標的型攻撃メール訓練を開始するにあたり、メール環境が Microsoft 365(Exchange Online) の場合によくいただくお問い合わせの事例を元に、推奨設定をまとめました。2024年8月時点の情報を元に公開しております。
標的型攻撃メール訓練を全社的に行う前に、可能な限り設定いただくことを推奨いたします。理由としては、検疫による訓練メールの不達やリンクのクリック判定を回避する目的でです。
もしくは、Microsoft 365(Exchange Online) において、訓練で配送したメールが届かない、迷惑メールに分類される、開封判定が正しく取れない等でお困りの際にご参照ください。
詳細概要
訓練対象者が訓練メールを自ら閲覧・クリックしていないにもかかわらず、既読・開封判定がされる場合
なお、いずれの設定も Microsoft 365(Exchange Online) の管理者による「Exchange 管理センター」における「ルール」での設定登録、もしくは PowerShell による Exchange Online への接続とコマンドレットの実行が必要になります。
手順概要
メール環境が Microsoft 365(Exchange Online) の場合、以下の設定をおこなうことでセキュリオが標的型攻撃メール訓練により送信したメールがスパム対策フィルタ、メール内容や添付ファイルのスキャンによる影響を受けずユーザーのメールボックスに配送し、正しいタイミングでの開封判定が可能になります。
- セキュリオから送信されるメールの条件を確認する
- 「優先受信トレイ」に配送させる
- スパム対策フィルターをバイパスさせる
- Microsoft Defender for Office 365によるメールのスキャンをバイパスさせる
- ※Microsoft Defenderが含まれないMicrosoft サブスクリプションのご契約の場合は不要な場合がございます。
- 標的型攻撃メール訓練で使用するドメイン名/メールアドレスを「信頼できる差出人のリスト」に一括で追加する
なお、Exchange 管理センターのルール設定において、単一のルールに複数のメッセージヘッダー変更を登録することができないようです。3. ならびに 4. の設定は、ルールの登録を分けることをお勧めいたします。
設定手順
上記の「Exchange 管理センター」における各項目における詳細手順につきましては、以下よりご参照をお願いいたします。
以下の手順書の内容を対応することで、各1~5の項目を対応していることになります。
上記1~3の項目
上記4の項目
上記5の項目
- 以下に記載の「5.標的型攻撃メール訓練で使用するドメイン名/メールアドレスを「信頼できる差出人のリスト」に一括で追加する」の手順をご確認ください
1~5を設定した場合においても想定通りにいかなかった場合(Exchange Online Protection ご利用のお客様向け)
※Microsoftのプランにおける詳細概要については、以下に記載の「Microsoftのプランについて」をご参照ください
上記1~5の各設定における詳細概要の動画
動画公開をおこなっておりますので、あわせてご参照ください。
※過去実施したウェビナーのアーカイブ動画です。
1. セキュリオから送信されるメールの条件を確認する
セキュリオから送信されるメールは、すべて以下の条件を満たしています。
これらは、以降の各設定におけるルール条件に用います。
- 送信者のドメインが標的型攻撃メール訓練で用いるドメイン名(cube-navi.comなど)である
- 訓練メールを配信する際、みなさまに送信元ドメインを弊社提供のドメインのなかから選択して設定します。
- みなさまが訓練で用いる具体的なドメイン名は、「標的型攻撃メール訓練」機能内の『ドメイン』メニューや、訓練の作成画面の送信元メールアドレスの設定・ドメインの選択よりご確認ください。
- 訓練メールほか、セキュリオからの通知メールをバイパスする場合は「seculio.com」もご登録ください。
- 直近では、こちらの設定をseculio.comや、過去の訓練で選択したドメインのみ設定いただき、訓練で用いるドメインの設定がなされていないことによるお問い合わせが増えております。ご確認ください。
- 訓練メールを配信する際、みなさまに送信元ドメインを弊社提供のドメインのなかから選択して設定します。
- 「DKIMのチェックが成功」もしくは、「DMARCのチェックが成功」
Exchange管理センターにおける「ルール条件」の設定値は以下になります。
| 条件 | 指定 |
|---|---|
| 「送信者」「ドメイン」 | 「seculio.com」、その他標的型攻撃メール訓練の訓練メールの送信元として用いるドメイン名※ |
| 「メッセージ ヘッダー...」「次のテキストパターンと一致する」 | 「Authentication-Results」メッセージ ヘッダーが 「dmarc=pass」or「dkim=pass」と一致する |
※訓練で配信する訓練メールの送信元ドメインをルールにご登録をされずに、訓練を行い、訓練メールが検疫にかかり訓練メールが受信ボックスに到達しない、といったケースについて数を多くお問い合わせをいただいております。送信元ドメインのルールへのご登録も必ず行っていただくことを推奨いたします。訓練用にセキュリオで提供しているドメインすべてをご登録いただく必要はございません。訓練に必要なドメインをご登録ください。(送信元のドメインは、標的型攻撃メール訓練>[ドメイン]から利用するドメインをご確認ください)
2. Outlookの「優先受信トレイ」に配送させる
ユーザーがOutlookの「優先受信トレイ」を有効にしている状況下で、セキュリオからのメールを「優先」にするルールを加えます。
| アクション | 設定値 |
|---|---|
| 「メッセージのプロパティの変更」「メッセージ ヘッダーの設定」 | メッセージ ヘッダー「X-MS-Exchange-Organization-BypassFocusedInbox」を値「true」に設定します |
3. スパム対策フィルターをバイパスさせる
Exchange Online上で実行されるスパム対策フィルターをバイパス(省略)し、該当するメールはスパム判定をしないルールを加えます。
| アクション | 設定値 |
|---|---|
| 「メッセージのプロパティの変更」「SCL (スパム信頼度レベル) の設定」 | SCL (Spam Confidence Level) を次の値に設定する 「-1」(※) |
※値は「Bypass spam filtering」を選択します。設定内容の確認画面では「-1」と表示されます
4. Microsoft Defender for Office 365によるメール内容のチェックをバイパスさせる
