Exchange Online Protection と Defender for Office 365 での送信結果の定義
Exchange Online のメールボックスを持つ Microsoft 365 組織では、 ユーザーが報告した 電子メール メッセージが分析のために Microsoft に送信されるかどうかをユーザーが報告した設定によって決まります。 メッセージが最初に Microsoft に送信されていない場合でも、管理者は、 の [申請] ページ、メール添付ファイル、URL、および (Microsoft Defender for Office 365 プラン 2 でのみ) Microsoft Teamsメッセージから、電子メール メッセージ (ユーザーが報告した電子メール メッセージを含む) を手動で送信または再送信できます。 詳細については、「 不審なメールまたはファイルを Microsoft に報告する方法」を参照してください。
管理者またはユーザーが分析のために Microsoft にアイテムを送信すると、次のチェックが行われます。
- 電子メール認証チェック (電子メール メッセージのみ): メッセージが 電子メール認証 チェックに合格したか失敗したか: SPF、 DKIM、 DMARC、 複合認証。
- ポリシー ヒット: 組織への受信メールを許可またはブロックした可能性があるポリシーまたはオーバーライドに関する情報。そのため、フィルター処理の判定がオーバーライドされます。
- ペイロードの評判/爆発: メッセージ内の URL と添付ファイルを最新の状態で調べることができます。
- 採点者の分析: メッセージが悪意のあるかどうかを確認するために、人間の採点者によって行われたレビュー。
注:
米国政府機関 (Microsoft 365 GCC、GCC High、DoD) では、管理者は分析のために Microsoft にアイテムを送信できますが、アイテムは電子メール認証とポリシー ヒットでのみ分析されます。 ペイロードの評判、爆発、グレーダーの分析は、コンプライアンス上の理由から行われません (データは組織の境界から離れることは許可されていません)。
次の表は、Microsoft への提出の結果を示しています。
- 状態 は、前に説明したチェックが完了したかどうかを示します。
- 結果 は、前に説明したチェックを使用して分析中に生成された詳細を示します
状態 | 結果 | 説明 |
---|---|---|
分析中 | 調査中 | 項目は、前に説明したように分析されています。 分析が完了すると、状態が更新され、結果に分析の詳細が表示されます。 |
完了 | Microsoft に送信されない | ユーザーが報告した設定は、報告されたメッセージをレポート メールボックスにのみ配信するように構成されます。 Microsoft は、送信されたアイテムのコピーを自動的に受け取って処理することはできません。 ユーザーが報告した設定を更新して、レポート メールボックスと Microsoft、または Microsoft にのみメッセージを配信できます。 |
完了 | フィッシング シミュレーション | 送信されたアイテムは、内部のフィッシング対策教育キャンペーンの一部です。 高度な配信ポリシーまたは (Defender for Office 365 プラン 2) 攻撃シミュレーション トレーニングを確認します。 |
完了 | 認証に失敗しました | 電子メール認証に失敗したため、メッセージが配信されませんでした。 このドメインを所有している場合は、ドメイン認証の設定を確認します。 それ以外の場合は、ドメイン所有者に問い合わせてください。 詳細については、「Microsoft 365 でのメール認証」をご覧ください。 |
完了 | なりすましメッセージ | 送信されたアイテムは、送信者のなりすましを行っているユーザーによって送信されました。 詳細については、「EOP でのスプーフィング インテリジェンス分析」を参照してください。 |
完了 | ドメイン偽装 | Defender for Office 365 では、送信されたアイテムは、ドメイン偽装保護のために識別されたドメインに似たドメインから送信されました。 アイテムを確認し(必要に応じて)、メッセージを検出したフィッシング対策ポリシーの信頼された送信者の一覧に送信者ドメインを追加することをお勧めします。 詳細については、「 ドメイン偽装保護」を参照してください。 |
完了 | ブランド偽装 | Defender for Office 365 では、提出されたアイテムはブランドに関連付けられているユーザーから送信されました。 アイテムを確認し、(必要に応じて) テナント許可/ブロック リストの許可エントリとして送信者アドレスを追加することをお勧めします。 |
完了 | ユーザー偽装 | Defender for Office 365 では、送信されたアイテムは、ユーザー偽装保護のために識別されたユーザーに似た送信者から送信されます。 アイテムを確認し(必要に応じて)、メッセージを検出したフィッシング対策ポリシーの信頼できる送信者の一覧に送信者を追加することをお勧めします。 詳細については、「 ユーザー偽装保護」を参照してください。 |
