次の方法で共有


Exchange Online で、メール フロー ルールを使用してメッセージの添付ファイルを検査する

Exchange Online 組織や、Exchange Online メールボックスを使用していないスタンドアロン Exchange Online Protection (EOP) 組織では、メール フロー ルール (トランスポート ルールとも呼ばれます) を設定してメールの添付ファイルを検査することができます。 メール フロー ルールを使用すると、メッセージング セキュリティおよび法令遵守のニーズの一環としてメールの添付ファイルを調べることができます。 添付ファイルを検査するときには、添付ファイルの内容や特徴に基づいてメッセージを処理することができます。 メール フロー ルールを使用して実行できる添付ファイル関連タスクをいくつか示します。

  • 指定したパターンに一致するテキストを含むファイルを検索し、メッセージの末尾に免責事項を追加します。
  • 添付ファイル内のコンテンツを検査し、指定するキーワードが存在する場合、メッセージを配信する前に承認のためにモデレーターにリダイレクトする。
  • メッセージを確認して検査できない添付ファイルがあった場合、メッセージ全体が送信されないようにする。
  • 特定のサイズを超える添付ファイルがないかどうか確認し、メッセージを送信しない場合は、その問題を送信者に通知する。
  • 添付の Office ドキュメントのプロパティが、指定した値と一致するかどうかを確認します。 この条件を利用すれば、メール フロー ルールおよび DLP ポリシーの要件を、SharePoint や Windows Server ファイル分類インフラストラクチャ (FCI) などのサード パーティ製分類システムと統合できます。
  • メール フロー ルールと一致するメッセージを送信した場合に、ユーザーに警告する通知を作成する。
  • 添付ファイルを含むすべてのメッセージをブロックする。 例については、「Exchange Online での添付ファイルのブロック シナリオにメール フロー ルールを使用する」を参照してください。

注:

これらの条件はすべて、圧縮形式の添付ファイルをスキャンします。

Exchange Online 管理者は、メール フロー ルールで Exchange 管理センター (EAC) で メール フロー>ルールを作成できます。 この手順を実行するには、アクセス許可が必要です。 新しいルールの作成を開始した後、[この規則を適用する場合] の下にある [任意の添付ファイル] を選択することで、添付ファイル関連の条件の完全な一覧を表示できます。 次の図に、添付ファイルに関連するオプションを示します。

添付ファイルの条件リスト。

選択できる条件や操作の範囲全般を含むメール フロー ルールの詳細については、「Exchange Online のメール フロー ルール (トランスポート ルール)」を参照してください。 Exchange Online Protection (EOP) およびハイブリッド環境では、Best Practices for Configuring EOP で提供されるメール フロー ルールのベスト プラクティスを活用できます。 ルールの作成を開始する準備ができている場合は、「Exchange Online でのメール フロー ルールの管理」を参照してください。

ヒント

ルールが正しく動作していないと思われる場合は、最初にメッセージに含まれる添付ファイルを確認します。 メール フロー ルールの評価中に含まれるメッセージの添付ファイルを調べるには、「 Test-TextExtraction」を参照してください。

このメソッドは機能するはずです。

添付ファイル内のコンテンツの検査

次の表にあるメール フロー ルールの条件を使用して、メッセージの添付ファイルのコンテンツを調べることができます。 これらの条件では、添付ファイルから抽出された最初の 1 メガバイト (MB) のテキストだけが検査されます。 1 MB の制限は、添付ファイルのファイル サイズではなく、抽出されたテキストを指します。 たとえば、2 MB のファイルには 1 MB 未満のテキストが含まれる場合があるため、すべてのテキストが検査されます。

メッセージを検査するときに、これらの条件の使用を開始するためには、メール フロー ルールに条件を追加する必要があります。 ルールの作成または変更の詳細については、「 Exchange Online でメール フロー ルールを管理する」を参照してください。

EAC における条件名 Exchange Online の PowerShell における条件名 説明
添付ファイルのコンテンツに次が含まれる場合
任意の添付ファイル>コンテンツに次の単語のいずれかが含まれている場合
AttachmentContainsWords この条件は、指定された文字列または文字のグループを含む、サポートされているファイルの種類の添付ファイルがあるメッセージと一致します。
添付ファイルのコンテンツが次と一致する場合
添付ファイル>コンテンツが次のテキスト パターンと一致する場合
AttachmentMatchesPatterns この条件は、指定の正規表現と一致するテキスト パターンを含む、サポートされているファイルの種類の添付ファイルがあるメッセージと一致します。
添付ファイルのコンテンツを検査できない場合
任意の添付ファイル>コンテンツを検査できない場合
AttachmentIsUnsupported メール フロー ルールで可能なのは、サポートされているファイルの種類のコンテンツの検査のみです。 メール フロー ルールがサポートされていない添付ファイルを検出すると、AttachmentIsUnsupported 条件がトリガーされます。 サポートされているファイルの種類については次のセクションで説明します。

注:

メール フロー ルールによるコンテンツ検査でサポートされているファイルの種類

次の表は、メール フロー ルールによってサポートされているファイルの種類を一覧表示しています。 システムは、実際のファイル名拡張子ではなくファイルのプロパティを検査してファイル種類を自動的に検出するため、悪意あるハッカーがファイル拡張子の名前を変更してメール フロー ルール フィルターを迂回するのを防ぎます。 メール フロー ルールのコンテキスト内でチェックできる実行可能コードを含むファイルの種類の一覧については、この記事の後半で説明します。

カテゴリ ファイル拡張子 Notes (メモ)
Adobe PDF .pdf なし
圧縮アーカイブ ファイル .arj、.bz2、.cab、.chm、.gz、.gzip、.lha、.lzh、.lzma、.mhtml、.msp、.rar、.rar4、.tar、.xar、.xz、.zip、.7z なし
HTML .ascx、.asp、.aspx、.css、.hta、.htm、.html、.htw、.htx、.jhtml なし
JSON adaptivecard, .json, メッセージカード なし
メール .eml、.msg、.nws なし
Microsoft Office .doc、.docb、.docm、.docx、.dot、.dotm、 .dotx、.obd、.obt、.one、.potm、.potx、.ppa、.ppam、.pps、.ppsm、.ppsx、.ppt、.pptm、.pptx、.xlb、.xlc、.xlm、.xls、.xlsb、.xlsm、.xlsx、.xlt、.xltm、.xltx、.xlw これらのファイルの種類に含まれるすべての埋め込みパーツの内容も検査されます。 ただし、埋め込まれていないオブジェクト (たとえばリンクされたドキュメント) は検査されません。 カスタム プロパティ内のコンテンツもスキャンされます。
Microsoft Office xml .excelove my life, .powerpointml, .wordml なし
Microsoft Visio .vdw、.vdx、.vsd、.vsdm、.vsdx、.vss、.vssm、.vssx、.vst、.vstm、.vstx、.vsx、.vtx なし
OpenDocument .odp, .ods, .odt .odf ファイルのパーツは処理されません。 たとえば, .odf ファイルに埋め込みドキュメントが含まれている場合、その埋め込みドキュメントの内容は検査されません。
その他 .dfx、.dxf、.encoffmetro、.fluid、.mime、.pointpub、.pub、.rtf、.vtt、.xps なし
テキスト .asm、.bat、.c、.class、.cmd、.cpp、.cs、.csv、.cxx、 .def、.dic、.h、.hpp、.ibq、.idl、.inc、.inf、.ini、.inx、.java、.js、.json、.lnk、.log、.m3u、messagestorage、.mpx、.php、.pl、.pos、.tsv、.txt、.vcf、vcs テキスト ベースのその他のファイルもスキャンされます。 このリストは代表的なリストです。
XML .infopathml、.jsp、.mspx、.xml なし

添付ファイルのファイル プロパティの検査

以下の条件は、メッセージに添付されているファイルのさまざまなプロパティを検査するメール フロー ルールで使用できます。 メッセージを検査するときに、これらの条件の使用を開始するためには、メール フロー ルールに条件を追加する必要があります。 ルールの作成または変更に関する詳細については、「メール フロー ルールの管理」を参照してください。

注:

ファイル条件 AttachmentNameMatchesPatterns または AttachmentExtensionMatchesWords を使用して特定のファイルをブロックする場合は、この条件は、前述の他の条件のファイル コンテンツ検査とは異なるファイル プロパティではなく、実際のファイル名拡張子を検査していることに注意してください。 たとえば、システム ファイル プロパティの検出に基づいてファイルをブロックする必要がある場合は、ファイルの名前が変更されます。代わりに、 メール対策ポリシー の "共通添付ファイル フィルター" 機能を使用します。

EAC における条件名 Exchange Online の PowerShell における条件名 説明
添付ファイルのファイル名が次と一致する場合

添付ファイル>ファイル名が次のテキスト パターンと一致する場合

AttachmentNameMatchesPatterns この条件は、指定した文字がファイル名に含まれているファイルが添付されたメッセージと一致します。
添付ファイルのファイル拡張子が次と一致する場合

任意の添付ファイル>ファイルの拡張子に次の単語が含まれる場合

AttachmentExtensionMatchesWords この条件は、指定したファイル名拡張子と一致するファイルが添付されたメッセージと一致します。
任意の添付ファイルのサイズが次の値以上

任意の添付ファイルの>サイズが次の値以上

AttachmentSizeOver この条件は、指定した値以上のサイズのファイルが添付されたメッセージと一致します。

この条件は、累積サイズではなく、個々の添付ファイルのサイズを指します。 たとえば、10 MB 以上の添付ファイルを拒否するようにルールを設定した場合、サイズが 15 MB の 1 つの添付ファイルは拒否されますが、3 つの 5 MB の添付ファイルを含むメッセージは許可されます。

