コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=email-message-authentication

メッセージ認証

メッセージ認証チェックでは、差出人として表示されているアドレスからメールが送信されているかどうかを検証できます。Sophos Email では、 DMARC、SPF、DKIM を用いてこのチェックが行われます。

メッセージ認証チェックは、Email Security ポリシーの画面に表示されている順序で実行されます。最初のメッセージ認証チェックに失敗すると、他のチェックは実行されません。詳細は、メッセージ認証の仕組みを参照してください。

さまざまなシナリオでの認証の実行順序の詳細は、メッセージ認証の処理順序を参照してください。

メッセージ認証チェックの各カテゴリを、「隔離」に設定することを推奨します。

メッセージ認証チェックをスキップするには、ドメインやメールアドレスを「受信の許可リスト」で許可します。

各メッセージ認証で、失敗したメッセージを「エンドユーザー隔離エリア」に送信するように選択できます。

警告

Sophos EMS に登録していて、サードパーティプロバイダーからプライマリメールのセキュリティツールの背後に設定されている場合、ソフォスは変更されたメールを受信することがあります。その結果、DKIM チェックが失敗し、DMARC アライメントが正しく機能しない可能性があります。DKIM または DMARC チェックが失敗しても、必ずしもメールがセキュリティリスクにあることを意味するわけではありません。

メッセージ認証の設定

メッセージ認証を設定するときは、以下の手順に従います。

  1. メールセキュリティのポリシーで、 「設定 > 受信 > 認証」の順に選択します。

  2. 必要に応じて、DMARC、SPF、および DKIM のチェックをオンにします。

    デフォルトでは、DMARC チェックが有効になっており、「ハードフェイル」が「送信元ポリシーに準拠」に設定されています。

  3. ルールの追加」をクリックして、障害の種類を設定し、各チェックに対するアクションを選択します。

    利用可能な障害の種類とアクションの詳細は、DMARCSPF、およびDKIMを参照してください。

    他の DMARCの障害の種類を追加することは、すべての顧客で利用可能とは限りません。

  4. ポリシーを保存します。

新しい認証設定はすべての受信メールに適用されます。追加された条件は上から下にチェックされ、最初に一致したものが適用されます。

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) は、メール認証のポリシーであり、レポーティングを行うプロトコルです。DKIM および SPF を用いてなりすましメールの検出とブロックを行います。DMARC のチェックに失敗したメッセージの扱いを設定することができます。

ハードフェイル:このエラーは、メッセージが DMARC に合致せず、SPF も DKIM も整合性がないために発生します。デフォルトでは、このオプションは「送信元ポリシーに準拠」に設定されています。

ヘッダー From ドメインとエンベロープ From ドメイン間で SPF の整合性がチェックされます。DKIM 整合性は、DKIM 署名内の d=domainをヘッダー From ドメインと照合します。

メールセキュリティポリシーを設定して、DMARC の障害の種類をチェックすることもできます。

このバージョンのヘルプが公開された時点では、このオプションはリリースされていない可能性があります。

以下の項目を設定できます。

  • p=none:このオプションを使用すると、送信者のポリシーが none に設定されている場合、DMARC の障害に対するアクションを実行できます。

    この障害の種類を追加するのは、オプション「ハードフェイル」が「送信元ポリシーに準拠」に設定されている場合にのみ役立ちます。送信元ポリシーに準拠 し、送信元がポリシーを none (p=none) に設定している場合、送信者のメッセージの DMARC チェックが失敗した場合に障害アクションを実行できません。

  • 未対応:この障害は、送信ドメインに DMARC レコードが存在しない場合に発生します。この障害の種類は、ゲートウェイモードにのみ関連します。

  • M365 bestguesspass:この障害の種類は、M365 メールフローモードにのみ関連しています。M365 が "bestguesspass" を評価する詳細については、M365 のドキュメントを参照してください。
  • 一時的なエラー:このエラーは、DNS (Domain Name Server) での DMARC レコードの検索が一時的なエラーで応答した場合に発生します。このエラーは、何もしないでも自己解決する場合があります。
  • パーマネントエラー:このエラーは、DNS ルックアップによって返されたドメインの DMARC レコードが正しく解釈されない場合に発生します。このエラーは、DNS レコードの所有者によって解決される場合があります。

