ビュー:

インターネットメールでは SMTP (Simple Mail Transfer Protocol) の仕様にしたがって、SMTP クライアント (メールクライアントや送信元メールサーバ) が MAIL FROM や RCPT TO, DATA などのコマンドを送信し、SMTP サーバ (配送先メールサーバ) がそのコマンドに対して応答を返すことでメールデータ (メッセージ) を転送しています。この SMTP クライアントと SMTP サーバ間の一連のやり取りを SMTP トランザクションと呼びます。

(SMTP トランザクション)

...
MAIL FROM:<taro@trendmicro.com>
250 2.1.0 Ok
RCPT TO:<john@example.com>
250 2.1.0 Ok
RCPT TO:<jane@example.com>
250 2.1.0 Ok
DATA
...

"250 2.1.0 Ok" は SMTP サーバの応答です。

MAIL FROM コマンドで指定されたメールアドレスがメッセージの実際の送信者、RCPT TO コマンドで指定されたメールアドレスがメッセージの実際の受信者となり、それぞれ「エンベロープの送信者」「エンベロープの受信者」となります。

一方、DATA コマンドで転送されるメールデータは空行を挟んでメッセージヘッダとメッセージボディ (メッセージ本文や添付ファイルなど、メッセージの内容すべて) に分かれており、メッセージヘッダには From や To, Cc ヘッダなどが指定されています。

(メッセージヘッダ)

...
From: Yamada Taro <taro@trendmicro.com>
To: John Irving <john@example.com>
Cc: Jane Austin <jane@example.com>
...

通常、エンベロープの送信者に指定されているメールアドレスも From ヘッダに指定されているメールアドレスも同じです。

しかし、例えば標的型攻撃 (なりすましメール) では、一般的にメールクライアントは受信したメッセージの送信者として From ヘッダに指定されている情報を情報を表示するため、攻撃者はエンベロープの送信者に実際のメールアドレスを指定する一方、From ヘッダには取引先などのドメインのメールアドレスを指定して受信者を騙ることでメッセージを開くよう誘導します。

なりすましメールではない正当なメッセージであったとしても、インターネットメールの仕様上、例えばメーリングリストなどではエンベロープの送信者と From ヘッダのメールアドレスが異なる場合があります。

また、インターネットメールの仕様上、エンベロープの受信者に指定された実際の宛先がメッセージヘッダに記載されているとも限りません。例えば宛先を Bcc に指定してメッセージを送信した場合、エンベロープの受信者には Bcc に指定したメールアドレスが指定されますが、To や Cc ヘッダには表示されません。そのため、実際のメッセージの受信者はメッセージヘッダ上には一切表示されません。

Bcc ヘッダはメールクライアントや経由するメールサーバなどにより削除されるため、メッセージに Bcc ヘッダが表示されていることはありません。

ここではメール追跡とポリシーイベントのログが参照する情報とログ以外で各機能が参照する情報をそれぞれ説明します。

メール追跡とポリシーイベントのログ

管理コンソールの [ログ] > [メール追跡] または　[ログ] > [ポリシーイベント] の画面でログを検索すると、検索結果には「送信者」と「受信者」のフィールドが用意されています。

また、検索されたログの日時をクリックすると、メール追跡の詳細画面またはポリシーイベントの詳細画面が表示され、「送信者」「受信者」「メールヘッダ (差出人)」「メールヘッダ (宛先)」「メールヘッダ (Reply-To)」以下のフィールドがそれぞれ用意されています。

