サーバーで従来の EAC でメッセージ トレースを実行Exchange Online

注意

メッセージ トレースは、最新の管理センター Exchange使用できます。 詳細については、「最新の管理センターのメッセージ トレースExchange参照してください。 ポータル Exchangeメッセージ トレース リンクMicrosoft 365 Defender、最新の EAC でメッセージ トレースが開きます。

管理者は、Exchange 管理センター (EAC) でメッセージの追跡を実行することで、電子メール メッセージに何が起こったのかを調べることができます。 メッセージの追跡を実行した後に、結果を一覧に表示し、特定のメッセージの詳細を確認できます。 過去 90 日間のメッセージ追跡データが使用できます。 メッセージが 7 日を超える場合は、ダウンロード可能なファイルでのみ結果を.CSVできます。

メッセージ トレースおよび他のメール フローのトラブルシューティング ツールのビデオ チュートリアルについては、「ビジネス管理者向けのメール配信の問題を Microsoft 365またはOffice 365する」を参照してください

はじめに把握しておくべき情報

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: 「Exchange Online」または「Exchange Online Protection」。 ビジネス管理者向けMicrosoft 365またはOffice 365場合は、「ビジネス製品のサポートに問い合わせ - 管理者ヘルプ」を参照してください

メッセージ追跡を実行する

  1. EAC で、[メール フロー メッセージ の追跡] に > 移動します

    メッセージのトレースを表示する Exchange 管理センターのスクリーン ショットは、メール フローのナビゲーション メニューから選択します。

  2. 検索内容に応じて、次のフィールドに値を入力できます。 経過日数が 7 日間未満のメッセージの場合、これらのフィールドは必須ではありません。 何も入力せずに [検索] をクリックすると、既定の期間 (過去 48 時間) のすべてのメッセージの追跡データが得られます。

    1. 日付範囲: ドロップダウン リストを使用して、過去 24 時間、48 時間、または 7 日以内に送信または受信したメッセージを検索します。 過去 90 日以内の任意の範囲を含むカスタム期間を選択することもできます。 カスタム検索の場合は、世界協定時刻 (UTC) のタイム ゾーンを変更することもできます。

    2. 配信状態: ドロップダウン リストを使用して、情報を表示するメッセージの状態を選択します。 すべての状態を対象にするには、既定値 [すべて] のままにします。 その他の値は次のいずれかです。

      • 配信: メッセージが目的の宛先に正常に配信されました。
      • 失敗: メッセージが配信されませんでした。 試行して失敗したか、フィルター サービスによって実行されたアクションの結果として配信されなかったかのいずれかです。 たとえば、メッセージにマルウェアが含まれると判別された場合です。
      • 保留中:* メッセージの配信が試行または再試行されています。
      • 展開済み: メッセージが配布リストに送信されてリストが展開されるため、リストの個々のメンバーを確認できます。
      • スパムとしてフィルター処理済み: メッセージが迷惑メール フォルダーに配信されました。
      • 不明*: メッセージ配信の状態は、現時点では不明です。 クエリの結果が表示されても、配信詳細フィールドには情報が含まれません。

      7 日より前のメッセージを検索する場合は、[保留中] または [不明 **] を選択*できます

    3. メッセージ ID: これは、メッセージ ID: ヘッダー フィールドのメッセージ ヘッダーにあるインターネット メッセージ ID (クライアント ID とも呼 ばれる) です。 ユーザーからこの情報を提供してもらい、特定のメッセージを調査できます。

      この ID の形式は、送信メール システムによって異なります。 次に例を示します <08f1e0f6806a47b4ac103961109ae6ef@server.domain>

      この ID は一意である必要があります。ただし、すべての送信メール システムが同じように動作するわけではありません。 その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

