メール追跡について

この画面は、ブロックされたメッセージや配信されたメッセージなど、Trend Micro Email Securityを通過したメールメッセージを追跡する際に役立ちます。Trend Micro Email Securityでは、メール追跡ログが最大90日間保持されます。メール追跡ログの検索のスライディングウィンドウは、月をまたいで連続する60日間です。

注:

メール追跡ログを検索するためのスライディングウィンドウは、Trend Micro Email Security Standardライセンスでは30日間です。日本ではTrend Micro Email Security Standardは提供されません。

各ライセンスバージョンの詳細については、使用可能なライセンスバージョンを参照してください。

[メール追跡] 画面には次の検索基準があります。
  • 期間: クエリの期間。

    • 過去1時間

    • 過去24時間

    • 過去7日間

    • 過去14日間

    • 過去30日間

    • カスタム範囲

  • 方向: メッセージの方向。

    • 受信

    • 送信

  • 受信者: エンベロープ受信者アドレス。最大10個のメールアドレスを指定してください。

  • 送信者: エンベロープ送信者アドレス。最大10個のメールアドレスを指定してください。

  • メールヘッダ (宛先): メッセージヘッダの受信者アドレス。最大10個のメールアドレスを指定してください。

  • メールヘッダ (差出人): メッセージヘッダの送信者アドレス。最大10個のメールアドレスを指定してください。

    注:

    上記4つのアドレスフィールドを設定する際は、次の点に注意してください。

    • 検索時はメールアドレスを厳密に指定するか、ワイルドカード (*) で任意の文字を置き換えます。メールアドレスの一般的な形式 (ローカル部@ドメイン) では、次のことに留意してください。

      • ローカル部にはワイルドカード (*) を指定するか、アスタリスク (*) で始まらない文字列を指定する必要があります (例: *@example.com、test*@example.com)。

      • ドメインにはワイルドカード (*) を指定するか、アスタリスク (*) で終了しない文字列を指定する必要があります (例: example@*、example@*.test.com)。

      • このフィールドを空白にすると、初期設定で「*@*」が使用されます。

    • ワイルドカード (*) を使用することで、検索結果を増やしたり絞り込んだりすることができます。たとえば、ワイルドカード (*) をドメイン部分に指定すると、特定のユーザアカウントですべてのドメインを検索でき、ローカル部に指定すると、特定のドメインのすべてのアカウントが一致します。

  • 種類: 検索するメールトラフィックの種類。

    • 検索されたトラフィック: Trend Micro Email Securityによって後続の処理が行われたメッセージ。

      検索条件として [検索されたトラフィック] を選択すると、Trend Micro Email Securityによって検索されたメールメッセージトラフィックの概要が表示されます。受信者が複数存在するメッセージの場合、結果はエントリ当たり1名の受信者を表示します。

    • ブロックされたトラフィック: MTA接続レベルの「接続ベースフィルタ」またはTrend Micro Email Securityの受信セキュリティフィルタによってブロックされたメッセージの送信。

      検索条件として [ブロックされたトラフィック] を選択すると、さらにブロックの理由を選択できます。ブロックの理由の詳細については、ブロック済みメッセージの詳細を参照してください。Trend Micro Email Securityによってブロックされたメールメッセージトラフィックの概要が表示されます。

      注:

      このカテゴリにはコンテンツフィルタは含まれません。

  • 処理: メッセージに対して最後に実行された処理。

    • すべて: すべての処理が検索に一致します。

    • 返送済み: メッセージがダウンストリームのMTAに拒否されたため、送信者に返送されました。

    • 一時的な配信エラー: メッセージをダウンストリームのMTAに配信しようとしましたが、予期しないエラーにより失敗しました。これは一時的な状態であり、この状態が長時間続くことは通常はありません。

    • 削除済み: 一致したポリシーに応じてメールメッセージ全体が削除されました。

    • 配信済み: メッセージがダウンストリームのMTAに配信されました。

    • 期限切れ: メッセージが長時間正常に配信されなかったため、送信者に返送されました。

    • 隔離済み: 特定のポリシールールによって検出されたメッセージが隔離され、ユーザの処理を待っています。隔離されたメッセージは、確認後に手動で削除または配信できます。

    • リダイレクト済み: 一致したポリシーに応じてメッセージが別の受信者にリダイレクトされました。

    • サンドボックスに送信済み: 詳しい分析のためにメッセージが仮想アナライザに送信されました。これは一時的な状態であり、仮想アナライザから分析結果が返されるか、仮想アナライザで検索除外が適用されると状態が変わります。

    • パスワード解析中: Trend Micro Email Securityがパスワード解析のためにパスワードアナライザにメッセージを送信しました。これはメッセージの遷移状態です。パスワードアナライザによって結果が返されると、この状態は変化します。

  • 件名: メールメッセージの件名。

    次の方法がサポートされます。

    • あいまい一致

      1つまたは複数のキーワードを入力します。複数のキーワードを入力する場合は、論理ANDに基づいてすべてのキーワードの一致が行われます。これは、一致する件名にはすべてのキーワードが含まれる必要があることを意味します。あいまい一致では、各キーワードの前後にワイルドカード (*) が自動的に追加されます。

