクト、トランスポートルールリダイレクトなどのメカニズムを使用して自動転送されるメッセージの場合、メッセージが Exchange Online を離れる前に P1 From アドレスが書き換えられます。 アドレスは、次のパターンを使用して書き換えられます。
<Forwarding Mailbox Username>+SRS=<Hash>=<Timestamp>=<Original Sender Domain>=<Original Sender Username>@<Forwarding Mailbox Domain>
次の例では、メッセージが Bob (bob@fabrikam.com) から Exchange Online (john.work@contoso.com) の John のメールボックスに送信されます。 John は、このメールボックスから自宅のメール アドレス (john.home@example.com) に自動転送を設定しています。 P1 From アドレスが SRS によって書き換えられた方法に注目してください。
元のメッセージ | 自動転送メッセージ | |
---|---|---|
[受信者] | john.work@contoso.com |
john.home@example.com |
P1 From | bob@fabrikam.com |
john.work+SRS=44ldt=IX=fabrikam.com=bob@contoso.com |
ヘッダーから | bob@fabrikam.com |
bob@fabrikam.com |
SRS が P1 From アドレスを書き換えると、電子メール アドレスのユーザー名部分の長さが長くなります。 ただし、メール アドレスの文字数は 64 文字です。 したがって、書き換えられた電子メール アドレスの長さが 64 文字を超える場合は、次の形式になります。
bounces+SRS=<Hash>=<Timestamp>@<Default Accepted Domain>
ここで <Default Accepted Domain>
は、テナント用に設定された既定の承認済みドメインの名前です。
顧客のオンプレミス サーバーからのリレー
検証されていないドメインから発信されたメッセージが、顧客のオンプレミス サーバーまたはアプリケーションから Exchange Online 経由で中継されると、Exchange Online から離れる前に P1 From アドレスが書き換えられます。 アドレスは、次のパターンを使用して書き換えられます。
bounces+SRS=<Hash>=<Timestamp>@<Default Accepted Domain>
次の例では、メッセージが Bob (bob@fabrikam.com) から、Exchange Server を実行している会社のサーバー上にある John のメールボックス (john.onprem@contoso.com) に送信されます。 John は、このメールボックスから自宅のメール アドレス (john.home@example.com) に自動転送を設定しています。 このシナリオでは、 SRS によって P1 From アドレスが書き換えられる方法に注目してください。 お客様は、既定の承認済みドメインを独自のドメインのいずれかに設定することをお勧めします。
型 | 元のメッセージ | Exchange Online によって受信されたリレーされたメッセージ | Exchange Online から送信された中継メッセージ |
---|---|---|---|
[受信者] | john.onprem@contoso.com |
john.home@example.com |
john.home@example.com |
P1 From | bob@fabrikam.com |
bob@fabrikam.com |
bounces+SRS=44ldt=IX@contoso.com |
ヘッダーから | bob@fabrikam.com |
bob@fabrikam.com |
bob@fabrikam.com |
場合によっては、SRS によって書き換えられたリレーされたメッセージが配信されず、NDR が生成される可能性があります。
これらの NDR を受信するには、テナント管理者は、Exchange Online またはオンプレミスでホストされる "バウンス" という名前のメールボックスを作成する必要があります。 このメールボックスのドメインは、テナントの既定の承認済みドメインに設定する必要があります。
顧客のオンプレミス サーバーに送信された転送されたメッセージ
SRS は、設計上、オンプレミス サーバーが信頼境界内にあると見なし、オンプレミスにバインドされている転送されたメッセージを書き換えません。 ただし、オンプレミス サーバーを使用してインターネットにメッセージをルーティングする複雑なルーティング構成の場合、SRS 書き換えなしで転送されたメッセージは、SPF エラーが原因で拒否される可能性があります。 この問題を解決するために、管理者は、オンプレミスの送信コネクタを経由するトラフィックに対して SRS を有効にすることができます。 SenderRewritingEnabled 設定は、これを行うために使用でき、New-OutboundConnector または Set-OutboundConnector コマンドレットを使用して構成できます。
この設定は、外部受信者へのメッセージを処理するパートナー コネクタには適用されません。また、必要に応じて、これらのメッセージに SRS を適用することが必須です。 SenderRewritingEnabled 設定は、パートナー コネクタの場合は true として表示され、値を設定しようとするとエラーが返されます。
メール フロー (トランスポート) リダイレクトされたメッセージ
特定の受信者のためだけでなく、何らかの理由でルールによってメッセージをリダイレクトできることを考えると、転送メールボックスの概念はありません。 このことを念頭に置いて、SRS 書き換えられたアドレスは次の形式になります。
bouncesEtr+SRS=<Hash>=<Timestamp>=<OrigSenderDomain>=<OrigSenderUser>@<Default Accepted Domain>
NDR を受信するには、元の送信者にメッセージをリダイレクトするために、テナントが "bouncesETR" という名前のユーザーに宛てたメッセージを受信できる必要があります。 たとえば、Directory-Based Edge ブロッキングは、テナントにそのようなメールボックスが存在しない場合、NDR の返しに干渉する可能性があります。
リレー プールと SRS のスキップ
リレー プール機能は、SRS の書き換え動作に影響を与える Microsoft 365 で導入されています。 このリレー プールに該当するメッセージは、SRS によって書き換えられるのをスキップし、Microsoft 365 SPF レコードに含まれていない IP から送信されます。 これは主に、SRS が書き換えでこれらのエラーを修正してはならないため、最初に Exchange Online に送信されたときに SPF チェックに失敗するメッセージに影響します。 詳細については、リレー プールのドキュメントを参照してください。 送信配信プール