Microsoftは2025年5月5日より、outlook.com、hotmail.comおよびlive.comのメール認証基準を強化し、SPF、DKIM、DMARC設定の要件に準拠しないメッセージを迷惑メールとして排除する。これはGmailやYahoo!メールが採用した基準と同等のもので、1日に5,000通を超えるメールを送信するドメインに対して適用される。ユーザーの安全性と信頼性を向上させことが目的で、スパム(迷惑メール)やフィッシングによる被害の軽減につながる。

詳細は、Microsoft Defender for Office 365 Blogの次の記事にまとめられている。

  • Strengthening Email Ecosystem: Outlook’s New Requirements for High‐Volume Senders|Microsoft Community Hub

    Strengthening Email Ecosystem: Outlook’s New Requirements for High‐Volume Senders|Microsoft Community Hub

SPF、DKIM、DMARCとは

SPF(Sender Policy Framework) は、送信元のメールサーバが正当なものであるかを検証する仕組み。ドメインの所有者がDNSに送信を許可するIPアドレスを登録し、受信側はその情報と実際の送信元IPを照合することで、ドメインのなりすましを防止できる。

DKIM(DomainKeys Identified Mail)は、メールが改ざんされていないことと、送信元の正当性を確認する仕組み。メールに電子署名を付けて送信し、受信側はDNSに公開されている公開鍵を用いてその署名を検証することにより、改ざんの有無を判断できる。

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、メールの送信者が、SPFやDKIMの検証結果に対して受信者がどのように振る舞うかを指示できる仕組み。DNSにポリシーを定義することで、受信者がSPFやDKIMの認証に失敗した際に、該当のメールを受信・拒否・隔離のいずれの方法で処理するかどうかを設定できる。

この3つの認証プロトコルを組み合わせることで、より効果的に迷惑メールを排除することができ、安全なメールの利用につながる。メールを送信する事業者にとっては、これらのポリシーに準拠することで、配信率の向上、バウンスバック(拒絶による返送)の減少、ブランドの信頼性の強化といったメリットを得られる。

Microsoftの新しいメール認証ポリシー

Microsoftのメールサービス(outlook.com、hotmail.com、libe.com)では、2025年5月5日より、1日当たり5,000通を超えるメールを送信するドメインに対して、SPF、DKIM、DMARCの設定を必須とする。具体的には、少なくともDMARCに「p=none」を設定してあり、SPFまたはDKIMのいずれか(できれば両方)が正確に適用されていなければならない。

このポリシーに準拠しないメールは、まずは自動的に迷惑メールフォルダーに振り分けられる。そして、問題が解決されない場合、最終的には受信を拒否される可能性があるという。また将来的に、非準拠のメールは(迷惑メール扱いではなく)強制的に拒否するようになる予定だという。

Microsoftでは、すべてのメール送信者、特に大量に送信する送信者に対し、新しいポリシーが施行される5月5日までにSPF、DKIM、DMARCレコードを確認して更新することを推奨している。