管理コンソールの [ログ] > [メール追跡] の画面ではメール追跡(TMEmS / V1ECS)のログ、[ログ] > [ポリシーイベント] の画面ではポリシーイベント(TMEmS / V1ECS)のログを検索できます。
メール追跡とポリシーイベントのログの保存期間はともに最長で 90日間 です。過去 90日間 に記録されたログを検索できます。
メール追跡では メッセージ処理の流れ において後述する 1 から 3 までのすべてのステージに対してメッセージを検索して状況を確認できます。そのため、メッセージの配送状況や処理状況を確認したい、あるいはメッセージが遅延した、メッセージが届かないといった問題が発生した場合には、まずメール追跡でメッセージを検索します。
一方、ポリシーイベントで確認できるメッセージのログは ステージ2 で検出されたメッセージのみです。ステージ1 でメッセージの受信が拒否されたメッセージは確認できません。そのため、メッセージが隔離されたり削除された場合に検出された理由を確認するにはポリシーイベントで検索します。
メッセージ処理の流れ
メール追跡とポリシーイベントを理解する上で TMEmS/V1ECS においてメッセージがどのように処理されていくか、その流れをまず説明します。
TMEmS/V1ECS では外部から内部宛のトラフィックを保護する 受信保護 と、内部から外部宛のトラフィックを保護する 送信保護 に分かれていますが、それぞれ以下のようにメッセージは処理されます。
ステージ1 メッセージの受信
受信保護のトラフィックでは送信者のメールサーバは宛先ドメイン (TMEmS/V1ECS の管理ドメイン) の MX レコードに指定されている受信保護のホスト (通常 <会社 ID>.in.tmems-jp.trendmicro.com) に SMTP で接続し、メッセージの配送を試みます。その際、TMEmS/V1ECS では以下をチェックします。
- 受信者フィルタ
- 送信者フィルタ (承認済み送信者・ブロック済み送信者)
- TLS チェック
- IPレピュテーション
- 送信者・宛先ドメインのチェック
- 逆引きDNS検証
一方、送信保護のトラフィックではユーザのメールサーバは外部宛のメッセージを送信保護のホスト (通常 <会社 ID>.relay.tmems-jp.trendmicro.com) に SMTP で接続してメッセージの配送を試みますが、その際、TMEmS/V1ECS では「TLS チェック」と「送信者・宛先ドメインのチェック」のみが実行されます。
これらのチェックでブロック対象と判定された場合、TMEmS/V1ECS のメールサーバは送信元メールサーバに 4xx または 5xx の応答を返し、メッセージの受信を一時的または恒久的に拒否します。
ブロック対象と判定されなかった場合、TMEmS/V1ECS のメールサーバはメッセージを受信し、メッセージはドメインベース認証やポリシールールの検索などの 次のステージ に進みます。
このステージでは TMEmS/V1ECS は SMTP サーバとしてメッセージをブロックするため、ポリシールールの検索のようにメッセージを隔離・削除したり、あるいは管理者や受信者に通知することはできません。
ステージ2 ドメインベース認証とポリシールールの検索
TMEmS/V1ECS は、メッセージを受信すると、受信保護のトラフィックではまず [受信保護設定] > [ドメインベース認証] で有効化されている以下の各ルールをチェックします。
いずれかのルールによって検出され、メッセージが隔離されたり削除されなければ、メッセージはポリシールールの検索に進みます。ポリシールールの検索では以下に用意されている有効化されたポリシールールを順に検索します。
- [受信保護設定] > [ウイルス検索] > [ウイルスポリシー]
- [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー]
- [受信保護設定] > [コンテンツフィルタ]
- [受信保護設定] > [情報漏えい対策]
一方、送信保護のトラフィックの場合、ポリシールールの検索では以下に用意されている有効化されたポリシールールを順に検索します。
- [送信保護設定] > [ウイルス検索] > [ウイルスポリシー]
- [送信保護設定] > [スパムメールフィルタ]
- [送信保護設定] > [コンテンツフィルタ]
- [送信保護設定] > [情報漏えい対策]
いずれかのポリシールールによって検出され、メッセージが隔離されたり削除されなければ、メッセージは配送先メールサーバに配送する 次のステージ に進みます。
ステージ3 メッセージの配送
TLS チェック を実施した上で、受信保護ではドメイン設定の 受信サーバ のセクションに指定されたユーザのメールサーバにメッセージを配送します。
送信保護では DNS で配送先のメールサーバを決定し、メッセージを配送します。
検索方法
メール追跡とポリシーイベントのログではいずれも左側の検索フィールドを任意に指定して [検索] ボタンで検索すると、右側に検索結果が表示されます。
マッチするログがあればリストでログが表示されます。検索結果に表示されるログの数に制限はありませんが、検索結果 1ページ あたりに表示されるログの件数は制限されており、最大 1000 件です。マッチしなければ「表示するデータがありません。」と表示されます。
-
受信保護と送信保護では別々のトラフィックでメッセージは処理されているため、方向 の選択は重要です。初期設定では 方向 には「受信」 (受信保護) が選択されていますが、送信保護のメッセージを検索する場合には必ず「送信」に変更して検索してください。
-
メール追跡とポリシーイベントの検索では大文字小文字の区別はありません。
共通の検索フィールド
メール追跡とポリシーイベントログで共通の検索フィールドは以下のとおりです。
| 説明 | |
|---|---|
| 期間 | 「過去1時間」「過去24時間」「過去7日間」「過去14日間」「過去30日間」のいずれかを選択するか、「カスタム範囲」を選択して任意の期間を指定します。「カスタム範囲」で指定可能な期間は 最長 60日間 です。 |
| 方向 | 受信保護のメッセージを検索する場合には「受信」、送信保護のメッセージを検索する場合には「送信」を選択します。 |
| 受信者 | エンベロープの受信者のメールアドレスを入力します。*@example.com や *@*.example.com など、ワイルドカード (*) を使用できます。メールアドレス入力後に Enter を押すと複数のメールアドレスを指定できます。 |