      : 完全なメッセージ ID 文字列を必ず含める必要があります。 メッセージ ID には、山かっこ (<>) が含まれる場合もあります。

    4. 送信者: [送信者] フィールドの横にある [送信者の追加] ボタンをクリックして、特定の送信者の検索を 絞り込 みできます。 表示されたダイアログ ボックスで、ユーザー選択リストから 1 人以上の社内送信者を選択し、 [追加] をクリックします。 リスト上にない送信者を追加するには、電子メール アドレスを入力して [名前の確認] をクリックします。 このボックスでは、*@contoso.com という形式で、メール アドレスにワイルドカードを使用できます。 ワイルドカードを指定する場合、他のアドレスは使用できません。 選択が完了したら、 [OK] をクリックします。

    5. 受信者: [受信者] フィールドの横にある [受信者の追加] ボタンをクリックして、特定の受信者の検索を 絞り込 みできます。 表示されたダイアログ ボックスで、ユーザー選択リストから 1 人以上の社内受信者を選択し、 [追加] をクリックします。 リスト上にない受信者を追加するには、電子メール アドレスを入力して [名前の確認] をクリックします。 このボックスでは、*@contoso.com という形式で、メール アドレスにワイルドカードを使用できます。 ワイルドカードを指定する場合、他のアドレスは使用できません。 選択が完了したら、 [OK] をクリックします。

  3. 7 日より前のメッセージを検索する場合は、次の設定を構成します (それ以外の場合は、この手順を省略できます)。

    1. メッセージ イベントとルーティングの詳細 をレポートに含める: このチェック ボックスは、メッセージの数が少ない場合にのみ選択することをお勧めします。 それ以外の場合、結果の取得に時間がかかります。

    2. 方向: 既定の [すべて ] のままにするか、[受信] を選択して組織に送信するメッセージ、または組織から送信されたメッセージの送信を選択します。

    3. 元のクライアント IP アドレス: 送信者のクライアントの IP アドレスを指定します。

    4. レポートのタイトル: このレポートの一意の識別子を指定します。 これは電子メール通知の件名テキストとしても使用されます。 既定値は "Message trace report <day of the week>, ". です <current date> <current time>。 たとえば、「メッセージ 追跡レポート 2018 年 10 月 17 日木曜日 7:21:09 AM」とします。

    5. 通知メール アドレス: メッセージ の追跡が完了するときに通知を受信する電子メール アドレスを指定します。 このアドレスは、承認済みドメインの一覧に常駐する必要があります。

  4. [検索 :] をクリックしてメッセージ トレースを実行します。 24 時間の間に実行可能な追跡量のしきい値に近付くと警告が表示されます。

メッセージ トレースを実行した後、次のいずれかのセクションに進み、結果の表示方法について説明します。

: 別のメッセージを検索するには、[クリア] ボタンをクリックし、新しい検索条件を指定します。

7 日未満のメッセージのメッセージ 追跡結果を表示する

EAC でメッセージ トレースを実行すると、結果が日付順に並べ替え、最新のメッセージが最初に表示されます。 表示されるフィールドは、見出しをクリックして並べ替えることができます。 見出しをもう一度クリックすると、逆の順序で並べ替えられます。 メッセージ追跡の結果を表示すると、それぞれのメッセージについて次の情報が表示されます。

  • 日付: 構成済みの UTC タイム ゾーンを使用して、サービスによってメッセージが受信された日時。
  • 送信者: フォーム内の送信者の電子メール アドレス alias@domainです。
  • 受信者: 受信者または受信者の電子メール アドレス。 複数の受信者に送信されるメッセージの場合は、受信者ごとに 1 行が割り当てられます。 受信者が配布リストの場合は、配布リストが最初の受信者になり、すべての受信者の状態をチェックできるように配布リストのメンバーごとに 1 行が割り当てられます。
  • 件名: メッセージの件名テキスト。 必要に応じて、最初の 256 文字までに切り捨てられます。
  • Status: このフィールドは、メッセージが受信者に配信されたのか、目的の宛先に配信されたのか、受信者に配信できなかったか (宛先に到達できなかったか、フィルター処理されたため)、配信が保留 (配信が延期中か、配信が延期されたが、再試行中) かを指定します。 が 展開 されました (メッセージが DL の受信者に展開された配布リスト (DL) に送信されたため配信がありませんでした)、または状態が None (メッセージが拒否または別の受信者にリダイレクトされたため、受信者へのメッセージの配信状態はありません)。

