Exchange Onlineでの検疫メールの確認と配信

Facebook にシェア
Pocket

Exchange Onlineで送受信されるメールはExchange Online Protectionでマルウェアやフィッシングの判定が行われ、疑わしいメールは検疫されてユーザーあてに届かないよう滞留されます。

検疫にかかったメールの確認方法、および配信方法について説明します。

管理センターからの確認・配信

検疫されたメッセージはセキュリティセンター内の「脅威の管理」-「確認」-「検疫」へアクセスすることが可能です。
直アクセスURL: https://protection.office.com/quarantine


検疫済みメール一覧

検疫されたメールを選択するとヘッダやメッセージ本文のプレビューなどを行うことができ、検疫されたメールが本当に危ないメールなのかもしくは誤検知による検疫なのかを確認することができます。

確認ののち、誤検知なのであれば「メッセージの解放」を行うことで本来の受信者へメールを流すことができます。
本当に危ないメールなのであれば受信拒否やメッセージの報告などで今後も受信しないよう学習させるとよいでしょう。

このメールはどう見てもフィッシングメール

PowerShellからの確認・配信

検疫されたメールが少数であればWebの管理センターからの確認・配信で問題ありませんが、大量の検疫メールを確認する際はPowerShellを利用するのが便利です。

PowerShellでExchange Onlineへ接続し、以下のコマンドを入力することで現在の検疫済みメッセージを取得できます。
既定で直近100通しか取得しないので日付や受信者、PageSizeオプションなどを使うと具体的な対象を絞って取得できるでしょう。

Get-QuarantineMessage -RecipientAddress foobar@example.com -StartReceivedDate 2021/1/1 -EndReceivedDate 2021/1/2 -PageSize 1000

取得した情報には日時や件名情報などの簡易的な情報が格納されています。
管理センターと同様にメッセージヘッダや本文のプレビューをしたい場合は以下のコマンドで実施します。

Identityオプションに渡す値は一つ前のGet-QuarantineMessageで取得することができます。

Get-QuarantineMessageHeader -Identity <Identity>
Preview-QuarantineMessage -Identity <Identity>

検疫メッセージの配信や削除は以下コマンドで可能です。

Release-QuarantineMessage -Identity <Identity>
Delete-QuarantineMessage -Identity <Identity>

まとめ

検疫メッセージの確認と配信等を行う手順を確認しました。
普段は管理センター上からGUIでポチポチと確認しているのですが、インシデントによる誤検疫で大量に検疫メールが発生してしまったためPowerShellでの操作手順を確認し記事にしています。

メッセージの追跡 の記事と合わせてお読みいただくとExchange Onlineでの送受信メールの確認がスムーズにいくかと思います。

Facebook にシェア
Pocket