大量送信者向けのMicrosoft DMARCエラーコード:トラブルシューティングガイド
マイクロソフトのDMARC要件について
5月、マイクロソフトは、outlook.com、hotmail.com、およびlive.comのメールボックスにメールを送信する大量送信者に対し、DMARC要件の適用を開始しました。
これらのMicrosoftメールボックスに対して1日あたり5,000通以上のメールを送信するドメインは、大量送信者として扱われ、以下の要件を満たす必要があります:
- 送信ドメインはSPFに合格している必要があります
- ドメインのDNSレコードには、許可されたIPアドレスやホストが正確に記載されている必要があります。
- 検証に合格するには、DKIMが有効である必要があります。
- 少なくとも以下の内容を含むDMARCレコード p=none を含むDMARCレコード、およびSPFおよび/またはDKIMの整合性(できれば両方)。
新しい認証要件を満たさないメッセージは、エラーコード550 5.7.515 とともに完全に拒否されます。
MicrosoftのDMARCエラー応答について
マイクロソフトは、電子メールのエラーを「ハードエラー」と「ソフトエラー」の2つのカテゴリに分類しています。
- 「Invalid-mailbox」および「Invalid-domain」はハードバウンスであり、無効なメールボックスやドメインにメールが送信された場合に発生します。これらのケースでは、受信者のメールアドレス、あるいはそのアドレスに含まれるメールドメインが存在しません。ハードバウンスは送信者のレピュテーションに影響を与える可能性があるため、メーリングリストを点検し、ハードバウンスの原因となるアドレスを削除してください。
- マイクロソフトは、DMARC、SPF、DKIMを含む配信および認証エラーを「ソフトエラー」に分類しています。これは一時的な配信エラーであり、後述するように解決が可能です。
DMARCの問題によって引き起こされる主なMicrosoft SMTPエラーコード
メールサーバーが問題のあるメールを別のメールサーバーに配信しようとして失敗した場合、メールエラーコードが生成されます。エラーコードは、バウンスコード、SMTPエラー、または配信状況通知(DSN)とも呼ばれます。
以下は、Microsoftの送信者要件またはその他のメール認証の失敗に関連するエラーコードです:
550 5.7.515 – “Access denied, sending domain <domain> does not meet the required authentication level. The sender’s domain in the 5322.From address doesn’t meet the authentication requirements defined for the sender.”
550 5.7.509– アクセス拒否。送信元ドメイン [DOMAIN] は DMARC 検証に合格せず、DMARC ポリシーが「reject」に設定されています。
550 5.7.1 – 「送信元が認証されませんでした。送信元のメールシステムは、受信側のメールシステムに対して認証を行いませんでした。受信側のメールシステムでは、メッセージの送信前に認証が必要です。」
550 5.7.12– 「送信者は組織によって認証されませんでした。受信者アドレスが、組織外からのメッセージを拒否するように設定されているため、送信者のメッセージは拒否されました。」
550 5.7.23 – 「SPF違反のため、メッセージは拒否されました。宛先のメールシステムはSPFを使用して受信メールを検証しており、お客様のSPF設定に問題があります。」
Yahoo!およびGoogleのメールエラーコードをまとめ、新しい一括送信者要件の全体像をより明確に把握できるようにしました。
DMARCエラーの段階的な解決方法
上記のエラーコードが表示された場合は、以下の手順に従ってください:
- 当社のSPFサーベイヤーでSPFレコードを確認し、自社に代わってメールを送信するメールサービスがすべて含まれているか、また不要になったサービスが除外されているかを確認してください。また、このサーベイヤーはSPFレコードの構文が正しいか、その他の配信に関する問題がないかも確認します。
- 以下は、ご利用の各メールプラットフォームごとにDKIMレコードを作成・公開する方法です。
- SPFレコードとDKIMレコードが送信ドメインと一致していることを確認してください。SPFおよびDKIMで使用されるドメインが、メールの「From」ヘッダーのドメインと一致している場合、DMARCの整合性という重要な要件を満たしたことになります。
配信失敗を防ぐためのベストプラクティス
Microsoftから提供された一般的なエラーコードの解決策をご確認いただいたところで、DMARCは一度設定すればそれきりというものではないことをご留意ください。Google、Yahoo、Microsoftは、最低限のDMARCポリシー要件を設定しましたが、これは将来的には引き上げられる予定です。以下のDMARCのベストプラクティスを念頭に置いてください:
- 当社のDMARC管理プラットフォームでリアルタイムのDMARC監視を設定し、メールの送信状況を可視化しましょう。
- 当社のプラットフォームを利用してレポートを設定し、SPF、DKIM、DMARCの毎日のヘルスチェックを自動化しましょう。
- ポリシーを次のように更新し、DMARCの「強制優先」ポリシーを確立してください p=quarantine 、最終的には p=rejectへと移行し、DMARCの「強制優先」ポリシーを確立してください。
dmarcianがMicrosoftのDMARC準拠をいかに簡素化するのか
当社はDMARCの黎明期からこの分野に携わっており、メール認証がブランドや顧客の保護、そしてメールの確実な配信において極めて重要であることを熟知しています。当社は、あらゆる規模の組織を支援するための優れたツールと専門知識を提供しています。
- DMARCを、推測や業務への支障なく導入し、
- メール環境の全体像を把握し、
- 進化し続けるメールセキュリティポリシーに先手を打つ、
- メールを受信する。
メールがブロックされないように――当社と一緒にDMARCを正しく導入しましょう。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
