Share via

Exchange Online の Safety Tip 機能による "なりすまし" 判定について

  • Article

最近、お客様より受信メールに対して以下の警告がメッセージ閲覧時に表示されるようになったというお問い合わせを多くいただきます。

---------------------------------------------------------------------------------------------
2016112201
この送信者は不正検出チェックに合格しませんでした。なりすましの可能性があります。
スプーフィングの詳細については、https://aka.ms/LearnAboutSpoofing をご覧ください。
---------------------------------------------------------------------------------------------
 
これは、Safety Tip と呼ばれる Exchange Online Protection (EOP) が自動的に受信メッセージに対して安全性のチェックを行った結果を表示する機能の一部です。
なりすましチェックの判定ロジックの概要については、英語となりますが以下の blog にてご案内しております。

Title: How antispoofing protection works in Office 365
URL: https://blogs.msdn.microsoft.com/tzink/2016/02/23/how-antispoofing-protection-works-in-office-365/

要約すると、EOP は以下のロジックにより Safety Tip の機能によるなりすましの判定を行います。

1. 送信者のメール アドレスのドメインが、受信者のテナント内に設定された承認済みドメインであるか
2. ステップ 1 に合致する場合、送信メッセージは外部を経由せず受信者のテナント内で認証されたものであるか (組織内の送受信か)
3. ステップ 2 に合致しない場合、送信者は評価されるか (※)
4. ステップ 3 に合致しない場合、なりすましの可能性があるメッセージとして判定する
 
※評価項目は以下の通りです。
- 送信ドメイン認証による評価 (SPF、DKIM、DMARC といった一般的な送信ドメイン認証の技術によるチェック)
- 送信元 IP アドレスの評価 (急激なメール発信量の増加やスパム業者としてブラック リスト化されているか、など)
- 過去に該当の送信者から受信の実績があるかといった機械学習によるメッセージの評価

上記の通り、なりすましの警告は受信ドメイン (お客様の組織) になりすましていると判断される場合に表示されます。
お客様の組織のドメインとは別のドメインを、第三者がなりすましているような場合は、従来のスパム判定処理が実行されることで適切にスパムと判断されます。

 
実際の例と確認方法について
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
なりすまし判定を受ける例として、外部のメーリング リスト サービスや Web フォームなどを使用して送信者と同じ Office 365 テナントのユーザー宛に送信する場合が挙げられます。
差出人 (From) に Office 365 テナントのメール アドレスを使用し、上記のような外部サービスを経由すると、前述の判定ロジックに従い外部から Office 365 ドメインになりすましたユーザーから受信したメッセージとして扱われる場合があるためです。

外部を経由して受信したメッセージかどうかについては、メール ヘッダー内の Received ヘッダーの内容から EOP のホスト名 (xxx.mail.protection.outlook.com) に対して外部ドメインの SMTP サーバーからメールを受信している記録があるかどうかで判断できます。
ヘッダー情報の確認の際は、下記 Web サイトの Message Analyzer タブにヘッダー情報を転記いただき、[Analyze headers] をクリックすることで見やすく表示することができます。

Title: Remote Connectivity Analyzer - Message Analyzer
URL: https://testconnectivity.microsoft.com/

以下のヘッダー例では、赤枠の箇所を見ることで、外部から Office 365 に受信したメッセージと確認できます。

2016112202

 
なりすまし判定を回避する方法
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
前述の blog "How antispoofing protection works in Office 365" でも一部ご案内しておりますが、以下のいずれかの方法が有効です。

- 受信ドメインの SPF レコードに送信元 IP を登録するといった、なりすまし対策を行う
- フィッシング フィルター ポリシー (PhishFilterPolicy) を設定する
 ※ PhishFilterPolicy は Office 365 Enterprise E5、または Advanced Threat Protection ライセンスが適用されている場合にのみ使用可能です。
- 接続フィルターの IP 許可リストに送信元 IP を登録する
- トランスポート ルールで送信元 IP や差出人ドメインを条件とし、該当のメッセージの SCL 値を -1 (スパム対策フィルターのバイパス) とする
- 送信元 SMTP サーバー側でスパム判定対策の実装が可能か、送信元へ対処を依頼する

英語となりますが、なりすまし判定を回避するための検討方法を下記 blog にてご案内しておりますので、併せてご参照くださいますと幸いです。

Title: Troubleshooting the red (Suspicious) Safety Tip for fraud detection checks
URL: https://blogs.msdn.microsoft.com/tzink/2016/11/02/troubleshooting-the-red-suspicious-safety-tip-for-fraud-detection-checks/

 
また、最近の更新により Safety Tip の機能はテナント管理者様にて下記 Web サイトにご案内の方法で無効化いただけるようになりました。
しかしながら、Safety Tip は今回ご紹介のなりすまし判定の他、フィッシング詐欺対策など様々な脅威に対する防御のための機能を提供しております。
弊社は Safety Tip の無効化は推奨しておりませんので、Safety Tip の無効化を検討する前に、なりすまし判定を回避するための上記対処のご検討をまずはお願いします。

Title: Office 365 での安全性に関するヒントを有効または無効にする
URL: https://support.office.microsoft.com/ja-jp/article/f09668bd-fe1a-4c01-89e3-e88c370e66c7
 
- 参考リンク
 Title: Office 365 の電子メールの安全性に関するヒント
 URL: https://blogs.technet.microsoft.com/microsoft_office_/2016/05/09/email-safety-tips-in-office-365/

 Title: EOP と Office 365 でメールが迷惑メールとして検出されないようにする
 URL: https://support.office.com/ja-jp/article/74aaade0-efc0-46ac-b949-f2d1d59256fa

 
*************************************************************************************
本記事は 2016 年 11 月 22 日時点で執筆されたものであり、ご紹介の動作、機能は今後変更される場合がございます。
*************************************************************************************