Microsoft High Risk Delivery Pool (HRDP) からのメールリレーについて
search cancel

Microsoft High Risk Delivery Pool (HRDP) からのメールリレーについて

book

Article ID: 403756

calendar_today

Updated On:

Products

Email Security.cloud

Issue/Introduction

攻撃者が「EchoSpoofing」と呼ばれる手法を利用し ClientNet の登録ドメインになりすまして、Microsoft 365 Exchange Online (O365) の SMTP リレー機能を悪用し、なりすましメールを送信する可能性があります。

Office 365 の SMTP リレーでは任意のドメインからメール送信が可能なため、このような攻撃が可能となっています。

この文書では EchoSpoofing を行う攻撃者が Microsoft High‑Risk Delivery Pool(HRDP) と呼ばれる IP レンジから Email Security.cloud の登録ドメインになりすましてメールを送信することを防止する方法を案内します。

Environment

Email Security.cloud

Cause

2024年7月に、攻撃者がメッセージ中継時にメールの認証チェックをバイパスできる問題を利用し、Office 365 を使用している大手ブランドになりすまして数百万通のなりすましメールが送信されました。この攻撃は「EchoSpoofing」と呼ばれています。
EchoSpoofing が行われている際の兆候の一つとして、通常 Office 365 から送信される時の送信元 IP とは異なる IP アドレス範囲からなりすましメールが送信されるという点があります。この IP アドレス範囲は Microsoft High-Risk Delivery Pool (HRDP) として知られています。 Microsoft 社は Office 365 から送信されるメールが疑わしいメールであると判断した場合、そのメールを HRDP の IP アドレスから送信します。

送信方向の配信のプール

HRDP からのメールを Email Security.cloud が受け入れてそのまま配送すると、 Email Security.cloud の IP アドレスが他社の IP ブロックリストに追加されてしまうリスクが高くなります。
ほとんどの組織から送られるメールの多くは HRDP の範囲から送られないため、 Email Security.cloud では 2025年7月22日からデフォルトでHRDP からのトラフィックを拒否するようになります。
HRDP からのトラフィックを引き続き許可したい場合は、下記の手順に従って ClientNet のアウトバウンド経路の設定に Microsoft High-Risk Delivery Pool を明示的に追加する必要があります。
なお、この設定を行わない場合でも HRDP の範囲からの NDR メールなどについてはこれまで通りに受け入れて処理されます。


Resolution

最初に、自社ドメインから外部に送信されているメールで HRDP を使用した送信が行われているかを確認します。最も簡単な方法は Office 365 のメッセージ追跡を利用して配信プールを確認することです。

送信方向の配信のプール / 使用された送信プールを確認する

HRDP を使用して送信されているメールがあり、それが必要なメールである場合は、以下の手順でアウトバウンド経路の設定に "Microsoft Office 365 High Risk Delivery Pool" を追加します。
この設定を行わない場合、2025年7月22日以降、High-Risk Delivery Pool (HRDP) の IP アドレス範囲からのメールは Email Security.cloud で拒否されるようになります。

アウトバウンド経路で HRDP からのメールを受け入れるように設定する:

  1. ClientNet ポータルへログインして [プラットフォーム] > [アウトバウンド経路] を開きます。
  2. [ホストされた電子メールサービス] を選択します。
  3. ドロップダウンメニューを開き、 "Microsoft Office 365 High Risk Delivery Pool" を選択します。
    (Microsoft Office 365 との連携を初めて設定する場合は、 [Microsoft Office 365] も選択します。
  4. [追加] ボタンをクリックして設定を追加します。

重要: 他の Microsoft のテナントから悪用されるリスクがあるため、必要がない限り "Microsoft Office 365 High Risk Delivery Pool" の設定は追加しないようにして下さい。
"Microsoft Office 365 High Risk Delivery Pool" の設定を追加する必要がある場合は、下記技術文書の手順で EchoSpoofing のメールを検出するためのデータ保護ポリシーを作成することを強く推奨します。

How to monitor and block EchoSpoofing with a Data Protection Policy




Additional Information

Powered by Wolken Software