| 送信者 | エンベロープの送信者のメールアドレスを入力します。*@example.com や *@*.example.com など、ワイルドカード (*) を使用できます。メールアドレス入力後に Enter を押すと複数のメールアドレスを指定できます。 |
| メールヘッダ (宛先) | To や Cc ヘッダに指定されているメールアドレスを入力します。*@example.com や *@*.example.com など、ワイルドカード (*) を使用できます。メールアドレス入力後に Enter を押すと複数のメールアドレスを指定できます。 |
| メールヘッダ (差出人): | From ヘッダに指定されているメールアドレスを入力します。*@example.com や *@*.example.com など、ワイルドカード (*) を使用できます。メールアドレス入力後に Enter を押すと複数のメールアドレスを指定できます。 |
| 件名 | メッセージの件名に含まれる文字列を入力します。複数の単語をスペースで区切って入力した場合、「あいまい一致」でマッチします。複数の単語の文字列を ダブルクオート (") で囲むと完全一致でマッチします。ワイルドカード (*) は使用できません。 |
| メッセージID | メッセージの Message-ID を < から > まで完全一致で入力します。メール追跡の場合、初期設定では表示されていません。「さらにオプションを表示」をクリックすると表示されます。 |
あいまい一致
件名 の検索フィールドに複数の単語をスペース (ASCII では 0x20) で区切って入力して検索した場合、「あいまい一致」でマッチします。
あいまい一致では、スペースで区切られた単語がすべて件名に含まれていればマッチします。各単語がどのような順に並んでいるかは関係ありません。
一方、スペースで区切られた複数の単語の文字列をダブルクオート (") で囲んだ場合、完全一致となり、入力した文字列が件名に含まれていればマッチします。
以下は入力した文字列と検索結果の一例です。
| メッセージの件名 | Hello world (ダブルクオートなし) | "Hello world"(ダブルクオートあり) |
|---|---|---|
| Hello world | Hello も world の単語も含まれているため、マッチします。 | Hello world の文字列が含まれているため、マッチします。 |
| The Hello world. | Hello も world の単語も含まれているため、マッチします。 | Hello world の文字列が含まれているため、マッチします。 |
| Hello new world | Hello も world の単語も含まれているため、マッチします。 | Hello と world のあいだに new があるため、Hello world の文字列にはマッチしません。 |
メール追跡独自の検索フィールド
メール追跡のみで使用される検索フィールドは以下のとおりです。
| 説明 | 備考 | |
|---|---|---|
| 種類 |
初期設定では「検索されたトラフィック」が選択されており、ステージ1 でブロックされず、TMEmS/V1ECS が受信したメッセージを検索できます。一方、「ブロックされたトラフィック」を選択すると、ステージ1 でブロックされたメッセージを検索できます。
|
「検索されたトラフィック」を選択した場合と「ブロックされたトラフィック」を選択した場合で表示される検索フィールドが異なります。例えば ステージ1 でブロックされた場合、TMEmS/V1ECS はメッセージを受信していないため、「ブロックされたトラフィック」を選択すると、件名 やメッセージID などの検索フィールドは用意されません。
|
| 処理 |
「返送済み」や「一時的な配信エラー」など、メッセージの処理ステータスごとに検索できます。初期設定では「すべて」が選択されています。複数の処理ステータスを選択して検索することも可能です。例えば配送先メールサーバにメッセージを配送できず、キューに保存されているメッセージを確認するには「一時的な配信エラー」を選択します。 |
種類に「検索されたトラフィック」を選択した場合に表示されます。
処理ステータスについて詳しくは こちら のセクションを参照してください。 |
| ブロックの理由 |
「送信者のIPをQILで検出」や「不明な送信者ドメイン」など、ステージ1 においてブロックされたメッセージをブロックの理由ごとに検索できます。初期設定では「すべて」が選択されています。複数のブロック理由を選択して検索することも可能です。 |
種類に「ブロックされたトラフィック」を選択した場合に表示されます。 一部のブロック理由は「送信者IP」や「送信者」などにカテゴライズされています。ブロックの理由について詳しくは こちら のセクションを参照してください。 |
| 送信者IP |
接続元IPアドレス (送信元メールサーバのIPアドレス) を入力します。例えば 203.0.113. と入力すると、接続元IPアドレスが 203.0.113.1 や 203.0.113.2 のメッセージが検索されます。 |
「さらにオプションを表示」をクリックすると表示されます。 |
| 配信先 |
配送先のメールサーバのIPアドレスを入力します。例えば 203.0.113. と入力すると、配送先のメールサーバのIPアドレスが 203.0.113.1 や 203.0.113.2 のメッセージが検索されます。 |
種類に「検索されたトラフィック」を選択した場合に表示されます。また、「さらにオプションを表示」をクリックすると表示されます。 |
| アップストリームTLS |
送信元メールサーバと TMEmS/V1ECS 間におけるトラフィックの 暗号化の有無 に応じてメッセージを検索できます。初期設定では「すべて」が選択されています。 また、暗号化されている場合には TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3 のなかから TLS 接続で使用された TLS のバージョンを選択できます。暗号化されなかったメッセージを検索するには「なし」を選択します。 |
「さらにオプションを表示」をクリックすると表示されます。 |
| ダウンストリームTLS |