各フィールドは以下の情報を参照しています。

	参照する情報	備考
送信者	エンベロープの送信者 (MAIL FROM)	配信不能通知 (バウンスメール) のようにエンベロープの送信者に null ("<>") が指定されている場合、"<>" と表示されます。
受信者	エンベロープの受信者 (RCPT TO)	1通のメッセージに複数のメールアドレスが指定されていた場合、ポリシーイベントでは "John Irving <john@example.com>、 Jane Austin <jane@example.com>" のように表示されます。メール追跡では複数のメールアドレスが指定されている場合でも受信者ごとにひとつずつログが表示されます。
メールヘッダ (差出人)	From ヘッダ	メールアドレスだけでなく名前も含まれている場合、"Yamada Taro <taro@trendmicro.com>" のように表示されます。
メールヘッダ (宛先)	To と Cc ヘッダ	メールアドレスだけでなく名前も含まれている場合、"John Irving <john@example.com>" のように表示されます。複数指定されていれば "John Irving <john@example.com>, Jane Austin <jane@example.com>" のように表示されます。
メールヘッダ (Reply-To)	Reply-To ヘッダ	Reply-To ヘッダ自体が存在しなければ「該当なし」と表示されます。

ログ以外の各機能

TMEmS/V1ECS の機能の多くはエンベロープの情報を参照しています。例えばポリシールールの受信者と送信者の設定であれば、「送信者」や「受信者」、「除外」に設定するメールアドレスはすべてエンベロープの送信者または受信者が対象となります。

以下の表では、主な機能においてエンベロープを参照するかメッセージヘッダを参照するか、あるいは両方とも参照するか、示しています。

機能	エンベロープ	メッセージヘッダ	備考
送信者フィルタの承認済み送信者とブロック済み送信者	✔	(✔)	初期設定では対象となる送信者のメールアドレスはエンベロープの送信者と From ヘッダのメールアドレスです。エンベロープの送信者のみに設定を変更することは可能です。
エンドユーザコンソールと隔離通知のリスト	(✔)	(✔)	初期設定ではエンドユーザコンソールまたは隔離通知のリストにある送信者には "エンベロープの送信者 (From ヘッダのメールアドレス)" の形式で表示されます。エンベロープの送信者または From ヘッダのメールアドレスのみが表示されるよう設定を変更することは可能です。
隔離のクエリ	✔		From ヘッダや To ヘッダに指定されているメールアドレスを確認するには、隔離メッセージの日時をクリックして表示される詳細画面でメッセージヘッダを確認する必要があります。
送信者IP照合		✔	送信者IP照合の検証では From ヘッダのメールアドレスが対象です。
SPF ルール	✔		SPF (Sender Policy Framework) の検証ではエンベロープの送信者が対象です。
DKIM ルール	(✔)	✔	DKIM (DomainKeys Identified Mail) の検証では From ヘッダのメールアドレスが対象ですが、初期設定では「除外するピア」「強制ピア」にエンベロープの送信者が使用されます。
DMARC ルール	✔	✔	DMARC (Domain-based Message Authentication, Reporting & Conformance) の検証では From ヘッダのメールアドレス、エンベロープの送信者の両方が対象となります。
ポリシールールの受信者と送信者	✔
ポリシールールの検索条件「エンベロープ送信者が空白」	✔		この検索条件は配信不能通知 (バウンスメール) などエンベロープの送信者が null ("<>") のメッセージを検出するものです。
ポリシールールの検索条件「メッセージヘッダ送信者が次とは異なるエンベロープ送信者」	✔	✔	この検索条件はエンベロープの送信者と From ヘッダのメールアドレスが異なるメッセージを検出するものです。
ポリシールールの検索条件「メッセージヘッダ送信者が次とは異なる Reply-Toヘッダ」		✔	この検索条件は From ヘッダと Reply-To ヘッダのメールアドレスが異なるメッセージを検出するものです。
ポリシールールの検索条件「指定したヘッダが次のキーワードに一致するキーワード」		✔	この検索条件では「差出人」(From ヘッダ)、「宛先」(To ヘッダ)、「CC」(Cc ヘッダ) に特定のキーワードがマッチした場合に検出するよう設定できます。
ポリシールールの検索条件「受信者の数」	✔	✔	この検索条件ではエンベロープの受信者に指定された宛先の総数、または To ヘッダと Cc ヘッダに指定されたメールアドレスの総数が対象となります。
トークン「%SENDER%」と「%RCPTS%」	✔		通知設定またはスタンプ設定では「%SENDER%」と「%RCPTS%」のトークンを使用できますが、エンベロープの送信者と受信者がそれぞれ挿入されます。ただし、「%RCPTS%」に関しては Bcc に指定したメールアドレスが第三者に漏洩することを抑止するため、エンベロープの受信者のメールアドレスが To ヘッダまたは Cc ヘッダに記載されていなければ表示しない (空白となる) 仕様です。

