Exchange Online で、メール フロー ルールを使用してメッセージの添付ファイルを検査する
Exchange Online 組織や、Exchange Online メールボックスを使用していないスタンドアロン Exchange Online Protection (EOP) 組織では、メール フロー ルール (トランスポート ルールとも呼ばれます) を設定してメールの添付ファイルを検査することができます。 メール フロー ルールを使用すると、メッセージング セキュリティおよび法令遵守のニーズの一環としてメールの添付ファイルを調べることができます。 添付ファイルを検査するときには、添付ファイルの内容や特徴に基づいてメッセージを処理することができます。 メール フロー ルールを使用して実行できる添付ファイル関連タスクをいくつか示します。
- 指定したパターンに一致するテキストを含むファイルを検索し、メッセージの末尾に免責事項を追加します。
- 添付ファイル内のコンテンツを検査し、指定するキーワードが存在する場合、メッセージを配信する前に承認のためにモデレーターにリダイレクトする。
- メッセージを確認して検査できない添付ファイルがあった場合、メッセージ全体が送信されないようにする。
- 特定のサイズを超える添付ファイルがないかどうか確認し、メッセージを送信しない場合は、その問題を送信者に通知する。
- 添付の Office ドキュメントのプロパティが、指定した値と一致するかどうかを確認します。 この条件を利用すれば、メール フロー ルールおよび DLP ポリシーの要件を、SharePoint や Windows Server ファイル分類インフラストラクチャ (FCI) などのサード パーティ製分類システムと統合できます。
- メール フロー ルールと一致するメッセージを送信した場合に、ユーザーに警告する通知を作成する。
- 添付ファイルを含むすべてのメッセージをブロックする。 例については、「Exchange Online での添付ファイルのブロック シナリオにメール フロー ルールを使用する」を参照してください。
注:
これらの条件はすべて、圧縮形式の添付ファイルをスキャンします。
Exchange Online 管理者は、メール フロー ルールで Exchange 管理センター (EAC) で メール フロー>ルールを作成できます。 この手順を実行するには、アクセス許可が必要です。 新しいルールの作成を開始した後、[この規則を適用する場合] の下にある [任意の添付ファイル] を選択することで、添付ファイル関連の条件の完全な一覧を表示できます。 次の図に、添付ファイルに関連するオプションを示します。
選択できる条件や操作の範囲全般を含むメール フロー ルールの詳細については、「Exchange Online のメール フロー ルール (トランスポート ルール)」を参照してください。 Exchange Online Protection (EOP) およびハイブリッド環境では、Best Practices for Configuring EOP で提供されるメール フロー ルールのベスト プラクティスを活用できます。 ルールの作成を開始する準備ができている場合は、「Exchange Online でのメール フロー ルールの管理」を参照してください。
ヒント
ルールが正しく動作していないと思われる場合は、最初にメッセージに含まれる添付ファイルを確認します。 メール フロー ルールの評価中に含まれるメッセージの添付ファイルを調べるには、「 Test-TextExtraction」を参照してください。
このメソッドは機能するはずです。
添付ファイル内のコンテンツの検査
次の表にあるメール フロー ルールの条件を使用して、メッセージの添付ファイルのコンテンツを調べることができます。 これらの条件では、添付ファイルから抽出された最初の 1 メガバイト (MB) のテキストだけが検査されます。 1 MB の制限は、添付ファイルのファイル サイズではなく、抽出されたテキストを指します。 たとえば、2 MB のファイルには 1 MB 未満のテキストが含まれる場合があるため、すべてのテキストが検査されます。
メッセージを検査するときに、これらの条件の使用を開始するためには、メール フロー ルールに条件を追加する必要があります。 ルールの作成または変更の詳細については、「 Exchange Online でメール フロー ルールを管理する」を参照してください。
EAC における条件名 | Exchange Online の PowerShell における条件名 | 説明 |
---|---|---|