TMEmS/V1ECS と配送先メールサーバ間のトラフィックにおける 暗号化の有無 に応じてメッセージを検索できます。初期設定では「すべて」が選択されています。 また、暗号化されている場合には TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3 のなかから TLS 接続で使用された TLS のバージョンを選択できます。暗号化されなかったメッセージを検索するには「なし」を選択します。 |
種類に「検索されたトラフィック」を選択した場合に表示されます。また、「さらにオプションを表示」をクリックすると表示されます。 |
| ダウンストリームDANE |
TMEmS/V1ECS と配送先メールサーバ間のトラフィックにおける DANE 認証の有無 に応じてメッセージを検索できます。初期設定では「すべて」が選択されています。「はい」または「いいえ」を選択して検索することも可能です。 |
方向に「送信」、種類に「検索されたトラフィック」を選択した場合に表示されます。また、「さらにオプションを表示」をクリックすると表示されます。 |
| ダウンストリームMTA-STS |
TMEmS/V1ECS と配送先メールサーバ間のトラフィックにおける MTA-STS 認証の有無 に応じてメッセージを検索できます。初期設定では「すべて」が選択されています。「はい」または「いいえ」を選択して検索することも可能です。 |
方向に「送信」、種類に「検索されたトラフィック」を選択した場合に表示されます。また、「さらにオプションを表示」をクリックすると表示されます。 |
| 日時 |
検索されたログが日時 (受信日時またはブロックしたに日時) において降順で表示されるか、昇順で表示されるか、選択できます。 |
「さらにオプションを表示」をクリックすると表示されます。 |
| 添付ファイルのSHA256ハッシュ |
添付ファイルの SHA256 のハッシュ値に応じてメッセージを検索できます。入力したハッシュ値が一致すると「添付ファイルのステータス」の検索フィールドが表示され、「すべて」「削除済み」「駆除済み」「サニタイズ済み」「なし」から選択して検索できます。 |
種類に「検索されたトラフィック」を選択した場合に表示されます。また、「さらにオプションを表示」をクリックし、「添付ファイルのあるメッセージのみ」のオプションを有効化すると表示されます。 ファイルが添付されているメッセージのみを検索したい場合、「添付ファイルのあるメッセージのみ」を有効化した状態で検索します。 |
| 添付ファイル名 |
添付ファイル名に応じてメッセージを検索できます。*.zip など、ワイルドカード ("*") を使用して検索できます。 | |
| 添付ファイルのステータス |
添付ファイルの処理状況 (ステータス) に応じてメッセージを検索できます。例えばウイルス検索などにより添付ファイルが検出されて添付ファイルが削除されたメッセージを検索するには「削除済み」を選択します。 | |
| 添付ファイルのパスワード解析 |
ファイルパスワード解析機能による解析状況に応じてメッセージを検索できます。
[受信保護設定] > [ウイルス検索] > [ファイルパスワード解析] においてファイルパスワード解析機能が無効、あるいはファイルパスワード解析機能が有効であったしても添付ファイルが暗号化されていないメッセージを検索するには「解析されていません」を選択して検索します。 ファイルパスワード解析機能が有効な環境でパスワード保護された添付ファイルをファイルパスワード解析機能により復号化できた場合には「復号済み」を選択します。復号化できなかった場合には「復号なし」を選択します。 |
ポリシーイベント独自の検索フィールド
ポリシーイベントのみで使用される検索フィールドは以下のとおりです。
| 説明 | |
|---|---|
| ルール名 | 検出したポリシールールの名前で検索できます。検索フィールドをクリックすると、方向 に「受信」が選択されている場合には [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] などの受信保護のポリシールール名のリストが、方向 に「送信」が選択されている場合には [送信保護設定] > [ウイルス検索] > [ウイルスポリシー] などの送信保護のポリシールール名のリストが自動的に表示され、選択できます。 |
| 脅威の種類 | 検出された脅威の種類 (検出理由) ごとに検索できます。初期設定では「すべて」が選択されています。脅威の種類によってはサブタイプまたは検出方法を選択して検索できます。例えば「ドメインベース認証」を選択した場合、サブタイプとして「送信者IP照合ルール」「SPFルール」「DKIMルール」「DMARCルール」からさらに絞り込むことができます。また、複数の脅威の種類・サブタイプを選択して検索することも可能です。脅威の種類とサブタイプに関して詳しくは こちら のセクションを参照してください。 |
| 脅威名 | 検出名でウイルス検索やフィッシング検索で検出されたメッセージを検索できます。 |
メール追跡の検索結果と詳細ログ
メール追跡の検索結果では宛先 (受信者) のメールアドレスごとにログが表示されます。1通のメッセージに複数の宛先が指定されていた場合、その宛先ごとにログが表示されるため、実際のメッセージ数とログの数は必ずしも一致しません。
種類 に「検索されたトラフィック」を選択して検索した場合、メール追跡の検索結果には以下のフィールドが用意されます。
- 日時 (ステージ1 でメッセージを受信した日時)
- 送信者 (エンベロープの送信者)
- 受信者 (エンベロープの受信者)
- 処理
- 件名
- 送信者IP (接続元IPアドレス)
- 配信先 (配送先IPアドレス)
- サイズ (KB) (メッセージサイズ)
一方、種類 に「ブロックされたトラフィック」を選択して検索した場合、メール追跡の検索結果には以下のフィールドが用意されます。
メール追跡の詳細ログ
種類 に「検索されたトラフィック」を選択して検索した場合のみ、検索結果のリストにあるログの日時をクリックすると、ログの詳細画面が表示されます。
詳細ログは以下のセクションに分かれています。メッセージにファイルが添付されていなければ、添付ファイル のセクションは表示されません。
概要
概要 のセクションでは「日時」や「送信者」「受信者」等、メッセージの基本情報を確認できます。「メールヘッダ (差出人)」 (From ヘッダ) と「メールヘッダ (宛先)」 (To や Cc ヘッダ) も表示されるため、エンベロープとメッセージヘッダで送信者と受信者にどのようなメールアドレスが指定されているか、確認できます。
処理
処理 のセクションでは ステージ1 でメッセージを受信後、ステージ2 と ステージ3 でどのようにメッセージが処理されたかを確認できます。
