Office365 での送信者ドメイン認証の設定

Office365 の法人向けプランの、Business Premium または、Enterprise E3/E5 では、メールを扱う (Exchange online) ことができる。ここでは、設定を行い、送信者ドメイン認証の設定である、SPF, DKIM, DMARC を正しく設定する方法を紹介する。

独自ドメインの設定

Office365 を契約すると、まず、example.onmicrosoft.com というドメインが設定される。exampleの部分は契約時にユーザが決める。この example.onmicrosoft.com でメールの送受信ができるようになるが、これを自分の組織で所有している、example.jp でのメールの送受信ができるようにする必要がある。まず、Office365の管理者画面から、ドメインの追加を選び、設定を進める。

O365-admin-home.png

手順は、

  1. ドメインの所有権の確認
  2. DNSレコードの設定
  3. Office365 からの確認

と進む。これは、Office365 の標準的な手順であり、DNS の設定はそれぞれ、どのような DNS サーバー、またはサービスを利用しているかによって異なる。

この設定は、1つずつ確認しながら進めていく。ドメインの所有権の確認ができないと、先へ進めないし、DNS レコードの設定を行い、Office365側から確認ができないと、そのドメインを使用することができない。

この時点で、spf レコードを設定することになる。Office365システム以外からメールが送信されることがある場合には、そのアドレスを追加しなければならないが、Office365 の確認は、Office365の指定通りでないと完了しないので、一旦は、Office365の指定通りで設定し、確認が完了してから、変更する。

設定すべき項目は以下の通りである。

赤字の部分は、Office365から指定されるので、それに従う。

Exchange online

種類 優先度 ホスト名 ポイント先のアドレスまたは値 TTL
MX 0 @ example-jp.mail.protection.outlook.com 3600
TXT - @ v=spf1 include:spf.protection.outlook.com -all 3600
CNAME - autodiscover autodiscover.outlook.com 3600

Skype for Business

種類 優先度 ホスト名 ポイント先のアドレスまたは値 TTL
CNAME - sip sipdir.online.lync.com 3600
CNAME - lyncdiscover webdir.online.lync.com 3600
種類 サービス プロトコル ポート 重み 優先度 TTL 名前 ターゲット
SRV _sip _tls 443 1 100 3600 @ sipdir.online.lync.com
SRV _sipfederationtls _tcp 5061 1 100 3600 @ sipfed.online.lync.com

Mobile Device Management for Office 365

種類 優先度 ホスト名 ポイント先のアドレスまたは値 TTL
CNAME - enterpriseregistration enterpriseregistration.windows.net 3600
CNAME - enterpriseenrollment enterpriseenrollment.manage.microsoft.com 3600

追加の Office 365 レコード

種類 優先度 ホスト名 ポイント先のアドレスまたは値 TTL
CNAME - msoid clientconfig.microsoftonline-p.net 3600

この設定が完了すると独自ドメイン(この場合には、example.jp) でのメールの送受信ができるようになる。

ただし、すでに作成されているユーザに関しては、プライマリアドレスがonmicrosoft.com になっているので、exchange online の設定で変更する必要がある。

DMARC を使用して Office 365 でメールを検証する

DMARC を利用して、メールを検証できるようにするためには、独自ドメインでの DKIM を設定することが望ましい。詳細は、上記リンクのマイクロソフトのドキュメントに記載されているので、それを参照されたい。

まず、DNS に以下のレコードを追加する。赤字の部分は、それぞれ変更する必要があるので、管理画面のメッセージを確認しながら設定する。 そして、exchange online の管理センターで、保護>dkim で、DKIM を有効にするドメインを選択してから、[このドメインのメッセージに DKIM 署名で署名する] [有効] にする。下記 DNS レコードが正しく設定されている必要がある。

DKIM用追加レコード

種類 優先度 ホスト名 ポイント先のアドレスまたは値 TTL
CNAME - selector1._domainkey selector1-example-jp._domainkey.example.onmicrosoft.com. 3600
CNAME - selector2._domainkey selector2-example-jp._domainkey.example.onmicrosoft.com. 3600

DMARCの設定

DMARC の設定は、DNS の設定を行うのみで、Office365 で追加の設定はない。

DMARC用追加レコード

種類 優先度 ホスト名 ポイント先のアドレスまたは値 TTL
TXT - _dmarc v=DMARC1; p=none 3600

赤字の部分の設定に関しては、上記のリンクのマイクロソフトのドキュメントや、DMARC のドキュメントを参照して設定する。最初に試験的に設定する場合には、p=none とするのがよいだろう。

設定について検証するためには、Gmail にメールを送信してみることが最も簡単だろう。Gmail で、「メッセージのソースを表示」すると、SPF, DKIM, DMARC の検証状況が表示される。

Office365の設定上の注意

Office365 のドメイン周り、メールアドレス周りに関しては、設定してもすぐに反映しない。多くの場合、1時間程度で反映するが、数時間から1日程度かかることもある。dkim のキーなどは、長くかかるようである。ドキュメントの通りに表示されていない場合には、少し時間をおいてから行う必要があるようだ。

最終更新日: $Date: 2016-12-07 10:11:27+09 $

Copyright (c) 2008-2010 by Shin Yoshimura. All rights reserved.