注意

メッセージ トレースには、最大 500 のエントリを表示できます。既定では、1 ページあたり 50 個の項目を表示するユーザー インターフェイスがあり、ページ間を移動できます。また、各ページで最大 500 のエントリのサイズを変更できます。

7 日未満の特定のメッセージの詳細を表示する

EAC でメッセージの追跡を実行して返されたアイテムの一覧を確認した後、それぞれのメッセージをダブルクリックすることによって、次のようなメッセージに関する詳細を表示できます。

  • メッセージ サイズ: 添付ファイルを含むメッセージのサイズ (KB 単位)、またはメッセージ サイズが 999 KB を超える場合はメガバイト (MB) です。

  • メッセージ ID: これは、"Message-ID:" トークンを持つメッセージのヘッダーにあるインターネット メッセージ ID (クライアント ID とも呼ばれる) です。 次に例を示します。 次に例を示します <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>

    この ID は一意ですが、ID を生成する送信側メール システムによって異なり、すべての送信側メール システムが同じように動作するわけではありません。その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

    これは、問題になっているメッセージと追跡エントリを相互に関連付けることができるように、出力として提供されます。

  • [IP へ]: サービスがメッセージの配信を試みた IP アドレスまたはアドレス。 受信者が複数の場合は、次の項目が表示されます。 Exchange Online に送信された受信メッセージの場合、この値は空白です。

  • IP から: メッセージを送信したコンピューターの IP アドレス。 Exchange Online から送信された送信メッセージの場合、この値は空白です。

イベント セクションの次のフィールドには、メッセージがメッセージング パイプラインを通過するときにメッセージに発生したイベントに関する情報が表示されます。

  • 日付: イベントが発生した日時。

  • イベント: このフィールドは、メッセージがサービスによって受信された場合、メッセージが配信された場合、または目的の受信者に配信できなかった場合など、何が起こったかを簡単に通知します。 次に、表示されるイベントの例を示します。

    • RECEIVE: サービスによってメッセージが受信された。

    • SEND: メッセージはサービスによって送信されました。

    • FAIL: メッセージの配信に失敗しました。

    • DELIVER: メッセージがメールボックスに配信されました。

    • EXPAND: メッセージが展開された配布グループに送信されました。

    • TRANSFER: コンテンツ変換、メッセージ受信者の制限、またはエージェントのために、受信者が分岐メッセージに移動されました。

    • DEFER: メッセージの配信は延期され、後で再試みされる可能性があります。

    • 解決済 み: メッセージは、Active Directory の検索に基づいて新しい受信者アドレスにリダイレクトされました。 このイベントが発生した場合、メッセージ トレースの別の行に、メッセージの最終配信状態と併せて、元の受信者のアドレスが表示されます。

    • DLP ルール: メッセージには、このメッセージで DLP ルールが一致しました。

    • 感度ラベル: サーバー側のラベル付けイベントが発生しました。 たとえば、暗号化するアクションを含むメッセージにラベルが自動的に追加されたか、Web またはモバイル クライアントを介して追加されました。 このアクションは、サーバーによってExchangeログに記録されます。 イベント フィールドにOutlookラベルは含まれません。

      ヒント

      追加のイベントが表示される場合があります。 これらのイベントの詳細については、「メッセージ追跡 ログのイベントの種類」を参照してください

  • アクション: このフィールドには、マルウェアやスパムの検出またはルールの一致のためにメッセージがフィルター処理された場合に実行されたアクションが表示されます。 たとえば、メッセージが削除されたかどうか、または検疫に送信されたかどうかを確認できます。

