Exchange Online で検知されたスパム、マルウェア一覧の出力について

  • Article

こんにちは。Exchange サポート チームの杉山です。Exchange Online では、受信者にメッセージが届く前にスパム、マルウェアとして検知されたメッセージを一覧として出力し、確認することができます。
2014 年 10 月 30 日現在では Exchange Online 標準の以下のコマンドレットが用意されています。

1. Get-MailDetailSpamReport または Get-MailDetailMalwareReport
2. Start-HistoricalSearch

上記の 2 種類のコマンドレットのどちらでもスパム、マルウェアの一覧を出力することができますが、出力可能期間や出力形式などが異なるため、事前にご確認いただき、使用目的に沿った方を利用下さいますようお願い致します。

1. Get-MailDetailSpamReport または Get-MailDetailMalwareReport

通常の Exchange コマンドレットと同様、Windows Powershell 上にスパム、マルウェアの一覧が出力されます。

- 出力形式 : 標準出力
- 出力までの時間 : 即時
- 出力可能な期間 : 現在日時より 7 日前まで

* コマンド実行例
~~~~~~~~~~~~~~~~
- 2014 年 10 月 24 日から 2014 年 10 月 30 日までに検知されたスパム一覧を出力する場合
Get-MailDetailSpamReport -StartDate 2014/10/24 -EndDate 2014/10/30

- 2014 年 10 月 24 日から 2014 年 10 月 30 日までに検知されたマルウェア一覧を出力する場合
Get-MailDetailMalwareReport -StartDate 2014/10/24 -EndDate 2014/10/30

* 注意事項
~~~~~~~~~~~~~~~~
それぞれのコマンドレットに -StartDate 及び -EndDate を指定できるパラメーターがありますが、7 日以上過去の日時を指定しても出力されません。

2. Start-HistoricalSearch

Exchange コマンドレットを実行することにより、Exchange Online へレポート要求を行います。コマンドレット実行時に指定したメールアドレス宛に出力結果のダウンロード リンクが送付されます。

- 出力形式 : csv (ダウンロード リンク)
- 出力までの時間 : 数時間かかる場合あり
- 出力可能な期間 : 現在日時より 90 日前まで

* コマンド実行例
~~~~~~~~~~~~~~~~
- 2014 年 9 月 1 日から 2014 年 10 月 30 日までに検知されたスパムのレポート要求をする場合
Start-HistoricalSearch -ReportTitle "SpamReport1" -StartDate 2014/09/01 -EndDate 2014/10/30 -ReportType Spam -RecipientAddress *@contoso.com -NotifyAddress admin@contoso.com

- 2014 年 9 月 1 日から 2014 年 10 月 30 日までに検知されたマルウェアのレポート要求をする場合
Start-HistoricalSearch -ReportTitle "MalwareReport1" -StartDate 2014/09/01 -EndDate 2014/10/30 -ReportType Malware -RecipientAddress *@contoso.com -NotifyAddress admin@contoso.com

(その他、-SenderAddress パラメーターにて、送信者アドレスのフィルタリングをすることなども可能です。 )

* 注意事項
~~~~~~~~~~~~~~~~
Start-HistoricalSearch コマンドレットは、24 時間以内に実行できる回数が制限されています。実行した回数が 1 日あたりの割り当てに近づくと警告が表示されます。
Start-HistoricalSearch コマンドレット実行後、レポートの要求が完了するまでに数時間かかる場合がありますので、必要に応じてレポート要求のステータスを確認することをお勧めいたします。
ステータスを確認するには以下のコマンドレットを実行します。
(Status は、"Inprogress" が実行中、"Done" が実行完了を意味します)

Get-HistoricalSearch | FT JobId,SubmitDate,ReportTitle,Status

* コマンド結果出力例
~~~~~~~~~~~~~~~~
JobId SubmitDate ReportTitle Status
----- ---------- ----------- ------
861a13a7-1901-4415-8f5b-5c... 2014/10/30 2:14:11 SpamReport1 Done
dd2240ef-3465-4401-b7a3-1d... 2014/10/30 11:01:29 MalwareReport1 InProgress

なお、今回はコマンドレットを中心としたご紹介ですが、Exchange 管理センターからもレポート要求を実行することができます。Exchange 管理センターでの実行については、以下の技術情報をご参照ください。

Title: Office 365 のメール保護レポートによるマルウェア、スパム、ルールの検出に関するデータ表示
URL: https://technet.microsoft.com/ja-JP/library/dn500744(v=exchg.150).aspx

スパムやマルウェアの確認は、ユーザーからメッセージが届かないというような報告があった場合のトラブル シューティングの 1 つにもなりますので、上記でご紹介したコマンドレットをぜひご活用ください。

<参考リンク>
Title: Get-MailDetailSpamReport
URL: https://technet.microsoft.com/ja-JP/library/jj200700(v=exchg.150).aspx

Title: Get-MailDetailMalwareReport
URL: https://technet.microsoft.com/ja-JP/library/jj200703(v=exchg.150).aspx

Title: Start-HistoricalSearch
URL: https://technet.microsoft.com/ja-JP/library/dn621132(v=exchg.150).aspx

Title: Get-HistoricalSearch
URL: https://technet.microsoft.com/ja-JP/library/dn621131(v=exchg.150).aspx

***********************************************************************************
本記事は 2014 年 10 月 30 日時点で執筆されたものであり、ご紹介したコマンドレットの動作、機能は今後変更される場合がございます。
***********************************************************************************