Exchange Onlineのクラシック EAC でメッセージ トレースを実行する

注:

メッセージ トレースは、最新の Exchange 管理センターで使用できます。 詳細については、 最新の Exchange 管理センターのメッセージ トレースに関するページを参照してください。 Microsoft 365 Defender ポータルの Exchange メッセージ トレース リンクは、モダン EAC でメッセージ トレースを開きます。

管理者は、Exchange 管理センター (EAC) でメッセージの追跡を実行することで、電子メール メッセージに何が起こったのかを調べることができます。 メッセージの追跡を実行した後に、結果を一覧に表示し、特定のメッセージの詳細を確認できます。 過去 90 日間のメッセージ追跡データが使用できます。 メッセージが 7 日を超える場合は、ダウンロード可能な.CSV ファイルでのみ結果を表示できます。

メッセージ トレースとその他のメール フロートラブルシューティング ツールのビデオ チュートリアルについては、「Microsoft 365 またはビジネス管理者向けのOffice 365としてのメール配信の問題を検索して修正する」を参照してください。

はじめに把握しておくべき情報

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: 「Exchange Online」または「Exchange Online Protection」。 Microsoft 365 またはビジネス管理者向けのOffice 365の場合は、「ビジネス製品のサポートへの問い合わせ - 管理ヘルプ」を参照してください。

メッセージ追跡を実行する

  1. EAC で、[ メール フロー>メッセージ トレース] に移動します。

    メッセージのトレースを表示する Exchange 管理センターのスクリーン ショットは、メール フローのナビゲーション メニューから選択します。

  2. 検索する内容に応じて、次のフィールドに値を入力できます。 経過日数が 7 日間未満のメッセージの場合、これらのフィールドは必須ではありません。 何も入力せずに [検索] をクリックすると、既定の期間 (過去 48 時間) のすべてのメッセージの追跡データが得られます。

    1. 日付範囲: ドロップダウン リストを使用して、過去 24 時間以内、48 時間以内、または 7 日以内に送受信されたメッセージを検索します。 過去 90 日以内の任意の範囲を含むカスタム期間を選択することもできます。 カスタム検索の場合は、世界協定時刻 (UTC) のタイム ゾーンを変更することもできます。

    2. 配信状態: ドロップダウン リストを使用して、情報を表示するメッセージの状態を選択します。 すべての状態を対象にするには、既定値 [すべて] のままにします。 その他の値は次のいずれかです。

      • 配信済み: メッセージが目的の宛先に正常に配信されました。
      • 失敗: メッセージが配信されませんでした。 試行して失敗したか、フィルター サービスによって実行されたアクションの結果として配信されなかったかのいずれかです。 例えば、メッセージにマルウェアが含まれると判別された場合です。
      • *保留中: メッセージの配信が試行されているか、再試行されています。
      • 展開済み: メッセージが配布リストに送信されてリストが展開されるため、リストの個々のメンバーを確認できます。
      • スパムとしてフィルター処理済み: メッセージが迷惑メール フォルダーに配信されました。
      • 不明*: 現時点では、メッセージ配信の状態は不明です。 クエリの結果が表示されても、配信詳細フィールドには情報が含まれません。

      *7 日を超えるメッセージを検索している場合は、[ 保留中] または [ 不明] を選択できません。

    3. メッセージ ID: これは、メッセージ ヘッダーの [メッセージ ID: ヘッダー] フィールドにあるインターネット メッセージ ID (クライアント ID とも呼ばれます) です。 ユーザーからこの情報を提供してもらい、特定のメッセージを調査できます。

      この ID の形式は、送信メール システムによって異なります。 例を次に示します。 <08f1e0f6806a47b4ac103961109ae6ef@server.domain>

      この ID は一意である必要があります。ただし、すべての送信メール システムが同じように動作するわけではありません。 その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

