"SPF record: hard fail" の高度なスパム対策フィルターのオプションが有効な場合、過度な誤検出が生成される

現象
高度なスパム対策フィルター (ASF) のオプションの “SPF record: hard fail” は当該オプションが有効なユーザーに対して過度な誤検出を生成します。

Screen shot of the SPF record: hard fail option
原因
この問題は以下のいずれかの状況で発生します。 
  • ドメインに対するプライマリ MX レコードが Exchange Online Protection (EOP) をポイントしない

    MX レコードが EOP をポイントする組織のドメインは、当該 MX レコード内の mail.protection.outlook.com と以下が類似します。
    contoso.com.  IN  MX  10 contoso-com.mail.protection.outlook.com
    プライマリ MX レコードが EOP をポイントしないこのドメインに対する MX レコードは、当該 MX レコード内の mail.protection.outlook.com がない場合でも以下に類似します。
    fabrikam.com.  IN  MX  10 mail.fabrikam.com
    ドメインはセカンダリ MX レコードとして EOP を保有する可能性があります (MX レコードの番号は優先度を表します。大きい番号は優先度が低いことを表します。電子メールはまず小さい番号の MX レコードにルーティングされ、再試行は次に大きい番号で実施されることを意味します)。以下に例を示します。 
    fabrikam.com. IN MX 10 mail.fabrikam.com.fabrikam.com. IN MX 100 contoso-com.mail.protection.outlook.com.
    どちらの場合でも、fabrikam.com はまず電子メールをオンプレミス メール サーバー (または、サード パーティーの電子メールフィルター) へルーティングし、それからコネクターまたはオンプレミス メール サーバーからのメール転送機能を使用し、電子メールを EOP へルーティングします。

    メッセージはインターネットからメールボックスまで以下のパスを通過します。 

    Screen shot that shows the path of the message from the Internet to the mailbox

    EOP 内の SPF チェックは、中継サーバーであるオンプレミス メール サーバーの IP アドレス 2 に対して行われます。SPF チェックは本来、メール送信元である IP アドレス 1 に対して行われるべきです。EOP は、IP アドレス 1 の代わりに IP アドレス 2 を使用するため、SPF Hard Fail を設定しているすべてのドメインは、SPF に失敗し、スパムと誤判定されます。この問題は、メール送信で、EOP からオンプレミス メール サーバーを経由して送信される場合でも発生します。

    この問題は、MX レコードがオンプレミス メール サーバーまたはサードパーティの電子メール フィルター サービスをポイントしている際に発生します。
  • EOP の外部でルーティングされた電子メールがその後 EOP に返される

    電子メールを EOP 経由でオンプレミス メール サーバーまたはサードパーティ フィルター サービスへルーティングし、その後再び EOP に返す組織もあります。この場合、ドメインのプライマリ MX レコードは EOP をポイントします。電子メールは送信コネクター経由でオンプレミス メール サーバーへ中継され、その後コネクターまたは MX ベースのルーティング経由で EOP へ返されます。

    Screen shot of the path of the message from the Internet to EOP

    典型的な実行方法は、オンプレミス メール サーバーが Exchange サーバーの場合、メール集中管理を使用してルーティングを行うことです。オンプレミス メール サーバーが Exchange サーバーでない場合は、ローカルのコネクターが使用されるか、MX ベースのルーティングにより電子メールが中継されます。

    コネクターが EOP からオンプレミス メール サーバーへ設定されており、さらにコネクターがオンプレミス メール サーバーから EOP へ返すよう適切に構成されている場合、元のスパム判定は再び使用され、メッセージが EOP に中継された時点で適切にフィルタリングが実行されます。

    ただし、EOP に対する送信および受信コネクターが適切に構成されていない場合、メッセージには 2 回目のスキャンが実施されます。IP アドレス 1 を利用していた元の SPF チェックは正しいが、IP アドレス 3 を利用した 2 回目の SPF チェックは間違っており、それが 2 回目のスパムのスキャンで使用される SPF チェックになります。SPF Hard fail を設定しているすべての送信側ドメインは最初のチェックの正しいにも関わらずスパムとして判定され、これが誤ったフィルターの結果につながります (誤検出)。
解決方法
Exchange Online はお客様によるアクションを要求せず、自動的にこの 2 つの問題を解決します。SPF Hard fail に対する ASF ルールを抑制すると解決できます。ただし、ASF ルールの適用は手動で確認します。

状況に合わせて以下のいずれかを実行します。 
  • ドメインに対するプライマリ MX レコードが Exchange Online Protection (EOP) をポイントしない

    ドメインのプライマリ MX レコードが、オンプレミス メール サーバーまたはサードパーティ フィルターではなく EOP をポイントしているか確認します。

    ドメインのプライマリ MX レコードが EOP をポイントしていない場合、EOP はプライマリ MX レコードではないことを検出し ASF の SPF hard fail オプションの適用を自動的に停止します。MX レコードが EOP をポイントする場合、サービスはこれを検出し、ASF オプションの適用を開始します。
  • 電子メールが EOP の外部でルーティングされ、そのあと EOP に返される

    ご利用のコネクターが正しく構成され、EOP からオンプレミス メール サーバーへの必要なヘッダーを保持しているか確認し、その後オンプレミス メール サーバーから EOP に返します。これにより、最初にメッセージが EOP でスキャンされた元々のスパム判定を保持するため、2 回目に EOP へ返されても再び使用することができます。

    必要なコネクターが作成されない場合、EOP は現在の構成状態を自動的に検出し、ASF の SPF hard fail の適用を停止します。必要なコネクターが生成された場合、サービスはこれを検出し、ASF のオプションの適用を開始します。

    コネクターについての詳細については、「Office 365 でコネクターを使用してメール フローを構成する」を参照してください。

    電子メール管理オプションの集中管理の詳細については、「Exchange 2013 ハイブリッド展開でのトランスポート オプション」を参照してください。
追加情報
その他トピックは Office 365 コミュニティ Web サイトを参照してください。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:3089691 - 最終更新日: 09/01/2015 20:36:00 - リビジョン: 1.0

Microsoft Exchange Online, Microsoft Exchange Online Protection

  • o365e o365m o365022013 o365 o365a eop kbgraphic kbgraphxlink KB3089691
フィードバック