Exchange Online でのメッセージ トレースに関する FAQ
この記事では、ユーザーが持つ可能性があるメッセージングの質問と、考えられる回答について説明します。 また、メッセージ トレース ツールを使用して、それらの回答を入手し、特定のメール配信問題をトラブルシューティングする方法についても説明します。
How long does it take to see results when running a message trace?
- 従来の Exchange 管理センター (クラシック EAC) では、7 日未満のメッセージの検索結果がすぐに表示されます。
- 最新の Exchange 管理センター (モダン EAC) では、10 日未満のメッセージの検索結果がすぐに表示されます。
古いメッセージのメッセージ トレースを実行すると、ダウンロード可能な CSV ファイルとして数時間以内に結果が返されます。
注:
Microsoft Defender ポータルの Exchange メッセージ トレース リンクは、モダン EAC でメッセージ トレースを開きます。
送信されたメッセージがメッセージ トレースに表示されるまでにどのくらいの時間がかかりますか?
メッセージが送信されると、メッセージ トレース データにメッセージが表示されるまでに 5 ~ 10 分かかります。
Exchange Online PowerShell または Exchange Online Protection PowerShell を使用してメッセージ トレースを実行できますか? 使用するコマンドレットは何ですか?
Exchange Online PowerShell または Exchange Online Protection PowerShell で次のコマンドレットを使用して、メッセージ トレースを実行できます。
Get-MessageTrace: 10 日未満のメッセージをトレースします。
Get-MessageTraceDetail: 特定のメッセージのメッセージ トレース イベントの詳細を表示します。
Get-HistoricalSearch: このコマンドレットを使用して、過去 10 日以内に実行された履歴検索に関する情報を表示します。
Start-HistoricalSearch: 90 日未満のメッセージの新しい履歴検索を開始します。
Stop-HistoricalSearch: まだ開始されていないキューに登録された履歴検索を停止します (状態値は NotStarted
です)。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
Exchange Online メールボックスを使用しないスタンドアロン EOP 組織で Exchange Online Protection PowerShell に接続するには、「Exchange Online Protection PowerShell に接続する」を参照してください。
メッセージの追跡をユーザー インターフェイスで実行するとタイムアウト エラーが発生するのはなぜですか?
タイムアウト エラーの原因としては、クエリの処理に時間がかかりすぎることが考えられます。 検索条件を簡略化することを検討してください。 よりリベラルなタイムアウト要件がある Get-MessageTrace コマンドレットの使用を検討してください。
予想される電子メール メッセージを受信しなかったのはなぜですか?
考えられる理由を次に示します。
メッセージがスパムとして検出された。
メッセージがルールに一致するために検疫に送信された。
メッセージが拒否された。
- マルウェア フィルターが機能した。
- メッセージの添付ファイルにマルウェアが含まれている。
- メッセージの本文にマルウェアが含まれている。
- ルールに一致していた。
- アクションが [拒否] であった。
- アクションが [TLS を強制する] となっており、TLS の確立に失敗した。
- TLS が要求されたが確立に失敗したためにコネクタが機能した。
メッセージがモデレーションに送信され、承認を待機しているかモデレーターによって拒否された。
メッセージが送信されなかった。
以前のエラーが発生し、サービスが配信を再試行しているため、メッセージはまだ処理中です。
メッセージをメールボックスに配信できなかった。
- 宛先に到達できない。
- 宛先がメッセージを拒否した。
- メッセージ配信の試行中にタイムアウトした。
何が起こったかを調べるには:
メッセージ トレースを実行します。 できるだけ多くの検索条件を使用して結果を絞り込みます。 たとえば、送信者とメッセージの目的の受信者または受信者、およびメッセージが送信された一般的な期間を把握する必要があります。
結果を表示し、メッセージを見つけて、メッセージに関する特定の詳細を表示します (「 7 日未満のメッセージのメッセージ トレース結果を表示 する」または「 7 日を超えるメッセージのメッセージ トレース結果を表示する」を参照してください)。 配信状態として [失敗] または [保留中] を探して、メッセージが受信されなかった理由を説明します。
メッセージが送信されたこと、サービスによって正常に受信されたこと、フィルター処理、リダイレクト、モデレートのために送信されなかったことを確認し、配信エラーや遅延が発生しなかったことを確認します。
予期しないメッセージを受信したのはなぜですか?