      : 完全なメッセージ ID 文字列を必ず含めます。 メッセージ ID には、山かっこ (<>) が含まれる場合もあります。

    4. 送信者: [送信者] フィールドの横にある [ 送信者の追加 ] ボタンをクリックして、特定の 送信者 の検索を絞り込むことができます。 表示されたダイアログ ボックスで、ユーザー選択リストから 1 人以上の社内送信者を選択し、 [追加] をクリックします。 リスト上にない送信者を追加するには、電子メール アドレスを入力して [名前の確認] をクリックします。 このボックスでは、*@contoso.com という形式のメール アドレスに対してワイルドカードがサポートされています。 ワイルドカードを指定する場合、他のアドレスは使用できません。 選択が完了したら、 [OK] をクリックします。

    5. 受信者: [受信者] フィールドの横にある [受信者の追加] ボタンをクリックして、特定の受信者の検索を絞り込むことができます。 表示されたダイアログ ボックスで、ユーザー選択リストから 1 人以上の社内受信者を選択し、 [追加] をクリックします。 リスト上にない受信者を追加するには、電子メール アドレスを入力して [名前の確認] をクリックします。 このボックスでは、*@contoso.com という形式のメール アドレスに対してワイルドカードがサポートされています。 ワイルドカードを指定する場合、他のアドレスは使用できません。 選択が完了したら、 [OK] をクリックします。

  3. 7 日を超えるメッセージを検索する場合は、次の設定を構成します (それ以外の場合は、この手順をスキップできます)。

    1. メッセージ イベントとルーティングの詳細をレポートに含める: 少数のメッセージを探している場合にのみ、このチェック ボックスをオンにすることをお勧めします。 それ以外の場合、結果が返されるまでに時間がかかります。

    2. 方向: 既定の [すべて ] のままにするか、組織に送信されたメッセージの場合は [受信] を、組織から送信されたメッセージの場合は [送信 ] を選択します。

    3. 元のクライアント IP アドレス: 送信者のクライアントの IP アドレスを指定します。

    4. レポート タイトル: このレポートの一意の識別子を指定します。 これは電子メール通知の件名テキストとしても使用されます。 既定値は "メッセージ トレース レポート <の曜日>、 <現在の日付><の現在時刻>" です。 たとえば、"メッセージ トレース レポート 2018 年 10 月 17 日木曜日 7:21:09 AM" などです。

    5. 通知メール アドレス: メッセージ トレースが完了したときに通知を受信するメール アドレスを指定します。 このアドレスは、承認済みドメインの一覧に常駐する必要があります。

  4. [ 検索:] をクリックしてメッセージ トレースを実行します。 24 時間の間に実行可能な追跡量のしきい値に近付くと警告が表示されます。

メッセージ トレースを実行した後、次のいずれかのセクションに進み、結果を表示する方法を確認します。

: 別のメッセージを検索するには、[ クリア ] ボタンをクリックし、新しい検索条件を指定します。

7 日未満のメッセージのメッセージ トレース結果を表示する

EAC でメッセージ トレースを実行すると、結果が日付で並べ替えられて、最新のメッセージが最初に表示されます。 表示されるフィールドは、見出しをクリックして並べ替えることができます。 見出しをもう一度クリックすると、逆の順序で並べ替えられます。 メッセージ追跡の結果を表示すると、それぞれのメッセージについて次の情報が表示されます。

  • 日付: 構成された UTC タイム ゾーンを使用して、サービスによってメッセージが受信された日時。
  • 送信者: フォーム alias@domainの送信者の電子メール アドレス。
  • 受信者: 受信者または受信者のメール アドレス。 複数の受信者に送信されるメッセージの場合は、受信者ごとに 1 行が割り当てられます。 受信者が配布リストの場合は、配布リストが最初の受信者になり、すべての受信者の状態をチェックできるように配布リストのメンバーごとに 1 行が割り当てられます。
  • 件名: メッセージの件名行テキスト。 必要に応じて、最初の 256 文字までに切り捨てられます。
  • 状態: このフィールドは、メッセージが受信者に配信されたか、目的の宛先に配信されなかったかを指定します。受信者に配信できませんでした (宛先に到達できなかったか、フィルター処理されたため)、[配信待ち] (配信処理中か、配信が延期されたが、再試行中) です。 が展開されました (メッセージが DL の受信者に展開された配布リスト (DL) に送信されたため、配信されませんでした)、または状態が None (メッセージが拒否されたか、別の受信者にリダイレクトされたため、受信者へのメッセージの配信の状態はありません)。

