Office365改めMicrosoft365ですが
導入の際にDNSへSPFレコード(spf.protection.outlook.com)を追加して
Outlook.comから送信された独自ドメインのメールをスパムチェックされるようにしてます。よね？

ただ、みんな共通でspf.protection.outlook.comをSPFレコードに登録してるんですよね。よね？

SPFもDKIMもDMARCも送られてきたメールのドメインの権威DNSサーバーへ問い合わせて、リストされてるドメインやらIPやらが送信元メールサーバーと一致するか、で判断している、と思ってるのですが

これだとMicrosoft365を使ってる別テナントの独自ドメインを騙って送っても送られてもpassしちゃわないですか？

実際親会社のウェブシステムから親会社テナントのアカウント使って
うちのメアドを送信元として送っていることがあって(どういう実装だ)

？？？

となった次第です。

 

2020/04/12追記

DKIMはメールに電子署名、DNSに公開鍵を公開してそれを照合しているので
IPだけじゃないからMicrosoft365でも送信元を判定してくれるのかな？

 Microsoft365がテナント毎にDKIM用公開鍵を作れる仕様になってれば有効、ということだろうか。

どっちにしてもSPFだけだと無駄ということだろうか。。。