事象の切り分けと確認
メール追跡ログの確認
- TMEmS管理画面の[ログ] > [メール追跡](TMEmSをご利用の場合)またはTrend Vision Oneコンソールの[Email and Collaboration Security] > [Cloud Email Gateway Protection] > [Logs(ログ)] > [メール追跡](V1ECSをご利用の場合)にてメール追跡ログを確認し、ポリシーの適用状況を確認します。
TMEmS/V1ECSがメールをブロックした場合、検索条件"種類:"で"ブロックされたトラフィック"を選択し、問題が発生したメールを検索してください。その後、検索結果一覧にて当該メールの"ブロックした理由"をご確認ください。
TMEmS/V1ECSがメールを受け取った場合、検索条件"種類:"で"検索されたトラフィック"を選択し、問題が発生したメールを検索してください。その後、検索結果一覧にて当該メールの"日時"のリンクをクリックいただき、「メール追跡の詳細」の「処理」セクションの「評価済みポリシー:」欄にて適用されたポリシーとその処理内容をご確認ください。メールが適用されたポリシーの条件に合致しなかった場合は「条件不一致」、条件に合致した場合はそのメールに対する処理内容(「処理なし」、「隔離済み」等)が表示されます。
※TMEmS/V1ECSはメールを受け取っていないため、"ブロックされたトラフィック"には「メール追跡の詳細」はありません。 - ポリシーが正しく設定されているか今一度ご確認ください。設定方法はOnline Helpに記載されています。
ポリシーごとの確認事項
問題となっているポリシー、フィルタの種類に応じて、以下を確認します。送受信フィルタ
■送信者フィルタ > 承認済み送信者/ブロック済み送信者
・ブロック済み送信者は承認済み送信者に優先します。これを変更することはできません。
・承認済み送信者は特定のポリシーやフィルタにのみ有効です。詳細はOnline Helpをご確認ください。
■IPレピュテーション
・IPレピュテーションでのメールブロックは、IPレピュテーションで使用するデータベースへの登録状況に依存します。TMEmS/V1ECSでの検出状況に懸念がある場合は、IPルックアップツールを使用し、データベースへの登録状況を確認します。
・データベースに登録されている内容は随時更新されており、特にQuick IPリスト(QIL)は頻繁に更新されます。このため、TMEmS/V1ECSでの検査時と、IPルックアップツール使用のタイミングで結果が異なる場合がある点についてはご留意ください。
データベースの詳細については以下のOnline Helpをご参照ください。
ドメインベース認証
■Sender Policy Framework (SPF)
・SPFにより意図せずメールがブロックされる場合、一因として送信側ドメインにて正しくSPFレコードを構成していない可能性が考えられます。SPFの詳細、およびDNSレコードの確認方法について以下のFAQをご参照ください。
- Trend Micro Email Security/Trend Vision One Email and Collaboration SecurityにおけるSender Policy Framework (SPF) について
- DNS リソースレコードの確認方法:
・SPF設定にて「Xヘッダをメールメッセージに挿入する」オプションを有効にしている場合、「X-TM-Received-SPF:」ヘッダが受信メールに挿入され、SPFチェックの結果を確認することが可能です。詳細についてはOnline Helpをご参照ください。
■DomainKeys Identified Mail (DKIM)
・DKIM検証設定にて「Xヘッダをメールメッセージに挿入する」オプションを有効にしている場合、「X-TM-Authentication-Results:」ヘッダが受信メールに挿入され、DKIM検証の成否を確認することが可能です。詳細についてはOnline Helpをご参照ください。
・DKIM検証の詳細については、以下のFAQをご参照ください。
■Domain-based Message Authentication, Reporting & Conformance(DMARC)
DMARC検証は、DMARCポリシーに従って行われます。検証動作やその結果、およびよくあるご質問について、以下のFAQをご参照ください。
ウイルス検索
■ウイルスポリシー
マルウェアと考えられるファイルが検出されなかった場合、または正常なファイルが検出された場合は、実際に不正なファイルかどうかの確認のため、脅威関連のお問合せとしてファイル解析依頼を行ってください。