注:

メッセージ トレースには、最大 500 のエントリを表示できます。 既定では、1 ページあたり 50 個の項目を表示するユーザー インターフェイスがあり、ページ間を移動できます。 また、各ページで最大 500 のエントリのサイズを変更できます。

7 日未満の特定のメッセージに関する詳細を表示する

EAC でメッセージの追跡を実行して返されたアイテムの一覧を確認した後、それぞれのメッセージをダブルクリックすることによって、次のようなメッセージに関する詳細を表示できます。

  • メッセージ サイズ: 添付ファイルを含むメッセージのサイズを KB 単位で指定するか、メッセージ サイズが 999 KB を超える場合は MB 単位で指定します。

  • メッセージ ID: これは、"Message-ID:" トークンを持つメッセージのヘッダーにあるインターネット メッセージ ID (クライアント ID とも呼ばれます) です。 次に例を示します。 例を次に示します。 <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>

    この ID は一意ですが、ID を生成する送信側メール システムによって異なり、すべての送信側メール システムが同じように動作するわけではありません。 その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

    これは、問題になっているメッセージと追跡エントリを相互に関連付けることができるように、出力として提供されます。

  • [IP へ]: サービスがメッセージを配信しようとした IP アドレスまたはアドレス。 受信者が複数の場合は、次の項目が表示されます。 Exchange Online に送信された受信メッセージの場合、この値は空白です。

  • [IP から]: メッセージを送信したコンピューターの IP アドレス。 Exchange Online から送信された送信メッセージの場合、この値は空白です。

イベント セクションの次のフィールドには、メッセージがメッセージング パイプラインを通過するときにメッセージに発生したイベントに関する情報が表示されます。

  • 日付: イベントが発生した日時。

  • イベント: このフィールドは、メッセージがサービスによって受信された場合、メッセージが配信された場合、または目的の受信者に配信されなかった場合など、発生した内容を簡単に通知します。 次に、表示されるイベントの例を示します。

    • RECEIVE: サービスによってメッセージが受信されました。

    • SEND: メッセージはサービスによって送信されました。

    • FAIL: メッセージの配信に失敗しました。

    • 配信: メッセージがメールボックスに配信されました。

    • 展開: 展開された配布グループにメッセージが送信されました。

    • 転送: 受信者は、コンテンツの変換、メッセージ受信者の制限、またはエージェントのために、分岐されたメッセージに移動されました。

    • DEFER: メッセージ配信は延期され、後で再試行される可能性があります。

    • 解決済み: Active Directory の検索に基づいて、メッセージが新しい受信者アドレスにリダイレクトされました。 このイベントが発生した場合、メッセージ トレースの別の行に、メッセージの最終配信状態と併せて、元の受信者のアドレスが表示されます。

    • DLP ルール: このメッセージに DLP ルールが一致しました。

    • 秘密度ラベル: サーバー側のラベル付けイベントが発生しました。 たとえば、暗号化するアクションを含むメッセージにラベルが自動的に追加されたか、Web またはモバイル クライアント経由で追加されました。 このアクションは Exchange サーバーによって完了し、ログに記録されます。 Outlook 経由で追加されたラベルは、イベント フィールドには含まれません。

      ヒント

      その他のイベントが表示される場合があります。 これらのイベントの詳細については、「 メッセージ追跡ログのイベントの種類」を参照してください。

  • アクション: このフィールドには、マルウェアまたはスパムの検出またはルールの一致によってメッセージがフィルター処理された場合に実行されたアクションが表示されます。 たとえば、メッセージが削除されたかどうか、または検疫に送信されたかどうかを確認できます。

