メール フロー ルールを使用して、Exchange Onlineの実行可能な添付ファイルを含むメッセージをブロックする
Exchange Online Exchange Onlineメールボックスを持たない組織またはスタンドアロン Exchange Online Protection (EOP) 組織では、有害な添付ファイル (実行可能な添付ファイルを含む) を含むメッセージはマルウェア対策ポリシーによってブロックされます。 詳細については、「 EOP でのマルウェア対策保護」を参照してください。
保護をさらに強化するために、メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して、この記事で説明するように実行可能な添付ファイルを含むメッセージを識別およびブロックできます。
たとえば、マルウェアの発生後、会社は、影響を受けるユーザーが指定した期間後に添付ファイルの送信に戻ることができるように、制限時間でこのルールを適用できます。
はじめに把握しておくべき情報
この記事の手順を実行するには、Exchange Onlineまたは EOP でアクセス許可を割り当てる必要があります。 具体的には、既定で組織の管理、コンプライアンス管理、レコード管理の役割グループに割り当てられているトランスポート ルール ロールが必要です。
詳細については、次のトピックをご覧ください。
Exchange Onlineで EAC を開くには、Exchange Onlineの Exchange 管理センターに関するページを参照してください。 スタンドアロン EOP で EAC を開くには、「スタンドアロン EOP の Exchange 管理センター」を参照してください。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。
Exchange Onlineおよびスタンドアロン EOP のメール フロー ルールの詳細については、次のトピックを参照してください。
EAC を使用して、実行可能な添付ファイルを含むメッセージをブロックするルールを作成する
EAC で、[メール フロー>ルール] に移動します。
[ + ルールの追加] を選択し、[ 新しいルールの作成] を選択します。
開いた [ ルール条件の設定] ページで、次の設定を構成します。
[名前]: ルールの一意のわかりやすい名前を入力します。
[任意の添付ファイル>に実行可能なコンテンツがある] を選択する場合は、この規則を適用します。
次の操作を行います。 [ メッセージをブロックする ] を選択し、目的のアクションを選択します。
メッセージを拒否して説明を含める: 表示される [ 拒否理由の指定 ] ダイアログ ボックスで、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) に表示するテキストを入力します。 5.7.1 で使用される既定拡張状態コードです。
拡張状態コードが のメッセージを拒否する: 表示される [ 拡張状態コードの入力 ] ダイアログ ボックスで、NDR に表示する拡張状態コードを入力します。 有効な値は 5.7.1 または 5.7.900 から 5.7.999 の値です。 既定の拒否テキストは、配信が承認されず、メッセージが拒否されました。
誰にも通知せずにメッセージを削除します (このオプションを選択すると、[ 保存 ] ボタンは表示されませんが、[ 次へ ] ボタンが表示されます)。
完了したら、[保存] を選択します。 添付ファイルのブロック ルールが強制されるようにになりました。
PowerShell を使用して、実行可能な添付ファイルを含むメッセージをブロックするルールを作成する
次の構文を使用して、実行可能な添付ファイルを含むメッセージをブロックするルールを作成します。
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
注:
RejectMessageReasonText パラメーターを指定せずに RejectMessageEnhancedStatusCode パラメーターを使用する場合、既定のテキストは [配信が承認されていません]、[メッセージ拒否] です。
RejectMessageEnhancedStatusCode パラメーターなしで RejectMessageReasonText パラメーターを使用する場合、既定のコードは 5.7.1 です。
次の例では、 実行可能な添付ファイル を含むメッセージをサイレント に削除する、実行可能ファイルの添付ファイルのブロックという名前の新しいルールを作成します。
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
詳細な構文とパラメーターについては、「New-TransportRule」を参照してください。
正常な動作を確認する方法
実行可能な添付ファイルを含むメッセージをブロックするメール フロー ルールが正常に作成されたことを確認するには、次のいずれかの手順を実行します。
EAC で、[メール フロー>] [ルール>] [編集] の順に選択し>、[設定] タブを選択して設定を確認します。
PowerShell で、次のコマンドを実行して設定を確認します。
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage