Exchange Onlineメールセキュリティ設定ガイド｜DMARC・DKIM・SPFの設定方法

メール認証が必要な理由

ビジネスメール詐欺（BEC）やフィッシング攻撃の多くは、送信元アドレスのなりすましを利用しています。SPF・DKIM・DMARCの3つのメール認証技術を正しく設定することで、自社ドメインのなりすましを防ぎ、取引先や顧客を守ることができます。

2024年2月からGmailとYahoo!メールがメール送信者に対しDMARC設定を事実上必須化したことで、メール認証はもはやオプションではなく必須の設定となっています。

SPFの仕組みと設定

SPF（Sender Policy Framework）とは

SPFは、ドメインの所有者が「このIPアドレスからメールを送信して良い」と宣言する仕組みです。受信側のメールサーバーはSPFレコードを参照し、正規のサーバーから送信されたかを検証します。

Exchange OnlineのSPFレコード

Microsoft 365でメールを送信する場合、DNSに以下のTXTレコードを設定します。

レコード種別	ホスト名	値
TXT	@（ルートドメイン）	`v=spf1 include:spf.protection.outlook.com -all`

include:spf.protection.outlook.com：Microsoft 365のメールサーバーを許可
-all：それ以外のサーバーからの送信を拒否（ハードフェイル）
他のメール送信サービス（メルマガ配信等）がある場合は追加のincludeが必要

DKIMの仕組みと設定

DKIM（DomainKeys Identified Mail）とは

DKIMはメールに電子署名を付与し、送信後にメール内容が改ざんされていないことを証明する仕組みです。送信側が秘密鍵で署名し、受信側がDNSに公開された公開鍵で検証します。

Exchange OnlineでのDKIM設定手順

Microsoft 365管理センターにサインイン
セキュリティ → メールとコラボレーション → ポリシーとルール → 脅威ポリシー → メール認証設定に移動
対象のドメインを選択
表示される2つのCNAMEレコードをDNSに登録
DNS反映後（最大48時間）、DKIMを有効化

レコード種別	ホスト名	値の例
CNAME	selector1._domainkey	selector1-example-com._domainkey.example.onmicrosoft.com
CNAME	selector2._domainkey	selector2-example-com._domainkey.example.onmicrosoft.com

DMARCの仕組みと設定

DMARC（Domain-based Message Authentication, Reporting & Conformance）とは

DMARCはSPFとDKIMの検証結果に基づき、認証に失敗したメールの扱い（何もしない/隔離/拒否）を指示する仕組みです。加えて、認証結果のレポートを受け取ることで、自社ドメインの不正使用を検知できます。

DMARC導入のステップ

Phase	ポリシー	意味	期間目安
Phase 1: 監視	`p=none`	認証失敗してもメール配信に影響なし。レポートのみ収集	2〜4週間
Phase 2: 隔離	`p=quarantine`	認証失敗したメールを迷惑メールフォルダに移動	2〜4週間
Phase 3: 拒否	`p=reject`	認証失敗したメールを完全に拒否	最終目標

Exchange Onlineでの設定手順

ステップ	作業	確認方法
1	SPFレコードをDNSに設定	`nslookup -type=txt example.com`
2	DKIMのCNAMEレコードをDNSに設定	Microsoft 365管理センターでDKIM有効化
3	DMARCレコードをDNSに設定（p=none から開始）	`nslookup -type=txt _dmarc.example.com`
4	DMARCレポートを2〜4週間分析	レポート分析ツール（dmarcian等）
5	問題なければ p=quarantine → p=reject へ段階的に強化	メール到達率の監視

設定の検証方法

メールヘッダーの確認：テストメールを送信し、ヘッダーの「Authentication-Results」で SPF=pass, DKIM=pass, DMARC=pass を確認
外部検証ツール：MXToolbox、mail-tester.com、Google Admin Toolbox
DMARCレポート：毎日XML形式で届くレポートをdmarcian等で可視化

高度な設定

BIMI（Brand Indicators for Message Identification）：DMARC p=quarantine以上で、受信トレイに企業ロゴを表示
ARC（Authenticated Received Chain）：メール転送時の認証情報の引き継ぎ
Microsoft Defender for Office 365：フィッシング対策、Safe Links、Safe Attachmentsの追加保護

BTNコンサルティングの支援

Exchange Onlineのメール認証設定（SPF/DKIM/DMARC）、Defender for Office 365の導入、メールセキュリティ全般の設計・構築を支援します。

💡 あわせて読みたい

→ 中小企業のメールセキュリティ対策
 → Entra ID導入ガイド

まとめ

Exchange OnlineのメールセキュリティはSPF→DKIM→DMARCの順に設定します。DMARCは「p=none」で監視から始め、段階的に「p=reject」へ強化するのが安全です。Gmail/Yahoo!のDMARC必須化により、未設定のドメインはメール到達率が低下するリスクがあります。

参考リンク

Microsoft Learn ↗IPA 情報セキュリティ ↗

BTNコンサルティング編集部

株式会社BTNコンサルティング｜情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI（M&A後のIT統合）、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。