2026年1月7日(現地時間)、MicrosoftはExchange Onlineにおいて計画していた「メールボックスごとの外部受信者レート制限(External Recipient Rate Limit: ERR)」の導入を無期限にキャンセルすると発表した。

当初の計画では、1ユーザー(メールボックス)あたり1日2,000人の外部受信者までという制限を設ける予定であったが、顧客企業やシステム管理者からの「業務フローが破壊される」という悲痛なフィードバックを受け、方針転換を余儀なくされた形だ。

AD

何が撤回され、何が残ったのか

まずは情報の正確な整理から始めよう。Microsoftのアナウンスは、多くのシステム管理者にとって安堵をもたらすものであると同時に、セキュリティ戦略の再考を迫るものでもある。

撤回された「ERR」の正体

Microsoftが導入を断念したのは、以下の特定の制限だ。

  • 名称: Mailbox External Recipient Rate Limit (MERRL / ERR)
  • 内容: Exchange Onlineの1つのメールボックスから、24時間以内に送信できる外部受信者の数を2,000に制限する。
  • 経緯: 2024年4月に発表され、当初は2025年1月から新規テナントへ、その後既存テナントへ段階的に適用される予定だった。しかし、反発を受け2026年まで延期が繰り返されていた。

維持される既存の制限

重要なのは、すべての制限がなくなったわけではないという点だ。以下の既存制限は引き続き適用されるため、管理者は誤解してはならない。

  1. 受信者レート制限 (Recipient Rate Limit): 従来通り、1つのメールボックスから24時間以内に送信できる受信者の総数は10,000まで(内部・外部問わず)。
  2. テナント外部受信者レート制限 (TERRL): テナント全体での外部送信量を制御する制限。ライセンス数に応じてスケーリングされるこの制限は維持される。

MicrosoftのExchangeチームは公式ブログで、「顧客から、この制限が現在の業務において重大な運用の課題を生じさせるとの共有があった」と述べ、セキュリティとユーザビリティのバランスを見直すことを認めた。

なぜユーザーは激怒したのか? 設計に潜む「技術的欠陥」

表面的には「スパム対策」として正当性があるように見えたこの施策が、なぜこれほど強い反発を招いたのか。その理由は、Microsoftが提案した「カウント方法」の非合理性と、現代のビジネスワークフローへの理解不足にある。

「100通 × 5人 = 500受信者」の罠

WindowsForumなどの技術コミュニティで最も問題視されたのが、この制限のカウントロジックである。

ERRにおける「2,000」という数字は、ユニークなメールアドレス数ではなく、送信ごとの受信者数の累計で計算される仕様だった。

  • Microsoftの説明: 「もしあなたが同じ5人の外部受信者に100回メールを送った場合、それは500人の外部受信者としてカウントされる」

これは、システム管理者や開発者にとって悪夢のような仕様だ。
例えば、顧客とのやり取りで頻繁に往復するチケットシステム、プロジェクト管理ツールからの通知、あるいは自動化された請求書送付システムなどは、相手が少人数であっても頻繁にメールをやり取りするため、容易にこの制限に抵触してしまう。

LOBアプリと「正規の大量送信」のジレンマ

多くの企業は、Exchange Onlineを単なる「人の手によるメール」だけでなく、CRM(顧客関係管理)やERP(統合基幹業務システム)などのLOB(Line-of-Business)アプリケーションの送信インフラとして利用している。

Microsoftはこれまで、「大量のメール送信にはAzure Communication Services (ACS) for Emailを使ってほしい」と誘導してきた。しかし、ユーザー側の現実は異なる。

  • 移行コスト: 既存のワークフローをACSに書き換えるには多大な開発コストがかかる。
  • 機能不足: ACSはトランザクションメールに特化しており、Exchangeが持つリッチな機能(カレンダー連携や特定のコンプライアンス機能)を完全には代替できない。

つまり、ERRの導入は、既存の正常なビジネスプロセスを「スパム」と同列に扱い、強制的に遮断するという、あまりに乱暴な(Blunt Instrument)アプローチだったのである。

AD

Googleの「スマートな」アプローチとの対比

Microsoftがこの「数値によるハードリミット」に固執し、そして失敗した一方で、競合であるGoogle(Gmail / Google Workspace)は異なるアプローチで成功を収めている。この対比は、クラウドメールセキュリティのトレンドを理解する上で極めて重要だ。