まず、「受信」では接続元 (送信元) IPアドレスから受信した日時と TLS による暗号化の有無を確認できます。
また、「評価済みポリシー」では送信者フィルタ (承認済み送信者・ブロック済み送信者) などの結果や有効化されているドメインベース認証の各ルールや各ポリシールールの検索状況を確認できます。検索対象とならないものは表示されません。検出されなかった場合、「条件不一致」と表示され、検出された場合にはその処理内容が表示されます。例えばポリシールールの処理設定で「隔離」が選択されていれば、検出された場合には「隔離済み」と表示されます。
「配信」ではメッセージが配送先メールサーバに配送された場合、配送先メールサーバのIPアドレスに配送した日時と TLS による暗号化の有無を確認できます。
配送に失敗した場合、「未配信」と表示され、配送に失敗した日時とその理由 (配送先メールサーバからの応答結果など) が表示されます。
メッセージが隔離されたり削除されて ステージ3 に進まなかった場合、「配信」は表示されません。
添付ファイル
添付ファイル のセクションではメッセージに添付されているファイルを確認できます。
ファイルが添付されている場合、ファイルには「ファイル名」「SHA256ハッシュ」「添付ファイルのステータス」が表示されます。ウイルスポリシーのウイルス検索用のポリシールールによって不正コードが検出されて駆除された場合には添付ファイルのステータスには「駆除済み」、ウイルスポリシーも含め、ポリシールールにより検出されて添付ファイルが削除された場合には「削除済み」、添付ファイルがサニタイズされた場合には「サニタイズ済み」、添付ファイルに変更がない場合には「処理なし」と表示されます。
また、[受信保護設定] > [ウイルス検索] > [ファイルパスワード解析] においてファイルパスワード解析機能が有効な場合、「パスワード保護」「パスワード解析」のフィールドが追加され、パスワード保護が「はい」の場合、パスワード解析にその結果が表示されます。ファイルパスワード解析機能によってファイルを復号化できた場合にはパスワード解析に「復号済み」、復号化できなかった場合には「復号なし」と表示されます。
メール追跡における処理ステータス
メール追跡において 種類 に「検索されたトラフィック」を選択した場合、検索結果のログには「処理」のフィールドが用意され、最新の処理状況 (処理ステータス) が表示されます。
状況によって処理ステータスは変わります。
例えば 配送先メールサーバに接続できないなど、メッセージがいったん TMEmS/V1ECS のキューに保存された場合、処理ステータスには「一時的な配信エラー」が表示されます。その後、再送のタイミングでメッセージが配送されると処理ステータスは「配信済み」に変更されます。また、最終的にキューの保存期間内に配送できず送信者にバウンスメールが送信された場合、処理ステータスは「期限切れ」に変更されます。
| 説明 | |
|---|---|
| 返送済み | TMEmS/V1ECS が配送先メールサーバにメッセージを配送する際、配送先メールサーバから 5xx の応答が返され、メッセージの受信を恒久的に拒否されたため、即座に送信者に配信不能通知 (バウンスメール) を送信したことを示します。メッセージを配送できなかった理由はメール追跡の詳細画面の 処理 セクションで確認します。 |
| 一時的な配信エラー | TMEmS/V1ECS が配送先メールサーバにメッセージを配送する際、配送先メールサーバに接続できない、あるいは配送先メールサーバから 4xx の応答が返されてメッセージの受信を一時的に拒否されたため、メッセージがいったん TMEmS/V1ECS のキューに保存されている状況を示します。メッセージを配送できなかった理由はメール追跡の詳細画面の 処理 セクションで確認します。 |
| 削除済み | ステージ2 においてメッセージがポリシールールなどにより検出され、メッセージ全体が削除されたことを示します。 |
| 配信済み | TMEmS/V1ECS が配送先メールサーバにメッセージを配送する際、配送先メールサーバから 250 の応答が返され、メッセージが配送先メールサーバに配送されたことを示します。 |
| 期限切れ | いったん TMEmS/V1ECS のキューに保存されたメッセージ (処理ステータスが「一時的な配信エラー」となっていたメッセージ) をキューの保存期間内に配送できず、最終的に送信者にバウンスメールが送信されたことを示します。メッセージを配送できなかった理由はメール追跡の詳細画面の 処理 セクションで確認します。 |
| 隔離済み | ステージ2 においてメッセージがポリシールールなどにより検出され、メッセージが隔離されたことを示します。 |
| リダイレクト済み | ステージ2 においてメッセージがポリシールールにより検出され、受信者の宛先が変更されてメッセージが配送されたことを示します。 |
| サンドボックスに送信済み | [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] にあるポリシールールの検索条件において「仮想アナライザにファイルを送信する」が選択されている場合、または [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件において「Webレピュテーション」が指定され、「仮想アナライザにURLを送信する」が選択されている場合にメッセージに添付されている不審なファイルやメッセージに含まれる URL が仮想アナライザに送信され、解析中であることを示します。 |
| パスワード解析中 | [受信保護設定] > [ウイルス検索] > [ファイルパスワード解析] においてファイルパスワード解析機能が有効、かつ「パスワード解析用にメッセージを保持して以降のメッセージを関連付ける」を選択している場合にメッセージに添付されているパスワード保護されたファイルのパスワードが解析中であることを示します。 |
メール追跡におけるブロック理由
種類 に「ブロックされたトラフィック」を選択した場合、検索結果のログには「ブロックの理由」のフィールドが用意され、ステージ1 でメッセージの受信が拒否された理由が表示されます。
| 英語の表記 | 説明 | 備考 | |
|---|---|---|---|
| 送信者のIPをQILで検出 | Sender IP found in QIL | 接続元IPアドレスが Email Reputation Services (ERS) の QIL データベースに登録されていたため、IPレピュテーション によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者IP」にある「送信者のIPをQILで検出」を選択します。 |