添付ファイルのコンテンツに次が含まれる場合 任意の添付ファイル>コンテンツに次の単語のいずれかが含まれている場合 |
AttachmentContainsWords | この条件は、指定された文字列または文字のグループを含む、サポートされているファイルの種類の添付ファイルがあるメッセージと一致します。 |
添付ファイルのコンテンツが次と一致する場合 添付ファイル>コンテンツが次のテキスト パターンと一致する場合 |
AttachmentMatchesPatterns | この条件は、指定の正規表現と一致するテキスト パターンを含む、サポートされているファイルの種類の添付ファイルがあるメッセージと一致します。 |
添付ファイルのコンテンツを検査できない場合 任意の添付ファイル>コンテンツを検査できない場合 |
AttachmentIsUnsupported | メール フロー ルールで可能なのは、サポートされているファイルの種類のコンテンツの検査のみです。 メール フロー ルールがサポートされていない添付ファイルを検出すると、AttachmentIsUnsupported 条件がトリガーされます。 サポートされているファイルの種類については次のセクションで説明します。 |
注:
Exchange Online の PowerShell の条件名は、New-TransportRule コマンドレットと Set-TransportRule コマンドレットのパラメーター名です。 詳細については、「 New-TransportRule」を参照してください。
これらの条件のプロパティの種類の詳細については、「 Exchange Online のメール フロー ルールの条件と例外 (述語)」を参照してください。
Windows PowerShell を使用して Exchange Online に接続する方法については、「 Exchange Online PowerShell に接続する」を参照してください。
メール フロー ルールによるコンテンツ検査でサポートされているファイルの種類
次の表は、メール フロー ルールによってサポートされているファイルの種類を一覧表示しています。 システムは、実際のファイル名拡張子ではなくファイルのプロパティを検査してファイル種類を自動的に検出するため、悪意あるハッカーがファイル拡張子の名前を変更してメール フロー ルール フィルターを迂回するのを防ぎます。 メール フロー ルールのコンテキスト内でチェックできる実行可能コードを含むファイルの種類の一覧については、この記事の後半で説明します。
カテゴリ | ファイル拡張子 | Notes (メモ) |
---|---|---|
Adobe PDF | なし | |
圧縮アーカイブ ファイル | .arj、.bz2、.cab、.chm、.gz、.gzip、.lha、.lzh、.lzma、.mhtml、.msp、.rar、.rar4、.tar、.xar、.xz、.zip、.7z | なし |
HTML | .ascx、.asp、.aspx、.css、.hta、.htm、.html、.htw、.htx、.jhtml | なし |
JSON | adaptivecard, .json, メッセージカード | なし |
メール | .eml、.msg、.nws | なし |
Microsoft Office | .doc、.docb、.docm、.docx、.dot、.dotm、 .dotx、.obd、.obt、.one、.potm、.potx、.ppa、.ppam、.pps、.ppsm、.ppsx、.ppt、.pptm、.pptx、.xlb、.xlc、.xlm、.xls、.xlsb、.xlsm、.xlsx、.xlt、.xltm、.xltx、.xlw | これらのファイルの種類に含まれるすべての埋め込みパーツの内容も検査されます。 ただし、埋め込まれていないオブジェクト (たとえばリンクされたドキュメント) は検査されません。 カスタム プロパティ内のコンテンツもスキャンされます。 |
Microsoft Office xml | .excelove my life, .powerpointml, .wordml | なし |
Microsoft Visio | .vdw、.vdx、.vsd、.vsdm、.vsdx、.vss、.vssm、.vssx、.vst、.vstm、.vstx、.vsx、.vtx | なし |
OpenDocument | .odp, .ods, .odt | .odf ファイルのパーツは処理されません。 たとえば, .odf ファイルに埋め込みドキュメントが含まれている場合、その埋め込みドキュメントの内容は検査されません。 |