  • 詳細: このフィールドには、何が起こったのかを詳しく説明する詳細情報が表示されます。 たとえば、特定のメール フロー ルール (トランスポート ルールとも呼ばれる) が一致し、その一致の結果としてメッセージに何が発生したのかを通知できます。 どのマルウェアがどの添付ファイルで検出されたか、またはメッセージがスパムとして検出された理由に関する情報も表示されることがあります。 メッセージが正常に配信された場合は、配信先の IP アドレスが表示されます。

7 日を超えるメッセージのメッセージ 追跡結果を表示する

7 日より前のアイテムのメッセージ トレースを実行する場合は、[検索] をクリックすると、メッセージが正常に送信され、トレースが完了すると電子メール通知が指定された電子メール アドレスに送信されます。 (メッセージ トレースが処理され、検索条件に一致するデータが正常に取得された場合、この通知メッセージには、トレースに関する情報とダウンロード可能な .CSV ファイルへのリンクが含まれます。 指定した検索条件と一致するデータが見つからなかった場合は、有効な結果を取得するために、変更された条件を含む新しい要求を提出する必要があります。

EAC では、[保留中のトレースまたは完了したトレースの表示] をクリックして、7 日を超えるアイテムに対して実行されたトレースの一覧を表示できます。 結果として生成される UI において、追跡の一覧はそれが送信された日時に基づいて格納され、送信日時が新しい順に表示されます。 一覧には、レポートのタイトル、追跡の送信日時、レポートに含まれるメッセージ数に加えて、状態に関する以下の値が表示されます。

  • 未開始: トレースは送信されましたが、まだ実行されていません。 この時点で、追跡を取り消すこともできます。
  • キャンセル: トレースは送信されましたが、取り消されました。
  • 進行中: トレースが実行中で、トレースを取り消したり、結果をダウンロードしたりできない。
  • 完了: トレースが完了し、[このレポートのダウンロード] をクリックして、結果を特定のファイル.CSVできます。 概要レポートのメッセージ トレース結果が 50000 メッセージを超える場合、メッセージは最初の 50000 メッセージに切り捨てられる点に注意してください。 詳細レポートのメッセージ追跡結果が 1000 メッセージを超えた場合、メッセージは最初の 1000 メッセージに切り捨てられます。 必要な結果がすべて表示されない場合は、検索を複数のクエリに分けて行うことをお勧めします。

特定のメッセージの追跡を選択すると、右側のウィンドウに追加情報が表示されます。追加情報には、指定した検索条件に応じて、追跡が実行された日付範囲、メッセージの送信者と指定された受信者などの詳細が含まれます。

注意

  • メッセージの追跡は、経過日数が 7 日間を超えるデータを含む場合、10 日後に EAC で自動的に削除されます。それらを手動で削除することはできません。

  • ダウンロード可能なレポートの最大サイズは 500 MB です。 ダウンロード可能なレポートが 500 MB を超える場合は、レポートを [レポート] または [Excel] メモ帳。

7 日を超える特定のメッセージに関するレポートの詳細を表示する

EAC で保留中または完了したトレースを表示するか、または通知メールからメッセージ 追跡レポートをダウンロードして表示する場合、その内容は、[メッセージ イベントとルーティングの詳細をレポートに含める] オプションを選択したかどうかによって なります。

重要

ダウンロードしたメッセージ追跡レポートを表示するには、自分の役割グループに "View-Only Recipients" RBAC 役割が割り当てられている必要があります。既定では、次の役割グループにこの役割が割り当てられています。Compliance Management (コンプライアンス管理)、Help Desk (ヘルプ デスク)、Hygiene Management (検疫管理)、Organization Management (組織管理)、View-Only Organization Management (表示専用組織管理)。

ルーティングの詳細がないメッセージ追跡レポートを表示する

メッセージ追跡を実行するときにルーティングの詳細を含めなかった場合, .CSV ファイルには以下の情報が含まれます。このファイルは、Microsoft Excel などのアプリケーションで開くことができます。