| 送信者のIPをKSSLで検出 | Sender IP found in KSSL | 接続元IPアドレスが Email Reputation Services (ERS) の KSSL データベースに登録されていたため、IPレピュテーション によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者IP」にある「送信者のIPをKSSLで検出」を選択します。 |
| 送信者のIPをDULで検出 | Sender IP found in DUL | 接続元IPアドレスが Email Reputation Services (ERS) の DUL データベースに登録されていたため、IPレピュテーション によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者IP」にある「送信者のIPをDULで検出」を選択します。 |
| 送信者のIPをETLで検出 | Sender IP found in ETL | 接続元IPアドレスが Email Reputation Services (ERS) の ETL データベースに登録されていたため、IPレピュテーション によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者IP」にある「送信者のIPをETLで検出」を選択します。 |
| 送信者のIPをブロックリストで検出 | Sender IP found in block list | IPレピュテーションの「ブロック済みIPアドレス」または「ブロック済み国/地域」に登録されていたため、IPレピュテーション によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者IP」にある「送信者のIPをブロックリストで検出」を選択します。 |
| 無効な受信者 | Recipient invalid | メッセージの宛先 (受信者) が有効な受信者リストに含まれていないため、受信者フィルタによって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「受信者」にある「無効な受信者」を選択します。 |
| 許可されない送信者のIP | Sender IP not allowed | ドメイン設定で送信保護が有効な場合に接続元IPアドレスが送信サーバとして登録されていないため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者IP」にある「許可されない送信者のIP」を選択します。 |
| 不明な送信者ドメイン | Sender domain not found | 送信者のドメインの DNS に MX および A レコードが存在しないため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者」にある「不明な送信者ドメイン」を選択します。 |
| 不明な受信者ドメイン | Recipient domain not found | 受信者のドメインの DNS に MX および A レコードが存在しないため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「受信者」にある「不明な受信者ドメイン」を選択します。 |
| TLS利用不可 | TLS not available | [受信保護設定] > [送受信フィルタ] > [Transport Layer Security (TLS) ピア] or [送信保護設定] > [Transport Layer Security (TLS) ピア] の 設定 にしたがって送信元メールサーバと TLS 接続が確立できなかったため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「TLS利用不可」を選択します。 |
| メッセージサイズの上限超過 | Message too big | メッセージのメッセージサイズが 上限 を超過したため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「メッセージサイズの上限超過」を選択します。 |
| 上限超過 - メッセージ数 (IPアドレス別) | Rate limit exceeded - message count (by IP address) | トラフィック量 (流量) の制限 (i-1, o-1) によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「上限」にある「メッセージ数の上限に到達 (IPアドレス別)」を選択します。 |
| 上限超過 - メッセージ数 (メールアドレス別) | Rate limit exceeded - message count (by email address) | トラフィック量 (流量) の制限 (i-2, o-2) によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「上限」にある「メッセージ数の上限に到達 (メールアドレス別)」を選択します。 |
| 上限超過 - データサイズ (IPアドレス別) | Rate limit exceeded - data size (by IP address) | トラフィック量 (流量) の制限 (i-3, o-3) によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「上限」にある「データサイズの上限に到達 (IPアドレス別)」を選択します。 |
| 上限超過 - データサイズ (メールアドレス別) | Rate limit exceeded - data size (by email address) | トラフィック量 (流量) の制限 (i-4, o-4) によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「上限」にある「データサイズの上限に到達 メールアドレス別)」を選択します。 |