キーワード: Trend Micro Email Security TMEmS

エンベロープとメッセージヘッダの違い

製品・バージョン:

Trend Micro Email SecurityAll , Trend Vision OneAll

更新日: 2024/05/29

記事ID: KA-0014913

カテゴリ: SPEC

概要

Trend Micro Email Security (以下、TMEmS) または Trend Vision One Email and Collaboration Security - Cloud Email Gateway Protection(以下、V1ECS) においてエンベロープとメッセージヘッダがどのように取り扱われるか、説明します。

以降、TMEmS/V1ECS の管理コンソールのメニュー名表記は、TMEmS の場合は TMEmS 管理コンソールのトップ画面からの表記、V1ECS の場合は Trend Vision One 管理コンソールの[Email and Collaboration Security] > [Cloud Email Gateway Protection] 画面配下からの表記とします。
例としまして、[ドメイン]というメニューは、TMEmS の場合は TMEmS管理コンソールの [ドメイン]、V1ECSの場合は Trend Vision One 管理コンソールの[Email and Collaboration Security] > [Cloud Email Gateway Protection] > [ドメイン]を意味します。

(SMTP トランザクション)

...
MAIL FROM:<taro@trendmicro.com>
250 2.1.0 Ok
RCPT TO:<john@example.com>
250 2.1.0 Ok
RCPT TO:<jane@example.com>
250 2.1.0 Ok
DATA
...

"250 2.1.0 Ok" は SMTP サーバの応答です。

(メッセージヘッダ)

...
From: Yamada Taro <taro@trendmicro.com>
To: John Irving <john@example.com>
Cc: Jane Austin <jane@example.com>
...

通常、エンベロープの送信者に指定されているメールアドレスも From ヘッダに指定されているメールアドレスも同じです。

Bcc ヘッダはメールクライアントや経由するメールサーバなどにより削除されるため、メッセージに Bcc ヘッダが表示されていることはありません。

ここではメール追跡とポリシーイベントのログが参照する情報とログ以外で各機能が参照する情報をそれぞれ説明します。

メール追跡とポリシーイベントのログ

各フィールドは以下の情報を参照しています。

	参照する情報	備考
送信者	エンベロープの送信者 (MAIL FROM)	配信不能通知 (バウンスメール) のようにエンベロープの送信者に null ("<>") が指定されている場合、"<>" と表示されます。
受信者	エンベロープの受信者 (RCPT TO)	1通のメッセージに複数のメールアドレスが指定されていた場合、ポリシーイベントでは "John Irving <john@example.com>、 Jane Austin <jane@example.com>" のように表示されます。メール追跡では複数のメールアドレスが指定されている場合でも受信者ごとにひとつずつログが表示されます。
メールヘッダ (差出人)	From ヘッダ	メールアドレスだけでなく名前も含まれている場合、"Yamada Taro <taro@trendmicro.com>" のように表示されます。
メールヘッダ (宛先)	To と Cc ヘッダ	メールアドレスだけでなく名前も含まれている場合、"John Irving <john@example.com>" のように表示されます。複数指定されていれば "John Irving <john@example.com>, Jane Austin <jane@example.com>" のように表示されます。
メールヘッダ (Reply-To)	Reply-To ヘッダ	Reply-To ヘッダ自体が存在しなければ「該当なし」と表示されます。

