社畜の所業 (original) (raw)
- ExchangeOnlineにメールが到達していない理由とは?
- メッセージ追跡にログが記録されていない場合はどうすればいいか?
- ExchangeOnlineの機能でメッセージ追跡にログが記録されないシナリオ
メッセージ追跡では、メールを送受信したログを確認する機能です。
その、メッセージ追跡にログが記録されていない場合、Exchange Online にメールが到達していないことを示しています。
ExchangeOnlineにメールが到達していない理由とは?
送信時の場合は、Outlook などのメールクライアントから Exchange Online に接続した際にエラーなどにより接続が拒否されているなどが考えられます。
受信時の場合は、送信元のサーバーから Exchange Online に接続した際に 400 番台や500番台のエラーなどで接続ができない状態やそもそも Exchange Online に接続する前のメールフロー上で問題が発生している (利用しているMicrosoft365テナントに配信されていない、送信元で失敗してるなど) ことが考えられます。
メッセージ追跡にログが記録されていない場合はどうすればいいか?
送信時の場合は、配信不能通知 (NDR) が返されていか、システムなどから送信している場合はシステムのログからエラーなどを確認する必要があります。
受信時の場合は、Exchange Online からはログを確認することができないので、送信元のサーバーなどのログからどの時点で配信に失敗していて、どのようなエラーが発生しているかを確認する必要があります。
ExchangeOnlineの機能でメッセージ追跡にログが記録されないシナリオ
Exchange Online に到達する前に拒否する機能としては、以下のものがあります。
なお、Microsoft Defender の [メールフロー進捗レポート] にて、[種類] を "エッジ保護" に絞ることで、ブロックリストや ディレクトリベースエッジブロック (DBEB)、接続フィルターによる受信拒否によって、Microsoft365 のエッジサーバー層の段階で、受信をブロック (拒否) したメールの件数を確認することができます。
※ 90 日前までのレポートを確認することができます。
以下に手順をご紹介します。
メールフロー進捗レポートを確認する手順
1. Microsoft 365 Defender 画面を開きます。
2. 画面左側のメニューより [レポート] をクリックします。
3. [メールとコラボレーション] の下にある [メールと共同作業のレポート] をクリックします。
4. [メールと共同作業のレポート] 画面内の [メールフローの状態の概要] のレポートをクリックします。
5. 画面上部の [フィルター] の [種類:正常なメール] をクリックします。
6. フィルター画面にて、[日付] を任意で指定します。
7. [メールの方向] を "受信" のみチェックを入れます。
8. [種類] を "エッジ保護" のみチェックを入れます。
9. [適用] をクリックします。
10 画面上にて、グラフや画面下の項目から件数を確認することができます。
メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。
仕分けルール (受信トレイのルール) の作成、削除については、管理者監査ログ、および、メールボックス監査ログに記録されます。
監査ログについては、以下の記事もご参照いただけますと幸いです。
今回は、それぞれの監査ログの動作について、違いがありましたので、ご紹介したいと思います。
管理者監査ログ
管理者監査ログでは、**Outlook on the web にて、受信トレイのルールを作成、削除した場合**に記録される動作です。
※ Outlook クライアントから仕分けルールの作成、削除をした場合は記録されません。
受信トレイのルールの詳細な内容につきましては、作成については、ルール名や条件や処理など確認することが可能でございますが、削除については、ルール名など詳細な情報を確認することができません。
また、ルール名については、Name の値から確認が可能ですが、条件や処理などはコマンドレットのパラメーターとして記録される動作であるため、New-InboxRule のコマンドレットのパラメーターから判断する必要があります。
以下の Powershell のコマンドレットにて、統合監査ログで受信トレイのルールの作成、および、削除のログのみ出力することが可能です。
※ 管理者の操作のみではなく、ユーザーが作成や削除した受信トレイのルールについても、ログが記録されることを確認しております。
Exchange Online に接続してから実行してください。
[構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Operations "<コマンドレット>" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Operations "New-InboxRule,Remove-InboxRule" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path "C:\Temp\AdminAuditLog.csv" -Encoding UTF8 -NotypeInformation
※ 上記実行例では C ドライブの Temp フォルダーへ AdminAuditlog というファイル名で保存しています。
※ 180 日前までのログを取得することが可能です。
出力された CSV ファイルの確認方法
出力された Excel ファイルの [AuditDate] 列の[Name] 値にて、各パラメーター、[Value] 値にパラメーターに指定された値を確認することができます。
