受信したメールが消えた？確認すべき 6 つの項目

メールが消えた場合、どこを確認すればいい?
クライアント側 (ユーザー側) から確認する方法は?
サーバー側 (管理者側) から確認する方法は?

各種コマンドを実行するためには Exchange Online へ接続します。
Exchange Online への接続は以下です。

Exchange Online へ接続するExchange Online へ接続します。ブラウザでの接続以下のサイトに接続し、サインイン情報を入力します。テナントの全体管理者の UPNパスワード多要素認証 ...

仕分けルールにより、[受信トレイ] 以外のフォルダーに振り分けられている可能性はないか
1. Outlook から確認する
2. Exchange Online から確認する
  1. Get-MessageTrace コマンドで確認
  2. Get-InboxRule コマンドで確認
[削除済みアイテムを復元] から復元できる可能性はないか
1. Outlook から確認する
2. Exchange Online から確認する
事象発生時の監査ログから接続状況を確認する (Exchange Online)
1. EAC で確認する
2. コマンドで確認する
事象発生時の管理者監査ログからの設定変更履歴を確認する (Exchange Online)
1. EAC で確認する
2. コマンドで確認する
アイテム保持ポリシーの設定を確認する
1. EAC で確認する
2. コマンドで確認する
メールボックス及びフォルダー権限を確認する

仕分けルールにより、[受信トレイ] 以外のフォルダーに振り分けられている可能性はないか

メールが消えたパターンで多いのがこのパターンです。
User A から送信されたメールが User B で確認できないといった場合、同時に送信した User C には届いたかなどの切り分けが有効です。
User C にのみ届いていた場合、User B の Outlook で何かしらのルールが設定されている可能性があります。

Outlook から確認する

[ホーム] – [ルール] – [仕分けルールと通知の管理] を開き、メールが [受信トレイ] 以外の [迷惑メール] フォルダー等に振り分けられるルールが存在しないか確認します。

Exchange Online から確認する

Get-MessageTrace コマンドで確認

Exchange Online 管理者が Get-MessageTrace コマンドを使用し、メッセージをトラッキングします。
まず日付と送信元アドレスから (RecipientAddress で受信者指定も可) 該当のメールを探し、[Message ID] を記録します。

Get-MessageTrace -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -SenderAddress <送信者メールアドレス> |fl

以下サンプルです。

Get-MessageTrace -StartDate "7/6/2022 4:30" -EndDate "7/7/2022 5:00" -SenderAddress taro@test.com |fl

実行結果

Message Trace ID : ffedbfe0-8eff-4b1f-c8c7-08da5f0c38e0
Message ID : OS3PR01MB10405630B71F5CE6EEA08A657BE809@OS3PR01MB10405.jpnprd01.prod.outlook.com
Received : 2022/07/06 水曜日 4:58:52
Sender Address : taro@test.com
Recipient Address : user1@test.com
From IP : 2404:7a82:580:6500:a99b:5812:46ce:5e86
To IP :
Subject : サポート依頼2
Status : Delivered
Size : 14321

[Message ID] から該当のメッセージを検索します。

Get-MessageTrace -MessageId OS3PR01MB10405630B71F5CE6EEA08A657BE809@OS3PR01MB10405.jpnprd01.prod.outlook.com | Get-MessageTraceDetail

実行結果

Date	Event	Detail
2022/07/06	受信	TYCPR01MB9288.jpnprd01.prod.outlook.com でメッセージが受信されました。
2022/07/06	送信	メッセージが送信されました。
2022/07/06	配信	メッセージはフォルダーサポート7月に正常に配信されました。

メッセージは正常に送信先に配信されていますが、最終的に送信先メールボックスの [受信トレイ] ではなく、「サポート7月」という、ユーザーによって作成されたフォルダーに配送されていることが分かります。
これは Outlook の仕分けルールによって配送先が「サポート7月」に振り分けられたことを意味しています。
該当のアイテムが「サポート7月」フォルダーに存在するか確認します。