考えられる理由を次に示します。
- メッセージが検疫から解放された。
- メッセージがモデレーターの承認を待っていてリリースされた。
- メッセージが未検出のスパムだった。
- 自分がメッセージに追加されているルールにメッセージが一致した。
- 自分がメンバーである配布リストにメッセージが送信された。
何が起こったかを調べるには:
メッセージ トレースを実行します。 できるだけ多くの検索条件を使用して結果を絞り込みます。 たとえば、メッセージを受信した受信者を指定し、配信状態を [配信済み] に設定し、メッセージが受信された日時に基づいて期間を設定します。
結果を表示し、メッセージを見つけて、メッセージに関する特定の詳細を表示します (「 7 日未満のメッセージのメッセージ トレース結果を表示 する」または「 7 日を超えるメッセージのメッセージ トレース結果を表示する」を参照してください)。
誰かがメッセージを受け取らなかったのはなぜですか、この配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) が届いたのはなぜですか?
考えられる理由は次のとおりです。
メッセージがスパムとして検出された。
メッセージがルールに一致するために検疫に送信された。
コネクタが別の宛先に送信したため、メッセージが再ルーティングされました。
メッセージが拒否されました。
- マルウェア フィルターが機能した。
- メッセージの添付ファイルにマルウェアが含まれている。
- メッセージの本文にマルウェアが含まれている。
- ルールに一致していた。
- アクションが [拒否] であった。
- アクションが [TLS を強制する] となっており、TLS の確立に失敗した。
- TLS が要求されたが確立に失敗したためにコネクタが機能した。
メッセージがモデレーションに送信され、承認を待機しているかモデレーターによって拒否された。
メッセージが送信されなかった。
以前のエラーが発生し、サービスが配信を再試行しているため、メッセージはまだ処理中です。
メッセージが宛先に配信できませんでした。
- 宛先に到達できない。
- 宛先がメッセージを拒否した。
- メッセージ配信の試行中にタイムアウトした。
メッセージは宛先に配信されたが、アクセスの前に削除された (ルールに一致したためと考えられる)。
何が起こったかを調べるには:
メッセージ トレースを実行します。 できるだけ多くの検索条件を使用して結果を絞り込みます。 たとえば、送信者とメッセージの目的の受信者または受信者、およびメッセージが送信された一般的な期間を把握する必要があります。
結果を表示し、メッセージを見つけて、メッセージに関する特定の詳細を表示します (「 7 日未満のメッセージのメッセージ トレース結果を表示 する」または「 7 日を超えるメッセージのメッセージ トレース結果を表示する」を参照してください)。
配信状態として [失敗] または [ 保留中] を探して、メッセージが配信されなかった理由を説明します。 メッセージが送信されたこと、サービスによって正常に受信されたこと、フィルター処理、リダイレクト、モデレートのために送信されなかったことを確認し、配信エラーや遅延が発生しなかったことを確認します。 宛先に到達できない場合は、 To IP を 使用して接続の問題のトラブルシューティングに役立てることができます。
Why is my message taking so long to arrive to its destination? Where is it in the pipeline?