    • キーワードまたは語句の完全一致

      キーワードまたは語句を引用符で囲みます。キーワードまたは語句を正確に含むレコードのみが一致します。

    たとえば、次の3つのメールの件名があるとします。

    • 件名1: Hello world

    • 件名2: Hello new world

    • 件名3: "Hello"

    [件名] に「Hello world」と入力すると、あいまい一致として件名1と件名2が一致します。「"Hello world"」と入力すると、引用符で囲まれた完全一致として件名1のみが一致します。件名3を検索する場合は、引用符が件名自体に含まれることに注意してください。この場合は円記号 (\) をエスケープ文字に使用し、「\"Hello\"」と入力して検索します。

  • メッセージID: メールメッセージの一意のID。

  • 送信者IP: メッセージの送信元ホストのIPアドレス。

  • 配信先: メッセージの配信先ホストのIPアドレス。

    注:

    上2つのIPアドレスフィールドについては、IPv4アドレスまたはIPv4アドレスプレフィックスを入力してください。

  • アップストリームTLS: Trend Micro Email Securityに接続するためにアップストリームサーバで使用されているTLSプロトコルのバージョン。

    • すべて

    • TLS 1.0

    • TLS 1.1

    • TLS 1.2

    • TLS 1.3

    • なし

  • ダウンストリームTLS: ダウンストリームサーバに接続するためにTrend Micro Email Securityで使用されているTLSプロトコルのバージョン。

    • すべて

    • TLS 1.0

    • TLS 1.1

    • TLS 1.2

    • TLS 1.3

    • なし

  • ダウンストリームDANE: Trend Micro Email Securityとダウンストリームサーバの間のTLS接続にDANE認証が適用されるかどうか。
    • すべて

    • はい

    • いいえ

    注:

    このフィールドが表示されるのは、[方向][送信][種類][検索されたトラフィック] に設定した場合のみです。

  • 日時: メッセージが受信された日時。

    昇順または降順を選択して検索結果を並べ替えます。

  • 添付ファイルのあるメッセージのみ: 添付ファイルを含むメッセージのみ検索します。

    このオプションを選択すると、次の条件を指定できます。

    • 添付ファイルのSHA256ハッシュ: メッセージ添付ファイルのSHA256ハッシュ値。SHA256ハッシュ値を64ケタの16進数で指定するか、空白のままにしてください。

    • 添付ファイル名: 添付ファイルの名前。ワイルドカード (*) を使用して、ファイル名に含まれる任意の文字を表すことができます。

    • 添付ファイルのステータス: Trend Micro Email Securityによって処理された後の添付ファイルのステータス。

      • すべて: 「すべて」のステータスの添付ファイルです。これが初期設定のオプションです。

      • 削除済み: 添付ファイルは削除されました。

      • 駆除済み: 添付ファイルの不正プログラムが駆除されました。

      • 処理なし: 添付ファイルは処理されていません。

      • サニタイズ済み: 添付ファイルはサニタイズされました。

    • 添付ファイルのパスワード解析: 添付ファイルのパスワード解析が実行され、正常に復号されたかどうかを示します。

      • 解析されていません: この添付ファイルはパスワードで保護されていない、サポートされていないファイルタイプである、またはファイルパスワード解析が有効になっていないため、パスワード解析されませんでした。

      • 解析済み: この添付ファイルはパスワード解析されました。

        • 復号済み: この添付ファイルは復号されました。

        • 復号なし: この添付ファイルは復号できませんでした。

メール追跡情報のクエリを実行する場合は、各種条件フィールドを用いて検索を絞り込みます。クエリを実行すると、条件を満たすログのレコードのリストがTrend Micro Email Securityによって表示されます。レコードを1つ以上選択して [選択したログをエクスポート] をクリックし、CSVファイルにエクスポートします。必要に応じて、[すべてエクスポート] をクリックし、クエリが実行されたすべてのログのレコードをエクスポートします。エクスポートするログのレコードが多数ある場合は、エクスポートタスクが完了するまでに時間がかかります。[ログ] > [ログエクスポートクエリ] の順に選択して、エクスポートの状況を確認します。一度にエクスポートできるログのレコードは最大50,000個です。クエリが実行されたすべてのログのレコードをエクスポートできるのは、1日あたり最大5回です。この計算は、UTC+00:00のタイムゾーンに基づいて行われます。

最も効率的にメール追跡情報のクエリを実行するには、検索する期間内で送信者と受信者の両方のメールアドレスを指定する必要があります。複数の受信者宛てのメールメッセージの場合、受信者ごとに結果が表示されます。

追跡するメッセージがこの方法で見つからない場合は、次の方法を検討してください。

  • 受信者を省略して検索結果を増やす。

    送信者が実際に「接続ベースフィルタ」でブロックされている場合、対象受信者が一致しない [ブロックされたトラフィック] の結果に含まれている可能性があります。送信者と期間だけを指定すると検索結果が多くなります。

  • 同じメッセージの他の対象受信者を探す。

    送信者IPアドレスが「不正」と評価された場合、メール追跡情報には一連の受信者のうちの最初の受信者だけが記録されます。そのため、この送信者を照会してもメッセージの残りの受信者のアドレスはリストに表示されません。

  • 送信者を省略して検索結果を増やす。

    送信者IPアドレスが「不正」と評価されている場合、送信者を省略して受信者だけを指定します。受信者のメールアドレスだけを指定すると、その受信者に関係するすべてのメッセージがリストに表示されます。