今回はExchange Onlineにて特定の拡張子のファイルが添付されていた場合にブロックする方法を検証してみました。

特定手の拡張子をブロックする方法としては、

①マルウェア対策ポリシーで行う方法
②メールフロールールで行う方法
 (⇒メールフロールールで行う方法はこちらの記事から)

の2つが考えれらました。
※正確にはこれまで「マルウェア対策ポリシー」で出来るとは知りませんでした・・・(^_^;)

で、今回はこれまで知らなかった「マルウェア対策ポリシー」で特定の拡張子ファイルをブロックする方法を検証してみました!!!


1. マルウェア対策ポリシーの設定

2. 動作確認、検証

<参考サイト>
EOP でマルウェア対策ポリシーを構成する


<検証環境>
クライアントOS : Windows 10 Pro 21H1
Office : Office LTSC Professional Plus 2021



マルウェア対策ポリシーを設定していきます。
Microsoft 365管理センターから「セキュリティ」管理センターを開きます。
01-管理センター

「セキュリティ/コンプライアンス」管理センターより
「脅威の管理」-「ポリシー」-「マルウェア対策」をクリックします。
02-脅威ポリシー

「Default(既定)」を選択し、「保護設定」項目を編集していきます。
03-脅威ポリシー

共通添付ファイルのフィルターを有効にする」にチェックを付けます。
初期値でブロックする拡張子が選ばれていますが、「ファイルの種類のカスタマイズ」から選択が可能です。
04-脅威ポリシー

05-拡張子選択
2021年10月現在で設定出来る拡張子は以下の96個のようです。 ※一部誤りがあったらすみません(T_T)
.ace .ani .app .docm .exe .jar .reg .scr .vbe .vbs .ade .adp .asp .bas .bat .cer .chm .cmd .com .cpl .crt .csh .der .dll .dos .fxp .gadget .hlp .Hta .Inf .Ins .Isp .Its .js .Jse .Ksh .Lnk .mad .maf .mag .mam .maq .mar .mas .mat .mau .mav .maw .mda .mdb .mde .mdt .mdw .mdz .msc .msh .msh1 .msh1xml .msh2 .msh2xml .mshxml .msi .msp .mst .obj .ops .os2 .pcd .pif .plg .prf .prg .ps1 .ps1xml .ps2 .ps2xml .psc1 .psc2 .pst .jar .scf .sct .shb .shs .tmp .url .vb .vsmacros .vsw .vxd .w16 .ws .wsc .wsf .wsh .xnk 
この内、赤字のものが初期で選ばれているものとなります。

今回は初期で選ばれている10個をブロックするように設定します。
受信者に通知するように「メッセージがマルウェアとして検疫された場合に受信者に通知する」にチェックを入れ、テキストを入力します。
06-受信者メッセージ

これで設定が完了しましたので、最後に保存します。
07-保存



では実際にどのような動きとなるのか、外部(Gmail)から添付ファイル付きメールを送信してテストしてみます!!
今回テストする拡張子は「docm」です。

(メール受信画面)
10-添付ファイルテスト

11-添付ファイルテスト
添付ファイルが「Unsupported File Types Alert.txt」というテキストファイルに書き換えられ、
通知メッセージが1行目に記載されていることがわかります。
2行目の「TESTマクロファイル.docm」というのは実際のファイル名なのですが、その後の「docm」は謎ですね・・・(^_^;)
docm」拡張子でブロックした、という意味でしょうか・・・(笑)

実際の動きとしてはこれで確認が取れました。

仮に、この検疫されたファイルが必要なものだった場合には受信者へ解放(リリース)する手順が用意されていますので、そちらも確認していきます。
セキュリティ/コンプライアンス」管理センターから検疫されたファイルの解放(リリース)が可能です。
※検疫されたメールは初期値では15日間だけ保持されるようです。
 この辺りは設定変更が可能で、MSの推奨値としては30日のようです。

「脅威の管理」-「確認」-「検疫」から検疫されたメールやファイルの確認・解放(リリース)が可能です。
12-検疫されたメール確認

13-検疫されたメール確認

14-検疫されたメール確認
⇒この画面で「メールを解放する」をクリックすることで再度受信者へメールが送られます。

15-メール開放
⇒ここでは「Microsoftにメッセージを送信して検出を改善する(ご検知)」のチェックをオフにしています。

16-メール開放

(解放されたメールの確認)
17-メール開放確認

再度メールが受信され、今度はファイルが添付されていることが確認出来ます!!


一通りの手順は確認出来ましたので、最後にメールフローがどうなっているかを確認して終わりたいと思いますっ!!
(メールフロー画面)
20-メールフロー確認

21-メールフロー確認

状態が「Quarantin」となっており、メッセージが検疫されていることがわかります(^o^)



今回の検証もこんなところで終わりたいと思いますっ( ´ー`)フゥー...
次回はメールフロールールを使用して、特定の拡張子ファイルをブロックする手順を検証出来たらと思います!!

(2021/10/21追記)
[Exchange Online]特定の拡張子の添付ファイルをブロックする方法を検証してみた② 〜メールフロールール〜
で検証しています(^o^)
スポンサードリンク