例
Name Value
------------------------------
From user@contoso.com
MoveToFolder 迷惑メールフォルダ
Name testルール
上記の例では、testルールというルール名で、送信者が user@contoso.com の場合、迷惑メールフォルダに移動するルールです。
また、[UserIds] 列で操作したユーザー、[CreationDate] 列で操作した日時を確認することができます。
[Operations] 列で “New-InboxRule” の場合はルールの作成、”Remove-InboxRule” の場合はルールの削除を示しています。
なお、ルールの条件や処理については、以下の公開情報のパラメーターをご参考としていただけますと幸いです。
メールボックス監査ログ
メールボックス監査ログでは、**Outlook クライアントから仕分けルールの作成、削除をした場合**に記録されます。
※ Outlook クライアントのみで作成可能であるクライアントルールは、作成と削除した場合にログが記録されないことを確認しております。
UpdateInboxRules の監査項目として記録される動作であり、仕分けルールの詳細な内容について、作成については、ルール名や条件や処理など確認することが可能ですが、削除については、ルール名など詳細な情報を確認することがでません。
また、ルール名については、OperationProperties の値の RuleName の値から確認が可能ですが、条件や処理などは RuleActions にコマンドレットのパラメーターとして記録されるため、New-InboxRule のコマンドレットのパラメーターから判断する必要があります。
なお、ルールを作成した場合、OperationProperties の値に RuleOperation:AddMailboxRule と記録され、ルールを削除した場合は、RuleOperation:RemoveMailboxRule と記録されます。
以下の Powershell のコマンドレットにて、統合監査ログでUpdateInboxRules の監査項目のログのみ出力することが可能です。
※ Exchange Online に接続してから実行してください。
[構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Operations "UpdateInboxRules" -Formatted | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Operations "UpdateInboxRules" -Formatted | Export-CSV -Path "C:\Temp\MailboxAuditLog.csv" -Encoding UTF8 -NotypeInformation
※ 上記実行例では C ドライブの Temp フォルダーへ MailboxAuditLog というファイル名で保存しています。
※ 既定では、180 日前までのログを取得することが可能です。
CreationTime: オペレーションを実行した日時
Operation : 操作の内容
ClientIPAddress : クライアントの IP アドレス
ClientInfoString : 操作したクライアントの情報
ClientProcessName : クライアントプロセス名
UserId: オペレーションを実行したユーザー名
LogonType : メールボックスのアクセスの種類 (所有者(0)、管理者(1)、代理ユーザー(2)など)
OperationProperties : ルールの詳細
監査ログについて以下の記事でまとめていますので参考としてくださいね。
MC886603 にて、2024 年 12 月 1 日以降に Sender ヘッダーがなく、複数の From アドレスを利用したメールを受信した場合は、送信元に "550 5.1.20 Multiple From addresses are not allowed without Sender address" の内容の配信不要通知 (NDR) が返し、メールを拒否する動作に変更される情報が公開されました。
Sender ヘッダーとは?
Sender ヘッダーは、メールの送信者を示します。
Outlook クライアントや Outlook on the web などからメールを送信した場合は、Sender ヘッダーは記録されないことを確認しています。
Sender ヘッダーが記録されるシナリオとして、代理人として送信する権限 (Grantsendonbehalfto) を利用して別のメールボックスのアドレスを差出人として送信した場合に、Sender ヘッダーに代理送信の権限により送信したメールボックスのアドレスが記録されます。
From ヘッダーとは?
From ヘッダーは、メールの差出人を示します。
Outlook クライアントや Outlook on the web などからメールを送信した場合は、送信したメールボックスのアドレスが記録されます。
From ヘッダーはなりすまし送信することもできる値であり、メールボックス所有者として送信する権限 (SendAs) を付与することで、別のメールボックスのアドレスを差出人 (From ヘッダー) として送信することもできます。
From アドレスを複数指定するには?
Outlook クライアントや Outlook on the webからメールを送信する場合は、Fromアドレスを複数指定することはできません。
システムや他のツールなど特殊な方法を利用しないとできないようです。一般的なメール利用では、あまり From アドレスを複数設定するシナリオはないと思いますので、そこまで気にしなくてもいいのかもしれません。
From アドレスが複数設定されているか確認するには?