Googleの「認証と評判」モデル

Googleは2024年以降、1日5,000件以上送信するバルクセンダーに対して、厳しい制限を課しているが、その手法はMicrosoftとは根本的に異なる。

  • 認証の義務化: SPF、DKIM、DMARCの設定を必須化。
  • ワンクリック解除: マーケティングメールには登録解除機能を義務付け。
  • スパム率の閾値: ユーザーからのスパム報告率を0.3%以下に維持することを要求。

Googleのアプローチは、「数」そのものを禁止するのではなく、「身元が確か(認証)」で「行儀が良い(低スパム率)」送信者であれば許容するという、評判(レピュテーション)ベースの制御だ。

Microsoftの敗因

MicrosoftのERR案は、送信者が「正規のビジネスマン」か「乗っ取られたアカウント」かを判別せず、一律に数字で切り捨てようとした。
Googleが「質」を問うたのに対し、Microsoftは「量」のみで裁こうとした。AIや高度な分析技術を持つMicrosoftらしくない、前時代的な手法を選択してしまったことが、今回の撤回劇の根底にある戦略ミスと言えるだろう。

Microsoftの次なる一手:「適応型保護」への転換

Microsoftは今回の発表で、ERRをキャンセルする代わりに、「よりスマートで適応的なアプローチ(smarter, more adaptive approaches)」を開発中であると述べた。

これは何を意味するのか? おそらくMicrosoftは、Googleと同様、あるいはそれ以上に高度な動的制限システムへと舵を切ると見られる。

予想される新システムの姿

  1. 振る舞い検知 (Behavioral Analysis):
    単なる送信数ではなく、送信パターンの急激な変化(例:普段静かなアカウントが突然大量送信を始めた)をAIが検知し、そのアカウントだけを一時的に制限する。
  2. コンテキスト認識:
    送信内容、受信者の反応(開封率やブロック率)、認証ステータス(DKIM/SPF)を総合的にスコアリングし、信頼できるテナントには高い制限値を、疑わしいテナントには低い制限値を動的に適用する。
  3. High Volume Email (HVE) の推進:
    現在プレビュー中の「High Volume Email for Microsoft 365」など、Exchangeの基盤上で大量送信を許容する有料アドオンや専用機能への誘導を強化する。

「適応型保護」は聞こえはいいが、管理者にとっては「ブラックボックス化」を意味することもある。なぜメールが止まったのかが明確な数値(2,000件)ではなく、AIの判断に委ねられるため、トラブルシューティングが難化するリスクも孕んでいる。

AD

システム管理者が今すぐすべきこと

ERRの撤回は、システム管理者にとっての勝利に見えるかもしれない。しかし、これを「何もしなくていい」というシグナルと受け取るのは危険だ。Microsoftは「乱用防止」というゴールを捨てたわけではない。

アクションプラン

  1. 送信インベントリの作成:
    自社のテナント内で、どのユーザーやアプリケーションが1日2,000件近い外部送信を行っているか、改めて調査(Message Traceログの分析)を行うべきだ。これらは将来的な「適応型制限」のターゲットになり得る。
  2. 専用送信サービスの検討:
    CRMやチケットシステムからのメールは、Exchange Onlineに依存せず、SendGrid、Amazon SES、あるいはMicrosoftのACSなど、トランザクションメール専用サービス(ESP)経由に切り替える計画を中長期的に立てるべきだ。Exchangeはあくまで「コラボレーション」のためのツールであり、「配信エンジン」ではない。
  3. 認証の強化:
    GoogleやYahooの規制強化に追随し、Microsoftもいずれ認証要件を厳格化する可能性が高い。DKIM、DMARCの適切な設定は、もはや「推奨」ではなく「必須」の防衛策である。

セキュリティとユーザビリティの永遠の闘争

今回のMicrosoftの決定は、クラウドサービスにおいて「セキュリティの強化」と「顧客の利便性」を両立させることがいかに困難であるかを浮き彫りにした。

2,000件という制限は、乗っ取られたアカウントによる被害を最小限に抑えるための「止血帯」としては機能したかもしれないが、その止血帯はきつすぎて、正常な手足(ビジネス)の血流まで止めてしまうものだった。

Microsoftは「鈍器」を捨て、「メス」を手に取ろうとしている。今後の対策はより洗練され、目に見えにくい形で行われることになるだろう。ITリーダーや管理者は、ニュースの見出しに安堵するのではなく、その裏で進行する「メールインフラのパラダイムシフト」――量から質、静的制限から動的評価への移行――を見据え、自社のアーキテクチャを見直す好機と捉えるべきである。

Exchange Onlineは「無制限のメール送信サーバ」ではない。その現実が変わらない限り、この問題は形を変えて何度でも我々の前に現れるだろう。

Sources