| 上限超過 - データサイズ (ドメイン別) | Rate limit exceeded - data size (by domain) | トラフィック量 (流量) の制限 (i-5, o-5) によって TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「上限」にある「データサイズの上限に到達 (ドメイン別)」を選択します。 |
| 受信者のブロック | Recipient blocked | 受信者がシステム内部のブロックリストに登録されているため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「受信者」にある「受信者のブロック」を選択します。 |
| 送信者IPのブロック | Sender IP blocked | 接続元IPアドレスがシステム内部のブロックリストに登録されているため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者IP」にある「送信者IPのブロック」を選択します。 |
| ブロック済み送信者 | Sender blocked | エンベロープの送信者のメールアドレスが送信者フィルタまたはエンドユーザコンソールの「ブロック済み送信者」に登録されているため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者」にある「ブロック済み送信者」を選択します。 |
| ポリシー不一致エラー | Policy matching error | 特定のドメインに対してポリシーのチェック中にエラーが発生したため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「ポリシー不一致エラー」を選択します。 |
| 不正な形式の送信者ドメイン | Sender domain malformed | 送信者のドメインの MX や A レコードが無効なため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「送信者」にある「不正な形式の送信者ドメイン」を選択します。 |
| 不正な形式の受信者ドメイン | Recipient domain malformed | 受信者のドメインの MX や A レコードが無効なため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「受信者」にある「不正な形式の受信者ドメイン」を選択します。 |
| 逆引きDNS検証に失敗 | Reverse DNS validation failed | [受信保護設定] > [送受信フィルタ] > [逆引きDNS検証] の設定にしたがって、接続元IPアドレスの PTR レコード (逆引きの DNS レコード) が存在しないか、PTR レコードが無効なため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否したことを示します。 | 検索するには「逆引きDNS検証に失敗」を選択します。 |
| その他 | Other | ドメイン設定で送信保護を有効化していないにもかかわらず送信保護のメールサーバにメッセージを配送したため、TMEmS/V1ECS のメールサーバがメッセージの受信を拒否した場合などに表示されます。 | 検索するには「その他」を選択します。 |
REST API を使用してブロックされたトラフィックのログを取得した場合、パラメータ reason にはメール追跡のブロック理由が英語の表記で表示されます。
ポリシーイベント追跡の検索結果と詳細ログ
ポリシーイベントの検索結果ではメッセージごとにログが表示され、以下のフィールドが用意されます。
- 日時 (ステージ2 でメッセージを検出した日時)
- 送信者 (エンベロープの送信者)
- 受信者 (エンベロープの受信者)
- 脅威の種類
- サブタイプ
- 処理
- 件名
- 脅威名
ポリシーイベントの詳細ログ
検索結果のリストにあるログの日時をクリックすると、ログの詳細画面が表示されます。
ポリシーイベントの詳細ログでは「日時」や「送信者」「受信者」などのメッセージの基本情報をとともに、「メールヘッダ (差出人)」 (From ヘッダ) と「メールヘッダ (宛先)」 (To や Cc ヘッダ) などの情報も確認できます。
用意されるフィールドは検出理由によって変わります。例えば、検索除外であれば「詳細」のフィールドが表示されたり、Webレピュテーションで検出されたのであれば「違反したURL」が表示されます。
ポリシーイベントにおける検出理由
まず、ポリシーイベントの検索結果には「脅威の種類」と「サブタイプ」のフィールドが用意されています。また、ログの詳細画面 (詳細ログ) には「脅威の種類」「サブタイプ」に加えて「検出方法」のフィールドが用意されています。
こうした「脅威の種類」と「サブタイプ」または「検出方法」の組み合わせから、ステージ2 においてポリシールールなどによりメッセージが検出された理由を特定できます。
[受信保護設定] > [コンテンツフィルタ] または [送信保護設定] > [コンテンツフィルタ] のポリシールールでは検索条件の設定で「条件なし」を選択できますが、「条件なし」の条件で検出されたメッセージはポリシーイベントでは検索されません。
| 脅威の種類 | サブタイプ | 検出方法 | 対象となるメッセージ (検出理由) | CEF 検出ログにおける cs1 の値 |
|---|---|---|---|---|
| ドメインベース認証 | 送信者IP照合 | n/a | [受信保護設定] > [ドメインベース認証] > [送信者IP照合] の 送信者IP照合ルール によって検出された場合 | anti_spoof |
| SPF | n/a | [受信保護設定] > [ドメインベース認証] > [Sender Policy Framework (SPF)] の SPF ルール により検出された場合 | ||
| DKIM | n/a | [受信保護設定] > [ドメインベース認証] > [DomainKeys Identified Mail (DKIM) 検証] の DKIM ルール により検出された場合 | ||
| DMARC - SPF | n/a | [受信保護設定] > [ドメインベース認証] > [Domain-based Message Authentication, Reporting & Conformance (DMARC)] の DMARC ルール により検出された場合 | ||
| DMARC - DKIM | ||||
| DMARC - アライメント | ||||
| DMARC - 可用性 | ||||
