改善された DKIM 構成ページがドメインの確認を求める

改善された DKIM 構成ページがドメインの確認を求める

何らかの手動介入が必要な場合がある

Office 365 用 Microsoft 365 Defender でドメイン キー識別メール (DKIM) の簡略化された構成をカバーするメッセージ センター通知 MC291056 (更新された 10 月 19 日) は、テナントに登録されているすべてのドメイン名が正常であることを確認する良いリマインダーでした。

DKIM は、ドメインの送信電子メールに暗号化された署名を含めるために秘密キーを使用します。ドメインの公開キーは、その DNS レコードで公開されます。受信側ドメインは、公開キーを使用してメッセージの署名をデコードし、なりすましの試みではなく、そのドメインから電子メールが送信されたことを確認します。

Microsoft は、テナント サービス ドメイン (各テナントに割り当てられた onmicrosoft.com ドメイン) の DKIM を自動的に構成します。ほとんどの Office 365 テナントのように、テナントに 1 つ以上のカスタム ドメインがある場合、管理者は電子メールに使用されるドメインごとに DKIM を構成する必要があります (承認済みドメイン).

Exchange オンラインから送信されるすべての送信電子メールは、DKIM で署名されています。Exchange Online では、DKIM がカスタム ドメイン (Office365itpros.com など) 用に構成されていない場合は、サービス ドメイン名を使用します。DKIM に使用するドメインが、メール送信ドメインと一致する場合は、メール認証の方が適しています。したがって、すべてのカスタム ドメインが構成されていることを確認する必要があるロジック。

ドメインを確認する

確認する最初の場所は、Microsoft 365 管理センターの[設定]の[ドメイン]セクションです。Microsoft 365 では、登録された各ドメインが正常であると考えられることを確認します。Microsoft 365 はドメインをチェックする際に DKIM を考慮していないため、DKIM とは何の関係もありません。ただし、Microsoft 365 では、DNS レコードの基本セットに問題があるドメインを考慮しないようにすることをお勧めします。興味深いことに、ドメインで利用できる詳細には、プライマリ SMTP アドレスにドメインを使用するグループとチームのセットが含まれています (図 1)。

メール ドメインのチームとグループ
図 1: 電子メール ドメインのチームとグループ

この情報は他の場所でも簡単に見つけることができますが、ドメインを削除して電子メールの流れを維持するために SMTP アドレスを再割り当てする必要がある場合に備えて、この情報をここに置くとよいでしょう。パスの際に、アプリ セクションには、必要な URL としてドメインを使用する Azure AD 登録済みアプリが一覧表示されます。

新しい DKIM ページ

MC291056 は、新しいの導入をノート DKIM 設定ページ マイクロソフト 365 セキュリティ センターで。このページには、テナントの承認済みドメインが一覧表示され、管理者は個々のドメインを選択して DKIM を有効または無効にできます (図 2)。

Microsoft 365 セキュリティ センターの新しい DKIM 構成ページ
図 2: Microsoft 365 セキュリティ センターの新しい DKIM 構成ページ

tonyredmond.email ドメインを除いてすべてが整っていました。ドメインは電子メールで動作しますが、ドメインの CNAME レコードが DNS で公開されていないため、DKIM が有効になっていません。この状態は、PowerShell での ゲット・ドキム・サイン・コンフィグ ドメインを確認するコマンドレット:

Get-DkimSigningConfig  | ? {$_.Enabled -ne $True } | Format-Table Domain, Enabled, Status, LastChecked

Domain                            Enabled Status        LastChecked
------                            ------- ------        ------------
tonyredmond.email                   False CnameMissing  20/01/2016 18:58:29

マイクロソフトのドキュメント では、何を行う必要があるかを説明します。GoDaddy はドメイン マネージャーなので、ドメインの DKIM 署名用に DNS に CNAME レコードを作成する必要がありました。CNAME レコードの値を取得する場合は、 ゲット・ドキム・サイン・コンフィグ コマンドレット:

Get-DkimSigningConfig -Identity tonyredmond.email | Select -ExpandProperty Selector1CNAME
selector1-tonyredmond-email._domainkey.xxxxxx.onmicrosoft.com
Get-DkimSigningConfig -Identity tonyredmond.email | Select -ExpandProperty Selector2CNAME
Selector2-tonyredmond-email._domainkey.xxxxxx.onmicrosoft.com

GoDaddy のドメイン マネージャと 2 つのレコードを簡単に参照して、挿入しました (図 3)。

GoDaddy ドメイン マネージャを使用したドメインの DKIM レコードの追加
図 3: GoDaddy ドメイン マネージャを使用したドメインの DKIM レコードの追加

レコードを DNS に追加した後、Microsoft 365 に新しいデータを伝達するのに少し時間がかかります。通常は1時間で十分です。Microsoft 365 は、ドメインの DKIM の CNAME レコードについて認識した後、移動して DKIM を有効にすることができます。 このドメインのメッセージに DKIM 署名を付けて署名する 無効から 有効 (図4)。

DKIM のドメインを有効にする場所
図 4: DKIM のドメインを有効にする場所

もちろん、PowerShell を使用してドメインを有効にすることもできます。

Set-DkimSigningConfig -Identity tonyredmond.email -Enabled $True

キーローテーション

ドメインで DKIM が有効になっている場合は、キーローテーション用にドメインを設定することもできます。のドキュメント 回転 – ドキム署名構成 Microsoft 365 では、秘密キーと公開キーが自動的にローテーションされ、攻撃者がメッセージの署名に使用するキーを侵害する可能性を減らすため、この操作は必要ありません。このアサーションは、サービスドメインは、しかし、私は先に進み、電子メールを送信するために使用されるすべてのカスタムドメインのDKIMキーを回転しても問題は見ません。幸せな署名!

サブスクリプションを使用して Exchange オンラインおよび Office 365 の残りの部分を保護する方法について説明します。 IT 担当者向け Office 365 電子書籍。テナントを保護する上で重要な内容と最善の方法を理解するために、経験を活かして理解してください。


未分類

Posted by admin