失効した Offce365 のカスタムドメインユーザーのメールを Amazon SES で受信してみた

いわさです。

本題と少し外れるのですが、次の記事でも紹介されている Microsoft Entra Permissions Management を使っていました。

その際に誤った構成を削除する機会があったのですが、ワンタイムパスワードを要求されました。

ここで気がついたのですが、Microsoft Entra Permissions Management のオンボーディングユーザーは次の記事で作成した、カスタムドメインの Microsoft Entra ID ユーザーでした。

また、このテナントには別の記事で Office 365 ライセンスを割り当てており、カスタムドメインでメール受信が行えるように構成していました。

しかし、その後 Office 365 ライセンスを失効しており、このカスタムドメインでメール受信が出来ない状態だったことに今回のワンタイムパスワードのタイミングで気が付きました。

一番単純な解決策としては、再度 Office 365 ライセンスをこのユーザーに割り当てつつカスタムドメインの構成をすることでワンタイムパスワードを受信出来そうですが、利用頻度が低かったのでメール受信のためだけのライセンス購入に少し悩みました。

そこで、要はカスタムドメインの MX レコードの参照先でメールが受信できれば何でも良いんじゃないか？ということで、今回は Amazon SES のメール受信機能を使って失効した Microsoft 365 のカスタムドメインユーザーへのメールを受信出来るか確認しました。

前提として、カスタムドメインのネームサーバーには Amazon Route 53 を使っています。

Amazon SES のメール受信構成

ちょうど先日のアップデートで東京リージョンでも使えるようになったので、東京リージョンで有効化します。

まず前提として Amazon SES の検証済み ID に今回のターゲットであるaad.tak1wa.comを追加します。

その上でメール受信機能で今回のターゲットユーザーであるadmin@aad.tak1wa.comを受信者の条件に追加します。
送信先アクションは何でも良いですが今回は Amazon SNS トピックを使い、そこから別のメールアドレスで E メールを受信するように構成しました。

最後にaad.tak1wa.comの MX レコードを構成します。
レコードの値はリージョンごとに決まっており、東京リージョンの場合はinbound-smtp.ap-northeast-1.amazonaws.comとなります。

ワンタイムパスワードを発行してみる

では Microsoft Entra Permissions Management 上でワンタイムパスワードを発行します。
うまく構成出来てれば次のように Amazon SNS トピックでメールを受信することが出来ます。RAW データで流れてくるので少し読みにくいですが。

メール文中に含まれているワンタイムパスワードを使い、無事不要な構成の削除を行うことが出来ました。

めでたしめでたし。

さいごに

本日は失効した Offce365 のカスタムドメインユーザーのメールを Amazon SES で受信してみました。
当たり前ではありますが、無事受信出来ましたね。

あまり無いかもしれませんが、メールが受信出来ない状態で Microsoft 365 のライセンスが失効されていても Microsoft Entra (Azure AD) や Azure サブスクリプションとは別になっていて使い続けることが出来るので Microsoft 365 のライセンス失効に気がつかずにいました。

もし受信できなくなったカスタムドメインを持っている場合は MX レコードを構成して再び受信することは可能なので、覚えておきたいです。