考えられる理由は次のとおりです。
- 意図した宛先が応答しない。 これは最も起こりうるシナリオです。
- メッセージの容量が大きいため、処理に時間がかかっている可能性がある。
- サービスのレイテンシが遅延の原因になっている可能性がある。
- メッセージがブロックされている可能性があります
何が起こったかを調べるには:
メッセージ トレースを実行します。 できるだけ多くの検索条件を使用して結果を絞り込みます。 たとえば、送信者とメッセージの目的の受信者または受信者、およびメッセージが送信された一般的な期間を把握する必要があります。
結果を表示し、メッセージを見つけて、メッセージに関する特定の詳細を表示します (「 7 日未満のメッセージのメッセージ トレース結果を表示 する」または「 7 日を超えるメッセージのメッセージ トレース結果を表示する」を参照してください)。
[イベント] セクションには、メッセージがまだ配信されなかった理由が表示されます。 イベントを表示するときに、タイムスタンプ情報を使用すると、メッセージング パイプラインを通じてメッセージに従い、サービスが各イベントを処理するのにかかる時間を示します。 イベントの詳細は、配信されるメッセージが大きいか、送信先が応答しない場合にも通知されます。
メッセージはスパムとしてマークされましたか?
メッセージは、いくつかの理由でスパムとしてマークできます。 たとえば、送信 IP アドレスは、サービスのいずれかの IP ブロックリストに表示される場合があります。 スパム コンテンツ フィルターのルールと一致する場合など、実際のメッセージの内容により、メッセージをスパムとしてマークできます。 メッセージ トレース ツールは、スパム コンテンツ フィルター イベントのみを追跡します。接続フィルター イベント (ブロックされた IP アドレスなど) はトレースできません。 スパム コンテンツのフィルター処理など、スパム フィルター処理の詳細については、「 スパム対策保護」を参照してください。
メッセージがスパムとしてマークされた理由を確認するには:
メッセージ トレースを実行し、結果でメッセージを見つけて、メッセージに関する具体的な詳細を表示します (「 7 日未満のメッセージのメッセージ トレース結果を表示 する」または「 7 日を超えるメッセージのメッセージ トレース結果を表示する」を参照してください)。
コンテンツ フィルターがメッセージをスパムとしてマークすると、迷惑メール フォルダーまたは検疫に送信された場合、そのメッセージの状態は [配信済み] になります。 メッセージが送信先に到着した方法を確認するために、イベントの詳細を表示できます。 たとえば、メッセージが高いスパム信頼レベルを持っていると判断された場合や、高度なスパム フィルタリング オプションが一致したことを通知する場合があります。 また、メッセージがスパムとしてマークされた結果として発生したアクションも通知されます。たとえば、検疫に送信された場合、X ヘッダーでスタンプされた場合、または高リスクの配信プールを介して送信された場合などです。
メッセージにマルウェアが含まれていることが検出されましたか?
メッセージ本文か添付ファイルのプロパティが、マルウェア対策エンジンのいずれかのマルウェア定義と一致すると、メッセージはマルウェアとして検出されます。 マルウェアフィルタリングの詳細については、「 マルウェア対策保護」を参照してください。
メッセージにマルウェアが含まれていることが検出された理由を確認するには、 メッセージ トレースを実行します。 できるだけ多くの検索条件を使用して結果を絞り込みます。 配信状態を [失敗] に設定します。
結果を表示し、メッセージを見つけて、メッセージに関する特定の詳細を表示します (「 7 日未満のメッセージのメッセージ トレース結果を表示 する」または「 7 日を超えるメッセージのメッセージ トレース結果を表示する」を参照してください)。
マルウェアが含まれていると判断されたためにメッセージがまだ配信されなかった場合、この情報はイベント セクションで提供されます。 たとえば、サンプルの詳細: マルウェア: 添付ファイルで "ZipBomb" が検出されました。zip。 また、メッセージ全体がブロックされた場合や、すべての添付ファイルが削除され、アラート テキスト ファイルに置き換えられた場合など、マルウェアを含むメッセージの結果として発生したアクションも通知されます。
メッセージに適用されたメール フロー ルール (トランスポート ルールとも呼ばれます) または DLP ポリシーはどれですか?