  • origin_timestamp: 構成済みの UTC タイム ゾーンを使用して、サービスによってメッセージが受信された日時。

  • sender_address: aliasdomain というフォームの送信者の 電子@メール アドレス。

  • Recipient_status: 受信者へのメッセージの配信の状態。 メッセージが複数の受信者に送信された場合、すべての受信者と対応する状態がそれぞれの受信者に対して次の形式で表示されます。 <email address>##<status> 以下に状態の例を示します。

    • ##Receive Send: は、メッセージがサービスによって受信され、目的の宛先に送信されたという意味です。
    • ##Receive、 Fail: は、メッセージがサービスによって受信されたが、目的の宛先に配信できなかった場合を意味します。
    • ##Receive、 Deliver: は、メッセージがサービスによって受信され、受信者のメールボックスに配信されたという意味です。
  • message_subject: メッセージの件名テキスト。 必要に応じて、最初の 256 文字までに切り捨てられます。

  • total_bytes: 添付ファイルを含むメッセージのサイズ (バイト単位)。

  • message_id: これは、"Message-ID:" トークンを持つメッセージのヘッダーにあるインターネット メッセージ ID (クライアント ID とも呼ばれる) です。 次に例を示します。 次に例を示します <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>

    この ID は一意ですが、ID を生成する送信側メール システムによって異なり、すべての送信側メール システムが同じように動作するわけではありません。その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

    これは、問題になっているメッセージと追跡エントリを相互に関連付けることができるように、出力として提供されます。

  • network_message_id: これは、分岐または配布グループの展開によって作成される可能性があるメッセージのコピー間で保持される一意のメッセージ ID 値です。 たとえば、1341ac7b13fb42ab4d4408cf7f55890f のような値です。

  • original_client_ip: 送信者のクライアントの IP アドレス。

  • 方向性: このフィールドは、メッセージが受信 (1) を組織に送信されたかどうか、または組織から送信された (2) かどうかを示します。

  • connector_id: 送信元または送信先の送信コネクタまたは受信コネクタの名前。 たとえば、ServerNameConnectorName \ または ConnectorName です

  • delivery_priority: メッセージが高、低、または標準の優先度で 送信された****かどうかを示 します。

ルーティングの詳細を含むメッセージの追跡レポートを表示する

メッセージ トレースを実行するときにルーティングの詳細を含める場合は、メッセージ追跡ログのすべての情報が .CSV ファイルに含まれており、Microsoft Excel などのアプリケーションで開くことができる。 このレポートに含まれる値の一部については、前のセクションで説明しますが、調査の目的に役立つ可能性があるその他の値については、「メッセージ追跡ログ ファイルのフィールド」を 参照してください

Custom_data フィールド

前述のフィールドのほかに、 custom_data フィールドに、フィルター サービスに固有の値が含まれる場合があります。AGENTINFO イベントの custom_data フィールドは、メッセージの処理に関する詳細をログに書き込むためにさまざまなエージェントによって使用されます。メッセージのデータ保護に関連するいくつかのエージェントについて、以下に説明します。

スパム フィルター エージェント (S:SFA)