完了 | 組織のオーバーライドが原因で許可される | 送信されたアイテムに関連付けられているエンティティは、次のいずれかの設定で許可されました。
提出結果で正確な原因を確認し、設定を削除または修正します。 |
完了 | ユーザーのオーバーライドが原因で許可される | 送信されたアイテムの受信者には、 メールボックスに Outlook の構成可能な許可設定 があります (たとえば、差出人セーフ リストの送信者やドメイン)。 提出結果で正確な原因を確認し、設定を削除または修正します。 |
完了 | 組織のオーバーライドが原因でブロックされる | 送信されたアイテムに関連付けられているエンティティが、次のいずれかの設定でブロックされました。
提出結果で正確な原因を確認し、設定を削除または修正します。 |
完了 | ユーザーのオーバーライドが原因でブロックされる | 送信されたアイテムの受信者には、 メールボックスに Outlook の構成可能なブロック設定があります (たとえば、[ブロックされた送信者] リストの送信者やドメイン、 セーフ リストのみが オンになっています)。 提出結果で正確な原因を確認し、設定を削除または修正します。 |
完了 | アイテムが見つかりませんでした | 送信されたアイテムは削除されたか、提出が無効であるため使用できません。 Exchange Online メールボックスのアイテムのみを送信できます。 Exchange Online メールボックスからメッセージの.eml ファイルまたはネットワーク メッセージ ID を再送信します。 |
完了 | この判決の背後にある理由は、輸送中に失われました | 送信されたアイテムは、オンプレミスの Exchange と Exchange Online の間の ハイブリッド メール フロー を介してルーティングされ、フィルター処理の判定が失われました。 クラウド メールボックスに直接配信された同様のメッセージを確認し、ルーティングを修正します。 |
完了 | 提出を受け取らなかったので、問題を修正して再送信してください | 送信されたアイテムが申請サービスに届かなかった。 ポリシーまたはメール フロー ルールが、アイテムがサービスに到達できないようにすることを確認します。 詳細については、「 Microsoft 365 URL と IP アドレス範囲」を参照してください。 |
完了 | さらなる分析が必要 | 米国政府機関 (Microsoft 365 GCC、GCC High、DoD) では、 電子メール認証チェック と ポリシー ヒットの許可されたチェック内に何も見つからない場合に、この結果を受け取ります。 送信されたアイテムを分析するには、サポート チケットを開いてお勧めします。 |
完了 | 不明 - 確認しましたが、今は決定できません | Microsoft は、提出されたアイテムに関する決定に達できませんでした。 説明には、アナリストによって異なる解釈や、アクセスできない項目が含まれます。 Microsoft は分析プロセスに継続的に投資するため、この結果はあまり一般的ではありません。 |
完了 | バルク | 送信されたアイテムの送信者は、一括送信者として分類されました。 今後、スパム対策ポリシーで一括準拠レベル (BCL) のしきい値を満たすか超えた場合、同様の項目はブロックされます。 詳細については、 EOP での一括苦情レベル (BCL) に関するページを参照してください。 同様のアイテムが配信されないようにするには、[テナントの許可/ブロック] リストでドメインまたは電子メール アドレス、ファイル、または URL のブロック エントリを作成します。 詳細については、「 テナントの許可/ブロックリストのエントリをブロックする」を参照してください。 |
完了 | スパム | 送信されたアイテムはスパムとして分類されました。 今後、スパム対策ポリシーでスパム信頼レベル (SCL) のしきい値を満たすか超えた場合、同様の項目はブロックされます。 詳細については、「 EOP でのスパム信頼レベル (SCL)」を参照してください。 同様のアイテムが配信されないようにするには、[テナントの許可/ブロック] リストでドメインまたは電子メール アドレス、ファイル、または URL のブロック エントリを作成します。 詳細については、「 テナントの許可/ブロックリストのエントリをブロックする」を参照してください。 |
完了 | 脅威なし | 送信されたアイテムがクリーンであることが判明しました。 評価期間が経過すると、申請の情報を使用してフィルターが更新される場合があります。 フィルターが申請について学習するまでは、テナント許可/ブロック リスト内のアイテムのブロック エントリまたは許可エントリを作成できます。 |
完了 | 脅威を検出 | 送信されたアイテムが悪意のあるものであることが判明しました。 評価期間が経過すると、申請の情報を使用してフィルターが更新される場合があります。 フィルターが申請について学習するまでは、テナント許可/ブロック リスト内のアイテムのブロック エントリまたは許可エントリを作成できます。 |