なぜ初期設定が重要か
Exchange Onlineは「テナントを作っただけ」ではメールセキュリティが不十分です。SPF/DKIM/DMARCの未設定はフィッシングメールの踏み台にされるリスクがあり、取引先からの信頼を損なう可能性もあります。
実際に、中小企業のメールドメインがなりすましに悪用されるケースは年々増加しています。初期設定を正しく行うことで、自社のブランドと取引先の安全を守ることができます。
SPF・DKIM・DMARCの設定
SPF(Sender Policy Framework)
SPFは「このドメインからメールを送信できるサーバー」をDNSに登録する仕組みです。
SPFレコードの設定例
v=spf1 include:spf.protection.outlook.com -all
DNSのTXTレコードに上記を追加します。-all(ハードフェイル)を推奨します。~all(ソフトフェイル)は移行期のみ使用してください。
DKIM(DomainKeys Identified Mail)
DKIMは送信メールに電子署名を付与し、改ざんされていないことを受信側で検証する仕組みです。
| ステップ | 操作 |
|---|---|
| 1 | Microsoft 365 Defender → メールとコラボレーション → ポリシーとルール → DKIM |
| 2 | 対象ドメインを選択 → 「DKIMキーの作成」をクリック |
| 3 | 表示されるCNAMEレコード2つをDNSに登録 |
| 4 | DNS伝播後(最大48時間)、DKIMを「有効」に切り替え |
DMARC(Domain-based Message Authentication)
DMARCはSPFとDKIMの結果に基づき、認証に失敗したメールの処理方法を指定します。
| ポリシー | 設定値 | 動作 | 推奨段階 |
|---|---|---|---|
| 監視モード | p=none | レポート送信のみ、メールは通常配信 | 導入初期(1〜3ヶ月) |
| 隔離モード | p=quarantine | 認証失敗メールを迷惑メールフォルダへ | 中間段階(3〜6ヶ月) |
| 拒否モード | p=reject | 認証失敗メールを完全にブロック | 最終目標 |
メールボックスの種類と使い分け
| 種類 | 用途 | ライセンス | 送信 |
|---|---|---|---|
| ユーザーメールボックス | 個人用メール | 必要 | 可能 |
| 共有メールボックス | info@やsupport@等の共有アドレス | 50GB以下なら不要 | 可能(委任送信) |
| 配布グループ | メーリングリスト(一斉配信) | 不要 | グループ宛に送信 |
| Microsoft 365グループ | Teams/SharePointと連携するグループ | メンバーに必要 | グループ宛に送信 |
| リソースメールボックス | 会議室・設備の予約管理 | 不要 | 自動応答のみ |
メールフロールール
Exchange管理センターのメールフロールールで、以下の運用ルールを自動化できます。
- 免責事項の自動付与:外部送信メールにフッターを自動追加
- 外部送信の警告:外部ドメインへの送信時に確認メッセージを表示
- 添付ファイル制限:特定の拡張子(.exe、.bat等)のブロック
- 暗号化の強制:機密情報を含むメールの自動暗号化
- BCC自動追加:特定条件のメールを監査用アドレスにBCC
アーカイブとリテンション
法令遵守やeディスカバリー対応のため、メールの保持ポリシーを設定します。
| 機能 | 用途 | 必要ライセンス |
|---|---|---|
| インプレースアーカイブ | 古いメールを自動的にアーカイブメールボックスへ移動 | Exchange Online Plan 2 / M365 E3以上 |
| リテンションポリシー | メールの保持期間を設定(例:7年保持後に削除) | Exchange Online Plan 1以上 |
| 訴訟ホールド | 削除されたメールも含めて全メールを保持 | Exchange Online Plan 2 / M365 E3以上 |
セキュリティ強化設定
- 多要素認証(MFA):全ユーザーに必須化(セキュリティ既定値群 or 条件付きアクセス)
- 外部転送のブロック:メールの自動転送を社外アドレスへ禁止
- 監査ログの有効化:メールボックス操作の監査ログを有効化(既定で有効)
- フィッシング対策ポリシー:Defender for Office 365のフィッシング対策ポリシーを構成
- 安全な添付ファイル:未知のマルウェアをサンドボックスで検査
BTNコンサルティングの支援
Exchange Onlineの初期設定、SPF/DKIM/DMARCの構成、メールセキュリティの最適化を支援します。既存環境の監査・改善提案も対応可能です。
まとめ
Exchange Onlineの初期設定は、SPF→DKIM→DMARCの順でメール認証を整備し、共有メールボックスとメールフロールールで運用を効率化します。アーカイブとリテンションポリシーでコンプライアンスに対応し、MFAと外部転送ブロックでセキュリティを強化しましょう。