S:SFA から始まる文字列は、スパム フィルター エージェントからのエントリです。次のような重要な詳細情報を提供します。

ログ情報 説明
SFV=NSPM メッセージがスパムではないとしてマークされ、意図された受信者に送信されました。
SFV=SPM コンテンツ フィルターによって、メッセージがスパムとしてマークされました。
SFV=BLK ブロックする差出人から発信されたメッセージであるため、フィルター処理が省略され、メッセージはブロックされました。
SFV=SKS コンテンツ フィルターによって処理される前に、メッセージがスパムとしてマークされました。 これには、メッセージがメール フロー ルールと一致して自動的にスパムとしてマークされ、追加のフィルター処理をバイパスするメッセージが含まれます。
SCL=<number> さまざまな SCL 値と、その意味の詳細については、「Spam Confidence Levels」を参照してください
PCL=<number> メッセージの Phishing Confidence Level (PCL) 値。 これらは、「スパム信頼度」に記載されている SCL 値と同 じ方法で解釈できます
DI=SB メッセージの送信者はブロックされました。
DI=SQ メッセージは検疫されました。
DI=SD メッセージは削除されました。
DI=SJ メッセージは受信者の迷惑メール フォルダーに送信されました。
DI=SN メッセージがより危険度の高い配信プールを経由してルーティングされました。 詳細については、「送信メッセージにおける危険度の高い配信プール」を参照してください。
DI=SO メッセージは通常の送信用の配信プールを通じて送信されました。
SFS=[a]
SFS=[b]
これはスパム ルールが一致したことを示します。
IPV=CAL このメッセージの IP アドレスは接続フィルターの IP 許可一覧に指定されているため、スパム フィルターの通過を許可されました。
H=[helostring] 接続するメール サーバーの HELO または EHLO 文字列。
PTR=[ReverseDNS] 送信元の IP アドレスの PTR レコード (逆引き DNS アドレスともいう) です。

メッセージにスパム フィルターが適用された場合の custom_data エントリのサンプルを次に示します。

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

マルウェア フィルター エージェント (S:AMA)

S:AMA で始まる文字列は、マルウェア対策エージェントからのエントリです。次のような重要な詳細情報を提供します。

ログの情報 説明
AMA=SUMv|=1|

または

AMA=EVv|=1|

このメッセージは、マルウェアが含まれていると判断されました。SUM は、マルウェアがさまざまなエンジンで検出された可能性があることを示します。EV は、特定のエンジンによってマルウェアが検出されたことを示します。エンジンでマルウェアが検出された場合は、後続のアクションをトリガーします。
Action=r メッセージは置き換えられました。
Action=p メッセージはバイパスされました。
Action=d メッセージは延期されました。
Action=s メッセージは削除されました。
Action=st メッセージはバイパスされました。
Action=sy メッセージはバイパスされました。
Action=ni メッセージは拒否されました。
Action=ne メッセージは拒否されました。
Action=b メッセージはブロックされました。
Name=<malware> 検出されたマルウェアの名前。
File=<filename> マルウェアを含むファイルの名前。

メッセージにマルウェアが含まれている場合の custom_data エントリのサンプルを次に示します。

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

トランスポート ルール エージェント (S:TRA)

S:TRA で始まる文字列は、トランスポート ルール エージェントからのエントリであり、次のキーの詳細を提供します。

ログの情報 説明
ETRruleId|=[guid] 一致したルールの ID。
St=[datetime] ルールの一致が発生した日時 (UTC)。
Action=[ActionDefinition] 適用されたアクション。 使用可能なアクションの一覧については、「メール フロー ルールのアクション」を参照Exchange Online。
Mode=Enforce ルールのモード。使用可能な値は次のいずれかです。
  • [適用]: ルールのすべてのアクションが適用されます。
  • ポリシー を使用ヒント テスト: ポリシー ヒントのアクションは送信されますが、他の強制アクションは実行されません。
  • ポリシーなしのテスト ヒント: アクションはログ ファイルに一覧表示されますが、送信者には通知されません。強制アクションは実行されません。

メッセージがメール フロー ルールと一致する場合、custom_dataは次のようになります。

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

詳細情報

メッセージ追跡の FAQ」では、メッセージングに関してユーザーが抱くかもしれない質問とその回答を示します。また、メッセージ トレース ツールを使用して、それらの回答を入手し、特定のメール配信問題をトラブルシューティングする方法についても説明します。

PowerShell または PowerShell を介してExchange Onlineを実行Exchange Online Protectionできますか?使用するコマンドレットは何ですか?メッセージ トレースの実行に使用できる PowerShell コマンドレットに関する情報を提供します。