  • 詳細: このフィールドは、何が起こったかについて詳しく説明する詳細情報を提供します。 たとえば、特定のメール フロー ルール (トランスポート ルールとも呼ばれます) が一致し、その一致の結果としてメッセージに何が起こったかを通知する場合があります。 どのマルウェアがどの添付ファイルで検出されたか、またはメッセージがスパムとして検出された理由に関する情報も表示されることがあります。 メッセージが正常に配信された場合は、配信先の IP アドレスが表示されます。

7 日を超えるメッセージのメッセージ トレース結果を表示する

7 日を超えるアイテムに対してメッセージ トレースを実行した場合、[ 検索 ] をクリックすると、メッセージが正常に送信されたこと、およびトレースが完了したときに指定されたメール アドレスに電子メール通知が送信されることを知らせるメッセージが表示されます。 (メッセージ トレースが処理され、検索条件に一致するデータが正常に取得された場合、この通知メッセージにはトレースに関する情報と、ダウンロード可能な.CSV ファイルへのリンクが含まれます。指定した検索条件に一致するデータが見つからなかった場合は、有効な結果を取得するために、条件が変更された新しい要求を送信するように求められます)。

EAC では、[ 保留中または完了したトレースの表示 ] をクリックして、7 日より前のアイテムに対して実行されたトレースの一覧を表示できます。 結果として生成される UI において、追跡の一覧はそれが送信された日時に基づいて格納され、送信日時が新しい順に表示されます。 一覧には、レポートのタイトル、追跡の送信日時、レポートに含まれるメッセージ数に加えて、状態に関する以下の値が表示されます。

  • [未開始]: トレースは送信されましたが、まだ実行されていません。 この時点で、追跡を取り消すこともできます。
  • キャンセル済み: トレースは送信されましたが、取り消されました。
  • 進行中: トレースが実行されており、トレースを取り消したり、結果をダウンロードしたりすることはできません。
  • 完了: トレースが完了し、[ このレポートのダウンロード ] をクリックして、.CSV ファイルの結果を取得できます。 メッセージ トレースの結果がサマリー レポートのメッセージ数が 1,0000 を超えると、最初の 100000 メッセージに切り捨てられることに注意してください。 メッセージ トレースの結果が詳細レポートのメッセージ数が 1,000 を超える場合、最初の 1,000 メッセージに切り捨てられます。 必要な結果がすべて表示されない場合は、検索を複数のクエリに分けて行うことをお勧めします。

特定のメッセージの追跡を選択すると、右側のウィンドウに追加情報が表示されます。 指定した検索条件によっては、追跡対象の日付範囲、メッセージの送信者や指定した受信者などの詳細が結果に含まれる場合があります。

注:

  • メッセージの追跡は、経過日数が 7 日間を超えるデータを含む場合、10 日後に EAC で自動的に削除されます。 それらを手動で削除することはできません。

  • ダウンロード可能なレポートの最大サイズは 500 MB です。 ダウンロード可能なレポートが 500 MB を超える場合、Excel またはメモ帳でレポートを開くできません。

7 日を超える特定のメッセージに関するレポートの詳細を表示する

EAC の 保留中または完了したトレースを表示するか 、通知メールからメッセージ トレース レポートをダウンロードして表示する場合、その内容は、[ メッセージ イベントとルーティングの詳細をレポートに含める ] オプションを選択したかどうかによって異なります。

重要

ダウンロードしたメッセージ トレース レポートを表示するには、ロール グループに割り当てられている "受信者のみ表示" RBAC ロールが必要です。 既定では、コンプライアンス管理、ヘルプ デスク、衛生管理、組織管理、View-Only組織管理など、次の役割グループにこのロールが割り当てられます。

ルーティングの詳細がないメッセージ追跡レポートを表示する

メッセージ追跡を実行するときにルーティングの詳細を含めなかった場合, .CSV ファイルには以下の情報が含まれます。このファイルは、Microsoft Excel などのアプリケーションで開くことができます。