ログ以外の各機能

以下の表では、主な機能においてエンベロープを参照するかメッセージヘッダを参照するか、あるいは両方とも参照するか、示しています。

機能	エンベロープ	メッセージヘッダ	備考
送信者フィルタの承認済み送信者とブロック済み送信者	✔	(✔)	初期設定では対象となる送信者のメールアドレスはエンベロープの送信者と From ヘッダのメールアドレスです。エンベロープの送信者のみに設定を変更することは可能です。
エンドユーザコンソールと隔離通知のリスト	(✔)	(✔)	初期設定ではエンドユーザコンソールまたは隔離通知のリストにある送信者には "エンベロープの送信者 (From ヘッダのメールアドレス)" の形式で表示されます。エンベロープの送信者または From ヘッダのメールアドレスのみが表示されるよう設定を変更することは可能です。
隔離のクエリ	✔		From ヘッダや To ヘッダに指定されているメールアドレスを確認するには、隔離メッセージの日時をクリックして表示される詳細画面でメッセージヘッダを確認する必要があります。
送信者IP照合		✔	送信者IP照合の検証では From ヘッダのメールアドレスが対象です。
SPF ルール	✔		SPF (Sender Policy Framework) の検証ではエンベロープの送信者が対象です。
DKIM ルール	(✔)	✔	DKIM (DomainKeys Identified Mail) の検証では From ヘッダのメールアドレスが対象ですが、初期設定では「除外するピア」「強制ピア」にエンベロープの送信者が使用されます。
DMARC ルール	✔	✔	DMARC (Domain-based Message Authentication, Reporting & Conformance) の検証では From ヘッダのメールアドレス、エンベロープの送信者の両方が対象となります。
ポリシールールの受信者と送信者	✔
ポリシールールの検索条件「エンベロープ送信者が空白」	✔		この検索条件は配信不能通知 (バウンスメール) などエンベロープの送信者が null ("<>") のメッセージを検出するものです。
ポリシールールの検索条件「メッセージヘッダ送信者が次とは異なるエンベロープ送信者」	✔	✔	この検索条件はエンベロープの送信者と From ヘッダのメールアドレスが異なるメッセージを検出するものです。
ポリシールールの検索条件「メッセージヘッダ送信者が次とは異なる Reply-Toヘッダ」		✔	この検索条件は From ヘッダと Reply-To ヘッダのメールアドレスが異なるメッセージを検出するものです。
ポリシールールの検索条件「指定したヘッダが次のキーワードに一致するキーワード」		✔	この検索条件では「差出人」(From ヘッダ)、「宛先」(To ヘッダ)、「CC」(Cc ヘッダ) に特定のキーワードがマッチした場合に検出するよう設定できます。
ポリシールールの検索条件「受信者の数」	✔	✔	この検索条件ではエンベロープの受信者に指定された宛先の総数、または To ヘッダと Cc ヘッダに指定されたメールアドレスの総数が対象となります。
トークン「%SENDER%」と「%RCPTS%」	✔		通知設定またはスタンプ設定では「%SENDER%」と「%RCPTS%」のトークンを使用できますが、エンベロープの送信者と受信者がそれぞれ挿入されます。ただし、「%RCPTS%」に関しては Bcc に指定したメールアドレスが第三者に漏洩することを抑止するため、エンベロープの受信者のメールアドレスが To ヘッダまたは Cc ヘッダに記載されていなければ表示しない (空白となる) 仕様です。

この記事は役に立ちましたか？

Featured

オートメーションセンター

Education Portal

Online Help Center

サービスステータスポータル

エンベロープとメッセージヘッダの違い

メール追跡とポリシーイベントのログ

ログ以外の各機能

エンベロープとメッセージヘッダの違い

製品・バージョン:

概要

メール追跡とポリシーイベントのログ

ログ以外の各機能

Trend Companion - AIチャットサポート

エンベロープとメッセージヘッダの違い

メール追跡とポリシーイベントのログ

ログ以外の各機能

関連リンク

エンベロープとメッセージヘッダの違い

製品・バージョン:

概要

メール追跡とポリシーイベントのログ

ログ以外の各機能

関連リンク