| ランサムウェア | n/a | Webレピュテーションで検出 | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] または [送信保護設定] > [スパムメールフィルタ] にあるポリシールールの検索条件「Webレピュテーション」によってランサムウェアとして検出された場合 | ransomware |
| n/a | パターンファイルに基づく検索で検出 | [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] または [送信保護設定] > [ウイルス検索] > [ウイルスポリシー] にあるポリシールールにおいてウイルスパターンファイルによってランサムウェアとして検出された場合 | ||
| n/a | 機械学習型検索で検出 | [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] または [送信保護設定] > [ウイルス検索] > [ウイルスポリシー] にあるポリシールールにおいて機械学習型検索によってランサムウェアとして検出された場合 | ||
| n/a | 仮想アナライザで検出 |
| ||
| n/a | スパムメール対策で検出 | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] または [送信保護設定] > [スパムメールフィルタ] >[スパムメールポリシー] にあるポリシールールの検索によってランサムウェアとして検出された場合 | ||
| 標的型サイバー攻撃 | 解析済みの高度な脅威 (ファイル) | n/a | [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] のポリシールールにおいて 仮想アナライザへの送信機能が有効 で、かつ仮想アナライザに送信された不審なファイルがリスクありと判定されて検出された場合 | apt |
| 解析済みの高度な脅威 (URL) | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] のポリシールールにおいて 仮想アナライザへの送信機能が有効 で、かつ仮想アナライザに送信された不審な URL がリスクありと判定されて検出された場合 | ||
| 高度な脅威の可能性 | n/a |
| ||
| 不正プログラム | n/a | 機械学習型検索 | [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] または [送信保護設定] > [ウイルス検索] > [ウイルスポリシー] のポリシールールにおいて機械学習型検索によってマルウェアが検出された場合 | virus |
| n/a | パターンファイルに基づく検索 | [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] または [送信保護設定] > [ウイルス検索] > [ウイルスポリシー] のポリシールールにおいてウイルスパターンファイルによってマルウェアが検出された場合 | ||
| 不審オブジェクト | 不審ファイル | n/a | Apex Central と統合され、[管理] > [サービス統合] > [Apex Central] において不審オブジェクトが有効な環境で、[受信保護設定] > [ウイルス検索] > [ウイルスポリシー] または [送信保護設定] > [ウイルス検索] > [ウイルスポリシー] のポリシールールによって不審なファイルが検出された場合 | ctd |
| 不審URL | n/a | Apex Central と統合され、[管理] > [サービス統合] > [Apex Central] において不審オブジェクトが有効な環境で、[受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] または [送信保護設定] > [スパムメールフィルタ] のポリシールールによって不審な URL が検出された場合 | ||
| 検索除外 | 仮想アナライザの検索除外 | n/a | [受信保護設定] > [ウイルス検索] > [検索除外] の「仮想アナライザによる検索から除外されました。」の検索除外によって検出された場合 | scan_limitation |
| 仮想アナライザの送信割り当ての除外 | n/a | [受信保護設定] > [ウイルス検索] > [検索除外] の「仮想アナライザへの送信割り当てから除外されました。」の検索除外によって検出された場合 | ||
| パスワード保護された添付ファイル | n/a | [受信保護設定] > [コンテンツフィルタ] または [送信保護設定] > [コンテンツフィルタ] にあるポリシールールの検索条件「添付ファイルが次の状態 パスワードで保護されている」によって検出された場合 | ||
| その他の除外 | n/a |
| ||
| スパムメール | n/a | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] または [送信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「スパムメール」によって検出された場合 | spam |
| ビジネスメール詐欺 (BEC) | n/a | スパムメール対策エンジンで検出 | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「ビジネスメール詐欺 (BEC)」において「スパムメール対策エンジンでBEC攻撃として検出」が選択されている場合にスパムメール対策エンジンにより BEC 攻撃が検出された場合 | bec |
| n/a | ライティングスタイル分析で検出 | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「ビジネスメール詐欺 (BEC)」において「ライティングスタイル分析でBEC攻撃として検出」が選択されている場合にライティングスタイル分析により BEC 攻撃が検出された場合 | ||
| n/a | スパムメール対策エンジンで可能性ありと判定 | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「ビジネスメール詐欺 (BEC)」において「スパムメール対策エンジンでBEC攻撃の可能性ありと判定」が選択されている場合にスパムメール対策エンジンにより BEC 攻撃の可能性があると判定された場合 | ||