  • origin_timestamp: 構成された UTC タイム ゾーンを使用して、サービスによってメッセージが受信された日時。

  • sender_address: フォーム エイリアス@ドメイン内の送信者の電子メール アドレス。

  • Recipient_status: 受信者へのメッセージの配信の状態。 メッセージが複数の受信者に送信された場合、電子メール アドレス>##<status という形式<で、すべての受信者とそれに対応する状態>が表示されます。 以下に状態の例を示します。

    • ##Receive、Send: は、メッセージがサービスによって受信され、目的の宛先に送信されたことを意味します。
    • ##Receive、失敗: は、メッセージがサービスによって受信されたが、目的の宛先に配信できなかったことを意味します。
    • ##Receive、配信: メッセージがサービスによって受信され、受信者のメールボックスに配信されたことを意味します。
  • message_subject: メッセージの件名行テキスト。 必要に応じて、最初の 256 文字までに切り捨てられます。

  • total_bytes: 添付ファイルを含むメッセージのサイズ (バイト単位)。

  • message_id: これは、"Message-ID:" トークンを持つメッセージのヘッダーにあるインターネット メッセージ ID (クライアント ID とも呼ばれます) です。 次に例を示します。 例を次に示します。 <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>

    この ID は一意ですが、ID を生成する送信側メール システムによって異なり、すべての送信側メール システムが同じように動作するわけではありません。 その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

    これは、問題になっているメッセージと追跡エントリを相互に関連付けることができるように、出力として提供されます。

  • network_message_id: これは、分岐または配布グループの拡張によって作成される可能性があるメッセージのコピー間で保持される一意のメッセージ ID 値です。 たとえば、1341ac7b13fb42ab4d4408cf7f55890f のような値です。

  • original_client_ip: 送信者のクライアントの IP アドレス。

  • 方向: このフィールドは、メッセージが組織に受信 (1) 送信されたかどうか、または組織から送信された (2) かどうかを示します。

  • connector_id: 送信元または送信先の送信コネクタまたは受信コネクタの名前。 たとえば、 ServerName\ConnectorNameConnectorName などです。

  • delivery_priority: メッセージが 、または 標準 の優先順位で送信されたかどうかを示します。

ルーティングの詳細を含むメッセージの追跡レポートを表示する

メッセージの追跡を実行するときにルーティングの詳細を含めた場合、メッセージの追跡ログのすべての情報が .CSV ファイルに含まれます。このファイルは、Microsoft Excel などのアプリケーションで開くことができます。 このレポートに含まれる値の一部については前のセクションで説明しますが、調査目的で役立つ可能性のあるその他の値については、「 メッセージ追跡ログ ファイルのフィールド」を参照してください。

Custom_data フィールド

前述のフィールドのほかに、 custom_data フィールドに、フィルター サービスに固有の値が含まれる場合があります。 AGENTINFO イベントの custom_data フィールドは、メッセージの処理に関する詳細をログに書き込むためにさまざまなエージェントによって使用されます。 メッセージのデータ保護に関連するいくつかのエージェントについて、以下に説明します。

スパム フィルター エージェント (S:SFA)