メッセージのスキャンが完了しなかった場合

任意の添付ファイル>スキャンを完了しなかった場合

AttachmentProcessingLimitExceeded この条件は、添付ファイルがメール フロー ルール エージェントによって検査されない場合に、メッセージと一致します。
添付ファイルに実行可能なコンテンツがある場合

任意の添付ファイル>実行可能なコンテンツがある場合

AttachmentHasExecutableContent この条件は、添付ファイルとして実行可能ファイルを含むメッセージと一致します。 サポートされているファイルの種類は以下のとおりです。
いずれかの添付ファイルがパスワードで保護されている

任意の添付ファイル>がパスワードで保護されている場合

AttachmentIsPasswordProtected この条件は、パスワードで保護されているファイルが添付されたメッセージと一致します。 パスワード検出は、Office ドキュメント、圧縮ファイル (.zip、.7z)、および .pdf ファイルに対して機能します。
いずれかの添付ファイルに次のプロパティがある場合 (次のいずれかの単語を含む)

任意の添付ファイル>次のいずれかの単語を含む次のプロパティを持つ

AttachmentPropertyContainsWords この条件は、添付された Office ドキュメントの指定されたプロパティに指定の文字が含まれているメッセージと一致します。 プロパティとそのプロパティに指定できる値はコロンで区切ります。 値が複数ある場合はコンマで区切ります。 複数のプロパティと値のペアもコンマで区切られます。

注:

  • Exchange Online の PowerShell の条件名は、New-TransportRule コマンドレットと Set-TransportRule コマンドレットのパラメーター名です。 詳細については、「 New-TransportRule」を参照してください。

  • これらの条件のプロパティの種類の詳細については、「 Exchange Online のメール フロー ルールの条件と例外 (述語)」を参照してください。

  • Exchange Online PowerShell に接続する方法については、「Exchange Online PowerShell に接続する」を参照してください。

メール フロー ルールによる検査でサポートされている実行可能ファイルの種類

メール フロー ルールでは、実形式の検出を使用して、ファイル拡張子だけではなくファイル プロパティを検査します。 この方法は、悪意のあるハッカーがファイル拡張子の名前を変更してルールをバイパスするのを防ぐのに役立ちます。 次の表は、これらの条件によってサポートされている実行可能ファイルの種類の一覧です。 ここに記載されていないファイルが見つかった場合、 AttachmentIsUnsupported 条件がトリガーされます。

ファイルの種類 ネイティブの拡張子
ダイナミック リンク ライブラリの拡張子を持つ 32 ビット Windows の実行可能ファイル。 .dll
自己解凍形式の実行可能プログラム ファイル。 .exe
アンインストール実行可能ファイル。 .exe
プログラムのショートカット ファイル。 .exe
32 ビット Windows 実行可能ファイル。 .exe
Microsoft Visio の XML 図面ファイル。 .vxd
OS/2 のオペレーティング システム ファイル。 .os2
16 ビット Windows 実行可能ファイル。 .w16
ディスク オペレーティング システムのファイル。 .dos
European Institute for Computer Antivirus Research 規格のウイルス対策テスト ファイル。 .com
Windows のプログラム情報ファイル。 .pif
Windows プログラムの実行可能ファイル。 .exe

重要

.rar (WinRAR アーカイバで作成された自己解凍アーカイブ ファイル)、 .jar (Java アーカイブ ファイル)、 .obj (コンパイルされたソース コード ファイル、3D オブジェクト ファイル、シーケンス ファイル) のファイルは、実行可能ファイルの種類とは見なされ ません 。 これらのファイルをブロックするには、この記事で前述したとおり、メール フロー ルールを使って、これらの拡張子が付いたファイルを探すか、これらのファイルの種類をブロックするマルウェア対策ポリシー (一般的な添付ファイルの種類フィルター) を構成します。 詳細については、「EOP でのマルウェア対策ポリシーの構成」を参照してください。

データ損失防止ポリシーと添付ファイルのメール フロー ルール

注:

このセクションは、スタンドアロン EOP 組織には適用されません。

重要なビジネス情報をメールで管理するために、添付ファイル関連の条件とデータ損失防止 (DLP) ポリシーの規則を含めることができます。

DLP ポリシーおよび添付ファイル関連の条件は、ビジネスのニーズをメール フロー ルール条件、例外、アクションとして定義することで、それらのニーズを満たすのに役立ちます。 DLP ポリシーに機密情報の検査を含めた場合、メッセージの添付ファイルはその情報についてだけスキャンされます。 ただし、サイズやファイル種類などの添付ファイルに関連する条件は、この記事に一覧表示されている条件を追加するまでは含まれません。 DLP は、すべてのバージョンの Exchange で使用できるわけではありません。詳細については、「 データ損失防止」を参照してください。

詳細情報

マルウェアの状態に関係なく、添付ファイル付きの電子メールを広範囲にブロックする詳細については、「Exchange Online でのメール フロー ルールに向けた添付ファイルのブロックの一般的なシナリオ」を参照してください。