Fromアドレスを複数設定することができないため、メッセージ追跡にログとして記録されるのかはわかりませんが、受信したメールヘッダーから確認することはできます。
Outlook on the webでヘッダー情報を確認する場合
1. Outlook on the web の画面を開きます。
2. メールヘッダーを確認したいメールを選択します。
3. メール画面右上の […] > [表示] > [メッセージの詳細の表示] をクリックします。
4. 表示されたメッセージ ヘッダー全文をコピーし、メモ帳等にペーストします。
5. ペーストしたヘッダー情報より [Ctrl + F] などで [From] や [Sender] を検索します。
Outlook クライアントでヘッダー情報を確認する場合
1. Outlook を起動し、ヘッダーを確認したいメールをダブルクリックします。
2. 別ウィンドウでメールの画面が開きますので、画面左上の [ファイル] タブをクリックします。
3. [プロパティ] をクリックし、表示されるプロパティウィンドウの [インターネット ヘッダー] に記載されているメッセージ全文をコピーし、メモ帳等にペーストします。
4. ペーストしたヘッダー情報より [Ctrl + F] などで [From] や [Sender] を検索します。
メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。
トランスポートルールの変更の内容を確認する場合、管理者監査ログの機能を利用することで可能です。
なお、管理者監査ログはコマンドレットベースで記録されるため、トランスポートルールの変更については、Set-TransportRule として記録されます。
また、変更したユーザーや変更したルールのパラメーターについても記録されるため確認が可能です。
以下のサイトの手順にて、Exchange Online に接続してから実行してください。
[構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Operations "<コマンドレット>" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Operations "Set-TransportRule" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path "C:\Temp\AdminAuditLog.csv" -Encoding UTF8 -NotypeInformation
※上記実行例では C ドライブの Temp フォルダーへ AdminAuditlog というファイル名で保存しています。
※ 開始日 (StartDate)は、180 日前まで指定が可能です。
出力された CSV ファイルの確認方法
出力された Excel ファイルのリボンタブの [データ] > [フィルター] をクリックし、[L列] の [RunDate] を昇順にし、[D列] の [ObjectModified] より、該当するトランスポートルールを表示し、[H列] の [Caller] に記載されているアカウントがルール変更のの実行者となります。
[CmdletParameters] にて、変更したパラメーターが記録されます。
なお、[CmdletParameters] にて、以下のパラメーターは変更の有無に関わらず記録されることを確認してます。
[StopRuleProcessing]
[SetAuditSeverity]
[RuleErrorAction]
[Priority]
[Identity]
監査ログの取得結果について
ObjectModified : 設定対象オブジェクトの Name 値(どのユーザーやグループに対して行ったコマンドレットか)
CmdletName : 実行されたコマンドレット
CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター
Caller : 実行した管理者ユーザー
※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。
RunDate : 実行された日付
Succeeded : 成功かどうか
Name : 何を設定するか
Value : 設定の内容
メールの本文のURLを開いていないにも関わらず、URLを開いた扱いとなる場合、Microsoft Defender for Office 365 の機能である [安全なリンク] ポリシーによることが考えられます。
[安全なリンク]では、メールがフィルターを通過する際もしくは、クリックを行う際に、サンドボックス環境でリンク先の安全性を確認するために、開いている場合にリンク先にアクセスしたと判定されるようです。
この動作については、[安全なリンク] ポリシー内の以下の設定の組み合わせることで回避が可能であることを確認しています。
- [不審なリンクや、ファイルを指しているリンクに対してリアルタイム URL スキャンを適用します] : オフ
- [URL を書き換えずに、安全なリンク API を介したチェックのみを行います] : オン
- [メール内の次の URL を書き換えないでください] : 除外対象 URL
これにより、指定した対象 URL に対しては、URL の書き換え、メール受信中のリアルタイムスキャン、およびクリック時のスキャンが回避されます。
除外対象以外の URL にもリアルタイムスキャンや書き換えは動作しませんが、クリック時のスキャンは実行されます。
既定では組み込みの保護ポリシー (Built-in protetcion) により [安全なリンク] の機能が動作しており、組み込みの保護ポリシーでは [安全なリンク] の設定を変更することができないようになっています。
Microsoft Defender for Office 365(MDO)のライセンスを持っている場合が対象です。
その場合、[安全なリンク] のカスタムポリシーを作成すれば設定変更できますので、以下に手順をご紹介します。
安全なリンクポリシーの新規作成手順
1. 管理者権限を付与したユーザーにて、[Microsoft 365 Defender (https://security.microsoft.com/)] へサインインします。
2. 画面左側のメニューより [ポリシーとルール] > [脅威ポリシー] > [安全なリンク] の順に選択します。
3. [+作成] をクリックし、新規で安全なリンクポリシーを作成します。
4. [名前] に任意でポリシー名を入力し、[次へ] をクリックします。
※ ポリシーの一覧に表示される名前です。
5. ユーザーとドメインの画面にてポリシーの対象とするMDO ライセンスを付与されたユーザー、グループ、ドメインを選択し、[次へ] をクリックします。
※ 複数指定することが可能です。
6. [不審なリンクや、ファイルを指しているリンクに対してリアルタイム URL スキャンを適用します] 以外はチェックを入れた状態にします。
※ 任意で不要な項目のチェックを外しても問題ないです。
※ [Built-in protecion] のポリシー内容では以下の項目にチェックが入っています。
・ メール
- [安全なリンクは、ユーザーがメール内のリンクをクリックしたときに、既知の悪意のあるリンクのリストを確認します。URL は既定で書き換えられます。]
- [不審なリンクや、ファイルを指しているリンクに対してリアルタイム URL スキャンを適用します]
- [URL スキャンが完了するまで待ち、その後でメッセージを配信します]
- [URL を書き換えずに、安全なリンク API を介したチェックのみを行います]
・ Teams、Office 365 Apps の両項目
・ クリックに対する保護の設定
- ユーザーのクリックを追跡する
- ユーザーが元の URL へクリックスルーするのを許可する
7. [メール内の次の URL を書き換えないでください] の "0 URL の管理" のリンクをクリックします。
8. [+ URL の追加] をクリック後、入力欄に該当の URL を入力して [保存] > [完了] の順にクリックします。
※ 追加したい URL が複数ある場合は [+ URL の追加] をクリックして繰り返し入力してください
9. [次へ] > [送信] をクリックします。