S:SFA から始まる文字列は、スパム フィルター エージェントからのエントリです。次のような重要な詳細情報を提供します。

ログ情報 説明
SFV=NSPM メッセージがスパムではないとしてマークされ、意図された受信者に送信されました。
SFV=SPM コンテンツ フィルターによって、メッセージがスパムとしてマークされました。
SFV=BLK ブロックする差出人から発信されたメッセージであるため、フィルター処理が省略され、メッセージはブロックされました。
SFV=SKS コンテンツ フィルターによって処理される前に、メッセージがスパムとしてマークされました。 これには、メッセージがメール フロー ルールと一致し、スパムとして自動的にマークされ、追加のフィルター処理をすべてバイパスするメッセージが含まれます。
SCL=<number> さまざまな SCL 値とその意味の詳細については、「 スパム信頼度レベル」を参照してください。
PCL=<number> メッセージの Phishing Confidence Level (PCL) 値。 これらは、「 スパム信頼度レベル」に記載されている SCL 値と同じ方法で解釈できます。
DI=SB メッセージの送信者はブロックされました。
DI=SQ メッセージは検疫されました。
DI=SD メッセージは削除されました。
DI=SJ メッセージは受信者の迷惑メール フォルダーに送信されました。
DI=SN メッセージがより危険度の高い配信プールを経由してルーティングされました。 詳細については、「送信メッセージにおける危険度の高い配信プール」を参照してください。
DI=SO メッセージは通常の送信用の配信プールを通じて送信されました。
SFS=[a]
SFS=[b]
これはスパム ルールが一致したことを示します。
IPV=CAL このメッセージの IP アドレスは接続フィルターの IP 許可一覧に指定されているため、スパム フィルターの通過を許可されました。
H=[helostring] 接続するメール サーバーの HELO または EHLO 文字列。
PTR=[ReverseDNS] 送信元の IP アドレスの PTR レコード (逆引き DNS アドレスともいう) です。

メッセージにスパム フィルターが適用された場合の custom_data エントリのサンプルを次に示します。

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

マルウェア フィルター エージェント (S:AMA)

S:AMA で始まる文字列は、マルウェア対策エージェントからのエントリです。次のような重要な詳細情報を提供します。

ログの情報 説明
AMA=SUM|v=1|

または

AMA=EV|v=1|

このメッセージは、マルウェアが含まれていると判断されました。 SUM は、マルウェアがさまざまなエンジンで検出された可能性があることを示します。 EV は、特定のエンジンによってマルウェアが検出されたことを示します。 エンジンでマルウェアが検出された場合は、後続のアクションをトリガーします。
Action=r メッセージは置き換えられました。
Action=p メッセージはバイパスされました。
Action=d メッセージは延期されました。
Action=s メッセージは削除されました。
Action=st メッセージはバイパスされました。
Action=sy メッセージはバイパスされました。
Action=ni メッセージは拒否されました。
Action=ne メッセージは拒否されました。
Action=b メッセージはブロックされました。
Name=<malware> 検出されたマルウェアの名前。
File=<filename> マルウェアを含むファイルの名前。

メッセージにマルウェアが含まれている場合の custom_data エントリのサンプルを次に示します。

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

トランスポート ルール エージェント (S:TRA)

S:TRA で始まる文字列はトランスポート ルール エージェントからのエントリであり、次のキーの詳細を提供します。

ログの情報 説明
ETR|ruleId=[guid] 一致したルールの ID。
St=[datetime] ルールの一致が発生した日時 (UTC)。
Action=[ActionDefinition] 適用されたアクション。 使用可能なアクションの一覧については、「Exchange Onlineのメール フロー ルールアクション」を参照してください。
Mode=Enforce ルールのモード。 使用可能な値は次のとおりです。
  • 適用: ルールに対するすべてのアクションが適用されます。
  • ポリシー ヒントを使用したテスト: ポリシー ヒントアクションは送信されますが、他の強制アクションは実行されません。
  • ポリシー ヒントなしのテスト: アクションはログ ファイルに一覧表示されますが、送信者には何も通知されず、強制アクションは処理されません。

メッセージがメール フロー ルールと一致する場合、サンプル custom_data エントリは次のようになります。

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

詳細情報

メッセージ追跡の FAQ」では、メッセージングに関してユーザーが抱くかもしれない質問とその回答を示します。 また、メッセージ トレース ツールを使用して、それらの回答を入手し、特定のメール配信問題をトラブルシューティングする方法についても説明します。

Exchange Online PowerShell または powerShell Exchange Online Protection経由でメッセージ トレースを実行できますか? 使用するコマンドレットは何ですか?は、メッセージ トレースの実行に使用できる PowerShell コマンドレットに関する情報を提供します。