onmicrosoft.comをどうしても隠蔽したい

2019年4月23日

お客様より「xxx.onmicrosoft.comは外部にバレたくないしユーザーにも見せたくない」という要望を受けますが、実現可能なのでしょうか?

xxx.onmicrosoft.com とは?

Office 365(Microsoft 365)の契約毎に割り当てられる一意のドメインであり、契約後は変更不可。独自ドメインを持っていないユーザーや、検証環境で気軽に使えるようにと用意されたものだが、本番環境では会社のドメイン(xxx.co.jp)を使うのが普通であり、xxx.onmicrosoft.comは不要となる。

※ 私のテナント。myalmea.onmicrosoft.com が xxx.onmicrosoft.com であり、Office 365 契約時に割り振られるもの(名前は自分で選べる)。almea.jpが自分所有のドメイン。

以下、本番環境であることを前提に話す。

なぜ隠蔽したいのか?

よくある2大理由。

1. ユーザーに見せたくない

会社ドメイン xxx.co.jp しか利用していないユーザーが突如 xxx.onmicrosoft.com を見てしまったら「xxx.onmicrosoft.comって何ですか?スパムですか?」とユーザーの混乱を招き、不要な問い合わせが発生する可能性がある。

2. セキュリティ的によろしくない

理由はいろいろありますが、onmicrosoft.comを利用してクラッカーに狙われる恐れがある。詳しくは別エントリ。

onmicrosoft.comが表示されちゃう場所

SPO、Skype、ExOL、Teamsの四天王を論じる。Swayとかは知らん(私がナレッジなし)

SPO(OneDrive)

SPOサイト自体にxxx.sharepoint.comという名前付けがされるので、内部ユーザーには見えてしまう。例えば、自分のOneDriveを利用するときに見える。SPOやOneDriveで外部共有をする場合、xxx.sharepoint.comが含まれる形で共有するため、外部ユーザーにバレてしまう。

Skype

Skypeはテナント側でデータベースのようなものは持たず、あくまで個人の連絡先を情報として閲覧できる形となる。連絡先はAzure AD のSIPアドレスが見えるため、こいつが会社のドメインであれば、xxx.onmicrosoft.comは見えなかったはず(最近構築してないから怪しい
まぁほぼTeamsに置き換わってるからいいや…。

ExOL

明示的にメールアドレスを付与しなければ、[ユーザー名]@xxx.onmicrosoft.comというメールアドレスが付与される。明示的に会社メアドを付与した場合でも、セカンダリアドレスにというアドレスが強制的に付与されるので、[ユーザー名]@xxx.onmicrosoft.comでメール受信ができてしまう。

「明示的にメールアドレスを付与しなければ」というのは、Teamsでチームを作成した時にも当てはまるので、ユーザーが自由にTeamsを作れるシナリオだと、作るそばから@xxx.onmicrosoft.comで送信可能なメールボックスが出来上がっている(※)、ということになる。

※ 2019/4/23追記
Teamsからチームを作成した際に出来る共有メールボックスに対しては「メールボックス所有者として送信する」権限が付与されないので、設定変更なしにメールを送ることはできませんでした。すいません。

また、国井さんのブログにもあったが、メアドを隠蔽してもO365の仕様上、テナントからメール送信時にDKIM署名をするので、ヘッダーにxxx.onmicrosoft.comのドメインが記録される

Teams

ユーザーとしても管理者としても利用していますが、onmicrosoft.comが見えてしまう場面はない。ただこれはTeamsのUI上では、という条件付きであり、裏側のSPOやExOLを開いた瞬間にxxx.onmicrosoft.comがバンバン見える。これはSPO,ExOLの項目で説明していく

隠ぺいの検討

SPO

内部アクセスの際にxxx.onmicrosoft.comの代わりにxxx.co.jpを使わせるよう、内部DNSにCNAMEを記載して隠蔽することが出来る。しかしnslookupでCNAMEの変換先を引けばバレてしまうし、ファイル共有を使うと自動的にonmicrosoft.comを含まれるアドレスが発行されるので隠蔽は難しいと思う。

ExOL

メールフロー

トランスポートルールでxxx.onmicrosoft.comが含まれるメールは破棄する設定にしておけば防げる。ただ、マイクロソフト社からの通知メールなどがxxx.onmicrosoft.com宛に送られてきても破棄するので注意する。前に問い合わせた時は、通知メール系はプライマリメールアドレスを見ているとのことなので、管理者IDをxxx.onmicrosoft.comのまま運用する場合は、UPNはそのまま、プライマリメールアドレスをxxx.co.jpにしておく。

セカンダリアドレス

ユーザーオブジェクトにはxxx.onmicrosoft.comが付与されたままなので、Outlookの連絡先カードを使うと一般ユーザーでもxxx.onmicrosoft.comの確認が可能。隠蔽不可。

DKIM署名

DKIM署名にxxx.onmicrosoft.comが記録されちゃう問題は、DKIM署名を無効にすることで回避できる。

DKIMを無効にする賛否はあれど、日本国内では4割程度の実装であるため無効にしても即スパムとは扱われにくい事、3rdパーティーMTAをかませて、そこでDKIM署名を行うことで回避できること、DMARKを使うことが代替策となる(DMARKだけは実装したことないので、実はこいつもonmicrosoftを外に出す可能性はある)

まとめ

内部漏洩

SPOのサイト、OneDriveの自領域、Outlookより自分の連絡先情報を見る、など手段がありすぎて隠蔽は難しい。

外部漏洩

自テナントのSPOサイト(OneDrive含む)にアクセスさせない、メールフローの隠蔽、DKIM署名の削除で対応できる。

よって、バレるのは内部ユーザーだけなので安心!…というわけにはいかず。ゼロトラスト理論だと内部ユーザーを信用しないし、仮に信用してもこんだけ埋め込まれてたらどっかから漏れるでしょということで、バレる前提で考える、隠蔽するのに無駄な工数をかけない方がよいと思いました。

Posted by tera