その他 | .dfx、.dxf、.encoffmetro、.fluid、.mime、.pointpub、.pub、.rtf、.vtt、.xps | なし |
テキスト | .asm、.bat、.c、.class、.cmd、.cpp、.cs、.csv、.cxx、 .def、.dic、.h、.hpp、.ibq、.idl、.inc、.inf、.ini、.inx、.java、.js、.json、.lnk、.log、.m3u、messagestorage、.mpx、.php、.pl、.pos、.tsv、.txt、.vcf、vcs | テキスト ベースのその他のファイルもスキャンされます。 このリストは代表的なリストです。 |
XML | .infopathml、.jsp、.mspx、.xml | なし |
添付ファイルのファイル プロパティの検査
以下の条件は、メッセージに添付されているファイルのさまざまなプロパティを検査するメール フロー ルールで使用できます。 メッセージを検査するときに、これらの条件の使用を開始するためには、メール フロー ルールに条件を追加する必要があります。 ルールの作成または変更に関する詳細については、「メール フロー ルールの管理」を参照してください。
注:
ファイル条件 AttachmentNameMatchesPatterns または AttachmentExtensionMatchesWords を使用して特定のファイルをブロックする場合は、この条件は、前述の他の条件のファイル コンテンツ検査とは異なるファイル プロパティではなく、実際のファイル名拡張子を検査していることに注意してください。 たとえば、システム ファイル プロパティの検出に基づいてファイルをブロックする必要がある場合は、ファイルの名前が変更されます。代わりに、 メール対策ポリシー の "共通添付ファイル フィルター" 機能を使用します。
EAC における条件名 | Exchange Online の PowerShell における条件名 | 説明 |
---|---|---|
添付ファイルのファイル名が次と一致する場合 添付ファイル>ファイル名が次のテキスト パターンと一致する場合 |
AttachmentNameMatchesPatterns | この条件は、指定した文字がファイル名に含まれているファイルが添付されたメッセージと一致します。 |
添付ファイルのファイル拡張子が次と一致する場合 任意の添付ファイル>ファイルの拡張子に次の単語が含まれる場合 |
AttachmentExtensionMatchesWords | この条件は、指定したファイル名拡張子と一致するファイルが添付されたメッセージと一致します。 |
任意の添付ファイルのサイズが次の値以上 任意の添付ファイルの>サイズが次の値以上 |
AttachmentSizeOver | この条件は、指定した値以上のサイズのファイルが添付されたメッセージと一致します。 この条件は、累積サイズではなく、個々の添付ファイルのサイズを指します。 たとえば、10 MB 以上の添付ファイルを拒否するようにルールを設定した場合、サイズが 15 MB の 1 つの添付ファイルは拒否されますが、3 つの 5 MB の添付ファイルを含むメッセージは許可されます。 |
メッセージのスキャンが完了しなかった場合 任意の添付ファイル>スキャンを完了しなかった場合 |
AttachmentProcessingLimitExceeded | この条件は、添付ファイルがメール フロー ルール エージェントによって検査されない場合に、メッセージと一致します。 |
添付ファイルに実行可能なコンテンツがある場合 任意の添付ファイル>実行可能なコンテンツがある場合 |
AttachmentHasExecutableContent | この条件は、添付ファイルとして実行可能ファイルを含むメッセージと一致します。 サポートされているファイルの種類は以下のとおりです。 |
いずれかの添付ファイルがパスワードで保護されている 任意の添付ファイル>がパスワードで保護されている場合 |
AttachmentIsPasswordProtected | この条件は、パスワードで保護されているファイルが添付されたメッセージと一致します。 パスワード検出は、Office ドキュメント、圧縮ファイル (.zip、.7z)、および .pdf ファイルに対して機能します。 |
いずれかの添付ファイルに次のプロパティがある場合 (次のいずれかの単語を含む) 任意の添付ファイル>次のいずれかの単語を含む次のプロパティを持つ |
