【連載第6回】メールセキュリティの基本設定 ― SPF/DKIM/DMARCを正しく設定する
サイバー攻撃の90%以上がメールを起点としています。にもかかわらず、メールセキュリティの基本設定であるSPF/DKIM/DMARCが未設定の中小企業は非常に多いのが現状です。
SPF/DKIM/DMARCとは
この3つは、メールの「なりすまし」を防ぐための仕組みです。
SPF(Sender Policy Framework)
「このドメインからメールを送れるサーバーはこれだけ」とDNSに宣言する仕組みです。宣言されていないサーバーからのメールは、受信側で「なりすましの可能性あり」と判断されます。
DKIM(DomainKeys Identified Mail)
メールに電子署名を付与し、送信後に内容が改ざんされていないことを証明する仕組みです。
DMARC(Domain-based Message Authentication, Reporting and Conformance)
SPFとDKIMの結果を組み合わせて、認証に失敗したメールの扱い(何もしない/隔離/拒否)を指定する仕組みです。
Microsoft 365での設定手順
SPFの設定
DNSのTXTレコードに以下を追加します。
v=spf1 include:spf.protection.outlook.com ~all他にもメール送信に使っているサービス(HubSpot、SendGridなど)があれば、そのSPFレコードも追加します。
DKIMの設定
- Microsoft 365管理センター → 「セキュリティ」→「ポリシーとルール」→「脅威ポリシー」
- 「メール認証の設定」→「DKIM」を選択
- 対象ドメインを選択し、「有効にする」をクリック
- 表示されるCNAMEレコード2件をDNSに追加
DMARCの設定
DNSのTXTレコードに以下を追加します(まずは監視モードから)。
_dmarc.example.com TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com"レポートを1〜2ヶ月監視し、問題がなければ p=quarantine(隔離)、最終的に p=reject(拒否)に段階的に引き上げます。
設定後の確認方法
以下の無料ツールで設定を確認できます。
- MXToolbox: SPF/DKIM/DMARCの設定確認
- mail-tester.com: メールの総合スコアチェック
- Google Admin Toolbox: DNSレコードの確認
次回は、端末管理とデバイスセキュリティについて解説します。
← 前回: 【連載第5回】パスワード管理 | 次回: 【連載第7回】端末管理とデバイスセキュリティ →
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。