各エラーの種類に対して、以下のようにアクションを適用できます。

  • 送信元ポリシーに準拠:送信元の DMARC ポリシーの内容に従って、メッセージが処理されます。これはデフォルトの設定値です。

    このアクションは「ハードフェイル」にのみ適用されます。

  • 件名にタグを追加:Sophos Email はメッセージの件名に、なりすましメールであることを示すタグを追加します。

  • 隔離:メッセージは隔離されます。

    エンドユーザー隔離エリアに含める」を選択すると、ユーザーはメッセージを確認、リリース、または削除できます。詳細は、エンドユーザー隔離エリアを参照してください。

  • 拒否:メッセージは拒否されます。

    拒否されたメッセージには、Raw ヘッダーは使用できません。

  • 配信:メッセージは次のスキャン段階に配信されます。

SPF

SPF (Sender Policy Framework) は、受信するメールが送信ドメインの管理者が許可した IP アドレスから送信されたものかどうかを検証する技術です。スパムやフィッシングメールの差出人アドレスは、偽装されていることがよくあります。

ハードフェイルは、送信者の IP アドレスが許可された送信者としてリストされていない場合に発生します。許可された IP アドレスのみがメールを送信できるようにするには、送信者は SPF レコードに -all を追加する必要があります。このオプションは、障害時のアクションを設定できるデフォルトの SPF チェックです。

また、次のような他の SPF 障害の種類を設定することもできます。

  • ソフトフェイル:送信者の IP アドレスが許可されていない可能性がある場合に発生します。これは、ドメイン所有者がより明確な制限を設定していないため、より強い「フェイル」につながる可能性があります。承認された IP アドレスだけがメールを送信できるようにするには、送信者は SPF レコードに ~all を追加する必要があります。
  • ニュートラル:送信者のドメインが、SPF レコードで ?all を指定して、送信者の IP アドレスが許可されているかどうかを前提にしていないことを明示的に宣言した場合に発生します。この場合、任意の送信者 IP アドレスからのメールはニュートラルな結果を与えます。
  • 未対応:送信者が SPF レコードを設定していない場合に発生します。
  • 一時的なエラー:チェックの実行中に、一時的なエラー (通常は DNS が原因) が原因で発生します。このエラーは、DNS オペレータの介入なしに自動的に解決される場合があります。
  • パーマネントエラー:ドメインの公開されたレコードが正しく解釈されない場合に発生します。これは、DNS オペレータの介入が必要なエラーであることを示しています。

各エラーの種類に対して、以下のようにアクションを適用できます。

  • 件名にタグを追加:Sophos Email はメッセージの件名に、なりすましメールであることを示すタグを追加します。これはデフォルトの設定値です。

  • 隔離:メッセージは隔離されます。

    エンドユーザー隔離エリアに含める」を選択すると、ユーザーはメッセージを確認、リリース、または削除できます。詳細は、エンドユーザー隔離エリアを参照してください。

  • 拒否:メッセージは拒否されます。

    拒否されたメッセージには、Raw ヘッダーは使用できません。

  • 配信:メッセージは次のステップに配信されます。

DKIM

DKIM (DomainKeys Identified Mail) は、送信元ドメインに基づいてメッセージの署名と検証を行い、送信元の正当性を認証する技術です。DKIM のチェックに失敗したメッセージの扱いを設定することができます。

DKIM が設定され、DKIM 署名がメールにあり、DNS が適切に応答するが、DKIM チェックに合格しなかった場合にハードフェイルが発生します。このオプションは、障害時のアクションを設定できるデフォルトの DKIM チェックです。

また、次のような他の DKIM 障害の種類を設定することもできます。

  • 未対応:送信者が DKIM を設定していないか、送信者が DNS レコードで公開した DKIM キーが有効でない場合に発生します。
  • 一時的なエラー:チェックの実行中に、一時的なエラー (通常は DNS が原因) が原因で発生します。このエラーは、DNS オペレータの介入なしに自動的に解決される場合があります。
  • パーマネントエラー:ドメインの公開されたレコードが正しく解釈されない場合に発生します。これは、DNS オペレータの介入が必要なエラーであることを示しています。

各エラーの種類に対して、以下のようにアクションを適用できます。

  • 件名にタグを追加:Sophos Email はメッセージの件名に、なりすましメールであることを示すタグを追加します。これはデフォルトの設定値です。

  • 隔離:メッセージは隔離されます。

    エンドユーザー隔離エリアに含める」を選択すると、ユーザーはメッセージを確認、リリース、または削除できます。詳細は、エンドユーザー隔離エリアを参照してください。

  • 拒否:メッセージは拒否されます。

    拒否されたメッセージには、Raw ヘッダーは使用できません。

  • 配信:メッセージは次のステップに配信されます。