2025 年 8 月 1 日より、 Microsoft 365 に関する新しい承認済みドメインのすべての A レコードは mx.microsoft の配下にあるドメインに変化するとのアナウンスが Microsoft 365 メッセージセンターに投稿されていました。
この動作変更ですが、どうも DNSSEC への対応がキーとなって行われるようです。
いままでは mail.protection.outlook.com を覚えておけーといわんばかりに mx レコードはこちらに向いていたかと思います。
昨年の SMTP DANE 対応で mx.microsoft に切り替えているケースがあるかと思いますが、これが本格的に動き出す感じなのでしょう。
Microsoft 365 Exchange 受信時の SMTP DANE がプレビューに至ったようです - ()のブログ
前回見たときには行わなかったのですがそれぞれのドメインで DNSSEC が有効化どうか、見ておきたいと思います。
Windows では、 dig コマンドが使えないので Power Shell から Resolve-DnsName コマンドレットを使ってチェックします。 DnsSecOk オプションをつけることで確認を取ることができます。
Resolve-DnsName -Name mail.protection.outlook.com -DnsSecOk
outlook.com では署名情報が表示されていませんね。
一方の mx.microsoft では、、、
Resolve-DnsName -Name mx.microsoft -DnsSecOk
下の方に署名情報が表示されていました。
各ドメインは署名の期間がかなり短くなっていますね。
ところでこのドメイン変更の結果、ドメインに対応した mx レコードの取得は Graph API を用いるのが唯一の方法となったようです。
List serviceConfigurationRecords Graph API を使って取得しましょう。
Graph API なので、例によって Graph Explorer を使います。
以下のサイトで GET メソッドを使って取得してみましょう。
https://developer.microsoft.com/en-us/graph/graph-explorer
https://graph.microsoft.com/v1.0/domains/officeplanner.net/serviceConfigurationRecords
権限として Domain.Read.All が必要なのでない場合は Modify permissions から付与していきましょう。
結果、上記のような形で MX レコードが取得できました。
基本、自動的に切り替えられるものではないと思いますが、ドメインの正統性確認は今後大きな意味を持ってくると思うので、今のうちに設定変更を検討しておきたいところですね。
音楽:Tepee