■ファイルパスワード解析
ファイルパスワード解析機能には、サポートしている圧縮ファイルタイプ、ドキュメントファイルタイプがあります。詳細についてはOnline Helpをご参照ください。
■検索除外
特定の条件に該当した場合、TMEmS/V1ECSは検索を停止し指定された処理を実行します。詳細については以下のOnline Helpをご参照ください。
また、Microsoft Officeファイル関連の検索除外に関する詳細については、以下のFAQもご確認ください。
スパムメールフィルタ
■スパムメールポリシー
・スパムメールと考えられるメールが検出されなかった場合、または正当なメールが検出された場合は、実際にスパムメールかどうか確認のため、脅威関連のお問合せとしてスパムメール解析依頼を行ってください。
・特定の送信者からのメールをスパムメールとして検出させたくない場合は「承認済み送信者」機能をご利用ください。
■Time-of-Clickプロテクション
URLが書き換わらない場合、以下のFAQの内容に該当するかご確認ください
ポリシーオブジェクト
■通知/スタンプ
・変数部分が通知メールやスタンプで正しく表示されない場合、変数を正しく設定しているか今一度ご確認ください。「%」を全角で指定したり、余計なスペースが挿入されていると正しく動作しません。
・「%VIRUSNAME%」変数では検出された不正プログラム名が表示されますが、ファイルが仮想アナライザに送信され、「標的型サイバー攻撃」として検出された場合には検出名は表示されません。
お問い合わせ時にご提供いただきたい情報
お客様環境の情報
- TMEmS 管理画面の [管理] > [ライセンス情報] に記載の "アクティベーションコード"(TMEmSをご利用の場合)
- TMEmS 管理画面の管理者ログインID(TMEmSをご利用の場合)
※サブアカウント/スーパー管理者アカウントではありません - Trend Vision OneコンソールのMaster AdministratorのログインID(V1ECSをご利用の場合)
- Trend Vision Oneコンソールの[Administration] > [License Information]に記載の"ビジネスID"(V1ECSをご利用の場合)
- 簡易ネットワーク構成情報
(例)
[受信方向] Internet -> TMEmS/V1ECS 受信保護方向 -> 社内メールサーバ(10.xx.xx.xx)
[送信方向] 社内メールサーバ(10.xx.xx.xx) -> TMEmS/V1ECS 送信保護方向 -> Internet
発生する問題の詳細
- 発生する問題の内容の説明
上記「事象の切り分けと確認」を行った結果、お客様側で確認できている内容についても共有ください。 - 問題発生日時
- 問題の発生するメールの情報
- 事象の再現手順
事象の内容を確認できるログ情報等
- メール追跡ログ
TMEmS管理画面の[ログ] > [メール追跡](TMEmSをご利用の場合)またはTrend Vision Oneコンソールの[Email and Collaboration Security] > [Cloud Email Gateway Protection] > [Logs(ログ)] > [メール追跡](V1ECSをご利用の場合)を開き、問題となっているメールを検索します。当該メールが件されましたら、検索されたログにチェックを入れ、[選択したログのエクスポート]のボタンをクリックし、生成されたファイルをダウンロードします。
同時に、該当メッセージの日付リンクをクリックし、表示される詳細画面のスクリーンショットを取得します。(「処理」欄を展開しておきます。) - ポリシーイベントログ
TMEmS管理画面の [ログ] > [ポリシーイベント](TMEmSをご利用の場合)またはTrend Vision Oneコンソールの[Email and Collaboration Security] > [Cloud Email Gateway Protection] > [Logs(ログ)] > [ポリシーイベント](V1ECSをご利用の場合)を開き、問題となっているメッセージを検索します。当該メールが検索されましたら、検索されたログにチェックを入れ、[選択したログをエクスポート] のボタンをクリックし、生成されたファイルをダウンロードします。
同時に、該当メッセージの日付リンクをクリックし、表示される詳細画面のスクリーンショットを取得します。 - 問題となっているポリシー設定画面のスクリーンショット
- 問題が発生したメールのメールデータ(.eml/.msg形式)(可能な場合)。難しい場合は、メッセージヘッダ情報等をお送りください。