メッセージに適用されたメール フロー ルール (カスタム ポリシー ルール) またはデータ損失防止 (DLP) ポリシー (Exchange Online のお客様のみ) を確認するには、 メッセージ トレースを実行します。 できるだけ多くの検索条件を使用して結果を絞り込みます。 配信状態を [失敗] に設定します。
結果を表示し、メッセージを見つけて、メッセージに関する特定の詳細を表示します (「 7 日未満のメッセージのメッセージ トレース結果を表示 する」または「 7 日を超えるメッセージのメッセージ トレース結果を表示する」を参照してください)。
メッセージの内容がルールと一致したためにメッセージが配信されなかった場合、イベント セクションには、一致したメール フロー ルールの名前が通知されます。 また、メール フロー ルールの一致の結果として発生したアクションも通知されます。たとえば、メッセージが検疫、拒否、リダイレクト、モデレート、復号化、その他の可能なオプションの任意の数に送信された場合などです。 Exchange メール フロー ルールを作成してアクションを設定する方法については、「 Exchange Online のメール フロー ルール (トランスポート ルール)」を参照してください。
メッセージ トレースを実行すると、ルール ID-1 が返されます。 これはどういう意味ですか?
ルール ID-1 は、メッセージ トレースが存在しなくなったメール フロー ルールを経由すると返されます。 (メール フロー ルールは、元のメッセージが送信された後に変更または削除された可能性があります)。
メッセージ追跡ツールを使用するときに留意すべき、既知の制限事項や動作の説明はありますか?
メッセージ追跡ツールの使用時には、次のことに留意してください。
IP でブロックされたメッセージ: IP 評判ブロック リストによってブロックされたメッセージは、リアルタイム レポートのスパム データに含まれますが、これらのメッセージに対してメッセージ トレースを実行することはできません。
リダイレクトされたメッセージ: 受信者がメール フロー ルールによって書き換えられた場合、またはドメインのスパム アクションが [ メール アドレスにリダイレクト] に設定されている場合、メッセージは 1 回の検索では追跡できません。 元のメッセージは、受信者が変更される時点までトレースできます。 その後、メッセージは元の受信者でトレースできなくなります。 もう一度、新しい受信者を使用してメッセージをトレースすることができます。
MAIL FROM: メッセージ トレース ツールは、メッセージの DATA セクションに表示される内容に関係なく、SMTP 会話の開始時に表示される MAIL FROM 値を検索の送信者として使用します。 メッセージには、返信先アドレス、別の差出人、または送信者の値が表示されることがあります。 電子メール メッセージが電子メール クライアントではなくプロセスによって送信された場合、MAIL FROM の送信者が実際のメッセージの送信者と一致しない可能性が高くなります。
メール フロー ルールの更新: メッセージがメール フロー ルールと一致すると、ルール ID がメッセージ トレースとリアルタイム レポート データベースに格納されます。 これらのメッセージのいずれかをトレースする場合、またはレポート内のルールの詳細をドリルダウンする場合、メッセージ トレース、およびリアルタイム レポート ユーザー インターフェイスは、レポート データベース内のルール ID に基づいて、ホストされているサービス ネットワークから現在のルール情報を動的にプルします。 メッセージが処理されてからその特定のルールの属性を変更した場合 (たとえば、拒否から許可に変更された場合)、ルール ID はメッセージ トレースで同じままになり、返された結果をリアルタイムで報告しますが、Exchange 管理センターには新しいメール フロー ルールのプロパティが表示されます。 ルールがいつ変更されたか、および変更されたプロパティを判断するには、監査レポート機能を使用できます。
スパム フィルター メッセージ:コンテンツ フィルターがあるメッセージをスパムとしてマークした場合、迷惑メール フォルダーまたは検疫にそのメッセージが送信されると、メッセージの状態は [ 配信済み] になります。 メッセージが宛先に到着した方法を確認するには、イベントの詳細をドリルダウンします。