Microsoft Defender for Office 365を利用している場合、メール本文のリンク、ならびに添付ファイルに対するチェックが行われることでリンクや添付ファイルへのアクセスが発生し、セキュリオは開封されたと判断いたします。
そのため、これらのチェックをスキップする以下2つのルールを加えます。
安全なリンクのチェックをスキップする
| アクション | 設定値 |
|---|---|
| 「メッセージのプロパティの変更」「メッセージ ヘッダーの設定」 | メッセージ ヘッダー 「X-MS-Exchange-Organization-SkipSafeLinksProcessing」 を値 「1」 に設定します |
安全な添付ファイルのチェックをスキップする
| アクション | 設定値 |
|---|---|
| 「メッセージのプロパティの変更」「メッセージ ヘッダーの設定」 | メッセージ ヘッダー 「X-MS-Exchange-Organization-SkipSafeAttachmentProcessing」 を値 「1」 に設定します |
※こちらのルールを設定されずに、訓練を行い、訓練対象者がリンククリックや添付ファイルの開封を行っていないのにもかかわらず、開封判定がされるといったケースについて数多くお問い合わせをいただいております。訓練を実施する前に、こちらの設定を行っていただくことを推奨いたします。
参考記事:訓練対象者が訓練メールを自ら閲覧・クリックしていないにもかかわらず、既読・開封判定がされる場合
https://support.lrm.jp/hc/ja/articles/41120532405913
参考記事:事前準備のために登録するためのURLを教えてください
https://support.lrm.jp/hc/ja/articles/58579728673177
5. 標的型攻撃メール訓練で使用するドメイン名/メールアドレスを「信頼できる差出人のリスト」に一括で追加する
PowerShell で Exchange Online に接続しコマンドレットを実行することで、対象ユーザーにおける「信頼できる差出人のリスト」に一括で反映することができます。
PowerShell で Exchange Online に接続する方法
マイクロソフトが提供する以下のナレッジをご参照ください。
※当該操作はお客様環境ごとに影響が異なるため、上記マイクロソフトにおけるナレッジ以外の詳細手順については、マイクロソフト社へお問い合わせください。
すべてのユーザー(メールボックス)に一括で登録する場合
以下のコマンドレットを実行します。
Get-Mailbox -RecipientTypeDetails UserMailbox -Resultsize Unlimited | foreach {Set-MailboxJunkEmailConfiguration -Identity $_.Identity -TrustedSendersAndDomains @{Add="seculio.com","<追加するアドレス/ドメイン>"}}特定のユーザー(メールボックス)のみ登録する場合
以下のコマンドレットを実行します。
Set-MailboxJunkEmailConfiguration -Identity <設定を追加するメールアドレス> -TrustedSendersAndDomains @{Add="seculio.com","<追加するアドレス/ドメイン>"}設定の確認
以下のコマンドレットを順に実行します。
■ターミナルを開くごとに1回のみ実行
$FormatEnumerationLimit = -1■対象のユーザー(メールボックス)における設定内容の確認
Get-MailboxJunkEmailConfiguration -Identity <設定を確認するメールアドレス> | Select Identity,TrustedSendersAndDomains | format-listMicrosoftのプランについて
ご契約のMicrosoftのプランをもとに、上記の設定項目のなかで、貴社に必要な設定をご検討ください。
Exchange Online Protection(EOP)関連の公式情報
- Exchange Online Protection サービスの説明(提供プラン一覧・機能比較)
Exchange Online Protection サービスの説明 [Exchange O...rosoft.com] - Exchange Online Protection 機能詳細(スパム・マルウェア対策など)
Exchange Online Protection 機能の詳細 [Exchange O...scriptions]
Microsoft Defender 関連の公式情報
- Defender for Office 365 サービス説明(プラン1・プラン2の違い)
Microsoft Defender for Office 365 サービス説明 [Microsoft...scriptions] - Defender for Endpoint プラン比較と機能説明
Microsoft Defender for Endpoint サービス概要 [Microsoft...r Endpoint]
| プラン名 | Exchange Online Protection提供 | Defender for Office 365提供 |
| Exchange Online Plan 1 | あり | なし |
| Exchange Online Plan 2 | あり | なし |
| Microsoft 365 Business Basic | あり | なし |
| Microsoft 365 Business Standard | あり | なし |
| Microsoft 365 Business Premium | あり | Defender for Office 365 Plan 1: 添付ファイル・リンクの保護、基本的なフィッシング対策。 |
| Office 365 E1 | あり | なし |
| Office 365 E3 | あり | Defender for Office 365 Plan 1: 添付ファイル・リンクの保護、基本的なフィッシング対策。 |
| Office 365 E5 | あり | Defender for Office 365 Plan 2: 調査・対応機能、攻撃シミュレーションなど高度な機能。 |
| Microsoft 365 E3 | あり | Defender for Office 365 Plan 1: 添付ファイル・リンクの保護、基本的なフィッシング対策。 |
| Microsoft 365 E5 | あり | Defender for Office 365 Plan 2: 調査・対応機能、攻撃シミュレーションなど高度な機能。 |
| Microsoft 365 F3 | あり | なし |
※表はMicrosoft社公式情報を参考に作成