AttachmentPropertyContainsWords | この条件は、添付された Office ドキュメントの指定されたプロパティに指定の文字が含まれているメッセージと一致します。 プロパティとそのプロパティに指定できる値はコロンで区切ります。 値が複数ある場合はコンマで区切ります。 複数のプロパティと値のペアもコンマで区切られます。 |
注:
Exchange Online の PowerShell の条件名は、New-TransportRule コマンドレットと Set-TransportRule コマンドレットのパラメーター名です。 詳細については、「 New-TransportRule」を参照してください。
これらの条件のプロパティの種類の詳細については、「 Exchange Online のメール フロー ルールの条件と例外 (述語)」を参照してください。
Exchange Online PowerShell に接続する方法については、「Exchange Online PowerShell に接続する」を参照してください。
メール フロー ルールによる検査でサポートされている実行可能ファイルの種類
メール フロー ルールでは、実形式の検出を使用して、ファイル拡張子だけではなくファイル プロパティを検査します。 この方法は、悪意のあるハッカーがファイル拡張子の名前を変更してルールをバイパスするのを防ぐのに役立ちます。 次の表は、これらの条件によってサポートされている実行可能ファイルの種類の一覧です。 ここに記載されていないファイルが見つかった場合、 AttachmentIsUnsupported
条件がトリガーされます。
ファイルの種類 | ネイティブの拡張子 |
---|---|
ダイナミック リンク ライブラリの拡張子を持つ 32 ビット Windows の実行可能ファイル。 | .dll |
自己解凍形式の実行可能プログラム ファイル。 | .exe |
アンインストール実行可能ファイル。 | .exe |
プログラムのショートカット ファイル。 | .exe |
32 ビット Windows 実行可能ファイル。 | .exe |
Microsoft Visio の XML 図面ファイル。 | .vxd |
OS/2 のオペレーティング システム ファイル。 | .os2 |
16 ビット Windows 実行可能ファイル。 | .w16 |
ディスク オペレーティング システムのファイル。 | .dos |
European Institute for Computer Antivirus Research 規格のウイルス対策テスト ファイル。 | .com |
Windows のプログラム情報ファイル。 | .pif |
Windows プログラムの実行可能ファイル。 | .exe |
重要
.rar (WinRAR アーカイバで作成された自己解凍アーカイブ ファイル)、 .jar (Java アーカイブ ファイル)、 .obj (コンパイルされたソース コード ファイル、3D オブジェクト ファイル、シーケンス ファイル) のファイルは、実行可能ファイルの種類とは見なされ ません 。 これらのファイルをブロックするには、この記事で前述したとおり、メール フロー ルールを使って、これらの拡張子が付いたファイルを探すか、これらのファイルの種類をブロックするマルウェア対策ポリシー (一般的な添付ファイルの種類フィルター) を構成します。 詳細については、「EOP でのマルウェア対策ポリシーの構成」を参照してください。
データ損失防止ポリシーと添付ファイルのメール フロー ルール
注:
このセクションは、スタンドアロン EOP 組織には適用されません。
重要なビジネス情報をメールで管理するために、添付ファイル関連の条件とデータ損失防止 (DLP) ポリシーの規則を含めることができます。
DLP ポリシーおよび添付ファイル関連の条件は、ビジネスのニーズをメール フロー ルール条件、例外、アクションとして定義することで、それらのニーズを満たすのに役立ちます。 DLP ポリシーに機密情報の検査を含めた場合、メッセージの添付ファイルはその情報についてだけスキャンされます。 ただし、サイズやファイル種類などの添付ファイルに関連する条件は、この記事に一覧表示されている条件を追加するまでは含まれません。 DLP は、すべてのバージョンの Exchange で使用できるわけではありません。詳細については、「 データ損失防止」を参照してください。
詳細情報
マルウェアの状態に関係なく、添付ファイル付きの電子メールを広範囲にブロックする詳細については、「Exchange Online でのメール フロー ルールに向けた添付ファイルのブロックの一般的なシナリオ」を参照してください。