仕分けルールではなく、自動的に [迷惑メール] フォルダーに振り分けられた場合の結果は以下となります。

実行結果

Date	Event	Detail
2022/07/17 0:07:19	受信	TY2PR01MB2988.jpnprd01.prod.outlook.com でメッセージが受信されました。
2022/07/17 0:07:20	スパム	詳細情報はありません。
2022/07/17 0:07:20	配信	メッセージは [迷惑メール] フォルダーに配信されました。

Get-InboxRule コマンドで確認

Exchange Online 管理者が Get-InboxRule コマンドを使用し、仕分けルールの内容を確認します。
Get-InboxRule コマンドの詳細はこちらです。

以下サンプルです。
User1 の仕分けルールの状態を確認します。

Get-InboxRule -Mailbox User1 | fl Description,From,MoveToFolder

実行結果

Description	:	メッセージが次の場合: メッセージを ‘山田太郎’ から受信した場合次の操作を行います: フォルダー ‘taro’ にメッセージを移動する
From	:	{“山田太郎” [EX:/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=4e2 58e011df445808a6362ad0825139c-taro]}
MoveToFolder	:	taro

差出人が特定のユーザー (山田太郎) の場合、特定のフォルダー (taro) に移動するといった内容です。
このようなルールが存在する場合、[MoveToFolder] で指定されているフォルダーに該当のメールが格納されている可能性があります。

Description	ルールの説明
From	差出人
MoveToFolder	移動先フォルダー名

[削除済みアイテムを復元] から復元できる可能性はないか

Outlook から確認する

[フォルダータブ] – [削除済みアイテムを復元] より該当のアイテムが存在するか確認します。

Exchange Online から確認する

Exchange Online 管理者が Get-MailboxFolderStatistics コマンドを使用し、[Deletions] フォルダーを参照します。
[Deletions] フォルダーは Outlook の [削除済みアイテムを復元] と同等です。
Get-MailboxFolderStatistics コマンドの詳細はこちらです。

以下サンプルです。
taro の [Deletions] フォルダーを確認します。

Get-MailboxFolderStatistics taro -FolderScope RecoverableItems | select FolderPath,ItemsInFolder

実行結果

FolderPath	ItemsInFolder
/Recoverable Items	0
/Audits	9
/Calendar Logging	0
/Deletions	3	[削除済みアイテムを復元] に 3 アイテムある
/Purges	5
/SubstrateHolds	0
/Versions	0

※ アイテム数のみ確認可能であり、内容の確認はできません。また、フォルダー内の数値は若干の誤差があるため、Exchange Online 側でアイテムの存在は確認できたが、実際の内容の確認はユーザー側 (Outlook 側) で行うといった作業が想定されます。

事象発生時の監査ログから接続状況を確認する (Exchange Online)

既定で監査ログは有効となっており、既定で以下の監査が可能です。
監査ログの詳細はこちらです。

Update
MoveToDeletedItems
SoftDelete
HardDelete
UpdateFolderPermissions
UpdateInboxRules
UpdateCalendarDelegation
ApplyRecord

EAC で確認する

Exchange Online 管理者がメールボックス監査ログをエクスポートします。
事象発生時にどのユーザーからどのような操作が行われたのかどうか確認することができます。
※ メールボックス監査ログをエクスポートすると、監査ログの XML ファイルが電子メールメッセージに添付されますが、Outlook Web App では、XML 添付ファイルは既定でブロックされます。エクスポートされた監査ログにアクセスするには、Microsoft Outlook を使用します。

Exchange 管理センター (EAC) で、[コンプライアンス管理] – [監査] の順に選択します。
[メールボックス監査ログのエクスポート] をクリックします。
[メールボックス監査ログのエクスポート] で期間、該当メールボックス、監査レポート送信先等を指定します。
[エクスポート] をクリックします。
指定した検索条件に一致するエントリがメールボックス監査ログから取得され、SearchResult.xml というファイルに保存されて、指定した受信者に電子メールメッセージの添付ファイルとして送信されます。
※ このメッセージを受け取るまでに数日かかる場合があります。