| フィッシング | n/a | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] または [送信保護設定] > [スパムメールフィルタ] にあるポリシールールの検索条件「フィッシングおよびその他の不審なコンテンツ」によって検出された場合 | phishing |
| グレーメール | マーケティングメッセージとニュースレター | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「グレーメール」によって「マーケティングメッセージとニュースレター」のカテゴリで検出された場合 | graymail |
| ソーシャルネットワーク通知 | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「グレーメール」によって「ソーシャルネットワーク通知」のカテゴリで検出された場合 | ||
| フォーラム通知 | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「グレーメール」によって「フォーラム通知」のカテゴリで検出された場合 | ||
| バルクメールメッセージ | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるポリシールールの検索条件「グレーメール」によって「バルクメールメッセージ」のカテゴリで検出された場合 | ||
| Webレピュテーション | n/a | n/a | [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] または [送信保護設定] > [スパムメールフィルタ] にあるポリシールールの検索条件「Webレピュテーション」によって検出された場合 | web_reputation |
| コンテンツ | n/a | n/a |
[受信保護設定] > [コンテンツフィルタ] または [送信保護設定] > [コンテンツフィルタ] にあるポリシールールの以下の検索条件によって検出された場合
| content |
| 添付ファイル | n/a | n/a |
[受信保護設定] > [コンテンツフィルタ] または [送信保護設定] > [コンテンツフィルタ] にあるポリシールールの以下の検索条件によって検出された場合
| attachment |
| 情報漏えい対策 | n/a | n/a | [受信保護設定] > [情報漏えい対策] または [送信保護設定] > [情報漏えい対策] のポリシールールによって検出された場合 | dlp |
ログのエクスポート
メール追跡とポリシーイベントの検索結果に表示されたログは CSV のファイル形式でエクスポートすることができます。
メール追跡では 種類 に「検索されたトラフィック」を選択して検索したログであれば、エクスポートされたファイルには以下のフィールドが用意されています。
- 日時
- 種類
- 方向
- 送信者
- 受信者
- 送信者IP
- 配信先
- 処理
- アップストリームTLS
- ダウンストリームTLS
- ダウンストリームDANE
- ダウンストリームMTA-STS
- 件名
- サイズ (KB)
- メッセージID
- 添付ファイル
- メッセージUUID
種類 に「ブロックされたトラフィック」を選択して検索したログであれば、エクスポートされたファイルには以下のフィールドが用意されています。
- 日時
- 種類
- 方向
- 送信者
- 受信者
- 送信者IP
- アップストリームTLS
- ブロックの理由
- メッセージUUID
ポリシーイベントではエクスポートされたファイルには以下のフィールドが用意されています。
- 日時
- 送信者
- 受信者
- 脅威の種類
- サブタイプ
- 検出方法
- 脅威名
- 処理
- 件名
- メッセージID
- メッセージサイズ
- 方向
- ルール名
- ドメイン名
- 違反したファイル
次に、エクスポートする方法には二通りあります。
- 選択したログのみエクスポートする (選択したログをエクスポート)
- すべてのログを一括してエクスポートする (すべてエクスポート)
選択したログのみエクスポートする
検索結果に表示された特定のログのみ CSV 形式でエクスポートするには、まずエクスポートしたいログの左側にあるチェックボックスにチェックを入れ、[選択したログをエクスポート] ボタンをクリックします。
メール追跡の場合、種類 に「検索されたトラフィック」を選択して検索したログであれば tracking_log_accepted.csv のファイル名、種類 に「ブロックされたトラフィック」を選択して検索したログであれば tracking_log_blocked.csv のファイル名で CSV ファイルが生成され、ダウンロードされます。
ポリシーイベントの場合、event_log.csv のファイル名で CSV ファイルが生成され、ダウンロードされます。
すべてのログを一括してエクスポートする
セクションの 冒頭 で説明されているとおり、検索結果1ページあたりに表示できるログの件数は最大 1000件 です。複数ページにわたる検索結果のログも含め、検索されたログを一括してエクスポートするには [すべてエクスポート] ボタンをクリックします。最大 50000件 までログを一括してエクスポートできます。
すべてのログを一括してエクスポートした場合、メール追跡のログか、ポリシーイベントのログかに関係なく、78e3f115-dc78-43d3-80b5-a4632f8c1ad2.csv.zip のようなランダムなファイル名で圧縮されたファイルが生成され、ダウンロードされます。
[すべてエクスポート] ボタンをクリックしてログをエクスポートできる回数には制限があり、1日 5回 までです。1日 (UTC 時間の 0:00:00 から 23:59:59、日本時間の 9:00:00 から翌日 8:59:59 まで) 5回を超えてエクスポートしようとすると、以下のメッセージが表示され、エクスポートできません。
クエリが実行されたすべてのログを1日あたり最大5回エクスポートできます。
なお、管理コンソールの [ログ] > [ログエクスポートクエリ] > [ログエクスポートタスク] の画面でエクスポートタスクの実行状況を確認できます。エクスポート中であればステータスに「処理しています...」、エクスポートが完了すればステータスに「完了 [CSVファイルのダウンロード]」と表示され、リンクから CSV ファイルをダウンロードできます。