メインコンテンツへスキップ
Avanan:謎のメール送信量の解明

Avanan:謎のメール送信量の解明

2026年5月29日
セキュリティに関する洞察技術ガイダンス

ドメインのDMARCデータを検証している際、不可解な現象に遭遇することがあるかもしれません。それは、*.cloud-sec-av.com に解決されるIPアドレスから、貴社のドメインを名乗って送信された大量のメールであり、そのほとんどが通常、DMARC検証に失敗しているというものです。さらに懸念されるのは、Microsoftから報告されるこれらのデータすべてにおいて、メールが拒否されたと表示されている可能性があるという点です。 

なぜこれらのサーバーから、あなたのドメインを偽装したメールがこれほど多く送信されているのか、あるいはあなたのドメインが、何も知らない受信者を騙すために悪用されているのではないかと、疑問に思われているかもしれません。幸いなことに、これには理由があり、それは注目に値するマイクロソフト特有の挙動を浮き彫りにしています。 

Avananとは何ですか?

Check Point Avananは、Microsoft 365を利用する組織向けのクラウド型メールセキュリティサービスです。最も一般的な受信側の導入形態である「Protect(インライン)モード」では、Avananは受信者のMXレコードを変更せず、Microsoft 365が引き続きパブリックMXとして機能します。その代わりに、Avananは受信者のM365テナント内のコネクタおよび転送ルールを通じて、Exchange Onlineのメールフローに内部的に統合されます。 

DMARCのノイズ

メールを受信すると、次のような経路をたどります: 

  1. お客様のメールサーバーは、メッセージを受信者のMXサーバー(つまりMicrosoft 365)に配信します。M365は、設定に従って、すべての受信メールの認証(DMARC、SPF、DKIM)およびセキュリティチェックを実行します。 
  2. M365の転送ルールにより、メッセージは受信テナントからAvananのスキャンインフラストラクチャへと転送され、マルウェア、フィッシング、およびデータ漏洩防止(DLP)の分析が行われます。このプロセスでは、URLの書き換え、添付ファイルの削除、バナーの挿入、あるいは元のメール本文へのその他の変更が行われる場合があります。これは、既存のDKIM署名の有効性を維持する上で重要な点です。 
  3. Avananは、変更を加えたメッセージを、自社のIPアドレス範囲(*.cloud-sec-av.com)から受信者のM365テナントへ送信します。 
  4. M365はこのメッセージを再度受信し、この再受信に対して認証チェック(SPF、DKIM、DMARC)を再実行します。この2回目の認証チェックの結果が、DMARCレポートに表示されているものです。 
Avanan:謎のメール送信量の解明(画像)

マイクロソフトの誤解を招く報道

マイクロソフトによるDMARC検証結果の報告方法は、顧客の間でしばしば混乱を招くことがあります。ドメインで「隔離または 拒否」のポリシーを設定してDMARCを適用している場合、レポートには「DMARC検証に失敗しました」と表示されることが多く、メールの処理結果は公開されている適用ポリシーに従って決定されます。 

その処理は、実際にあなたのメールに施された処理とは異なります。 

メッセージが相手に届きました!

AvananのIPアドレスは、配信を確実にするために接続レベルでホワイトリストに登録されていますが、MicrosoftはDMARCチェックを実行するだけでなく、ホワイトリストが設定されていない場合にどのような処理が行われるかについても報告しています。DMARCレポートには、報告者が公開されたポリシーとは異なる処理を適用する理由を示すための仕組みが含まれています。これは集計レポートの「Override Reason(上書き理由)」および「Override Comment(上書きコメント)」機能を通じて行われますが、Microsoftはこれらの機能を特に使用していません。

それに対してどうすべきでしょうか?

何も。

送信ドメインの所有者であるあなたには、実行可能な有効なアクションはありません。具体的には:

  • ご自身でAvananを所有・利用している場合を除き、SPFレコードにAvananのIPアドレスを追加しないでください。 
  • 間接的なメールフローのためにDMARCポリシーを変更しないでください。エラーメッセージにはそう表示されていても、実際にはメールの配信に失敗しているわけではなく、何らかの措置を講じないことを強く推奨します。これらのDMARCエラーは、管理範囲外のインフラストラクチャによるメールの中継、つまり、宛先に正常に配信された後に転送されるメールによって引き起こされるものです。 
  • 受信者に連絡する必要はありません。彼らはあなたのメールを拒否しているわけではありません。 
御社のメールを信頼している人々を守りましょう

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

DMARCDMARCレコード

関連記事