コマンドで確認する

Exchange Online 管理者が、特定のユーザーのメールボックス監査ログを取得するには以下のコマンドを使用します。

Search-MailboxAuditLog -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -Identity <対象メールボックス> -ShowDetails | Export-Csv -Encoding UTF8 -NoTypeInformation -Path “<保存先パス\ファイル名>”

以下サンプルです。
taro のメールボックス監査ログを取得します。

Search-MailboxAuditLog -StartDate 6/25/2022 -EndDate 6/28/2022 -Identity taro -ShowDetails | Export-Csv -Encoding UTF8 -NoTypeInformation -Path “D:\work\taro.csv”

メールボックス監査ログの解析はこちらです。

事象発生時の管理者監査ログからの設定変更履歴を確認する (Exchange Online)

問題のメールボックスに対して管理者が何かしらの操作 (Set-Mailbox コマンドの発行等) を行ったことがないかどうか管理者監査ログから確認することができます。既定では管理者監査ログは有効です。

EAC で確認する

EAC で、[コンプライアンス管理] – [監査] に移動し、[管理者監査ログレポートを実行] を選択します。
[開始日] と [終了日] を選択して、[検索] を選択します。指定された期間中に行われたすべての構成の変更が表示されます。

コマンドで確認する

以下のコマンドを使用します。

Search-AdminAuditLog -StartDate <事象発生推定日時の前日 (例: 04/04/2017)> -EndDate <事象発生推定日時の翌日 (例: 04/05/2017) > | Export-Csv -Encoding UTF8 -NoTypeInformation -Path “c:\work\AdminAuditLog.csv”

以下サンプルです。

Search-AdminAuditLog -StartDate 6/1/2022 -EndDate 7/3/2022 | Export-Csv -Encoding UTF8 -NoTypeInformation -Path D:\work\AdminAuditLog.csv

アイテム保持ポリシーの設定を確認する

管理者が設定したアイテム保持ポリシーによってアイテムがアーカイブメールボックスへ移動されたりアイテムが削除されている場合があります。
関連するアイテム保持ポリシーの設定を確認します。
アイテム保持ポリシーの詳細はこちらです。

EAC で確認する

ユーザーに適用されている保持ポリシーを確認

Exchange 管理センター (EAC) で、[受信者] – [メールボックス] 該当のユーザーの順に選択します。
該当のユーザーをダブルクリックで開きます。
[メールボックスの機能] – [アイテム保持ポリシー] から割り当てられている保持ポリシーを確認します。

保持ポリシーを確認

Exchange 管理センター (EAC) で、[コンプライアンス管理] – [アイテム保持ポリシー] の順に選択します。
該当の保持ポリシーをダブルクリックで開きます。

保持タグを確認

Exchange 管理センター (EAC) で、[コンプライアンス管理] – [保持タグ] の順に選択します。
該当の保持タグをダブルクリックで開きます。

コマンドで確認する

ユーザーに適用されている保持ポリシーを確認

以下サンプルです。
taro のメールボックスに適用されている保持ポリシーを確認します。

Get-Mailbox taro | select RetentionPolicy

保持ポリシーに含まれる保持タグを確認

以下サンプルです。
※ 適用されている保持ポリシーが [Default MRM Policy] である場合。

(Get-RetentionPolicy "Default MRM Policy").RetentionPolicyTagLinks | Format-Table name

出力結果

5 Year Delete
1 Year Delete
6 Month Delete
Personal 5 year move to archive
1 Month Delete
1 Week Delete
Personal never move to archive
Personal 1 year move to archive
Default 2 year move to archive
Junk Email
Recoverable Items 14 days move to archive
Never Delete

保持タグの内容を確認

以下サンプルです。
※ 含まれる保持タグ、[5 Year Delete] を確認する場合。

Get-RetentionPolicyTag "5 Year Delete" |select Type,AgeLimitForRetention,RetentionAction

出力結果

Type	AgeLimitForRetention	RetentionAction
Personal	1825.00:00:00	DeleteAndAllowRecovery

出力結果より以下の情報が取得できます。

Type	Personal	個人用タグ
AgeLimitForRetention	1825.00:00:00	1825 日
RetentionAction	DeleteAndAllowRecovery	削除 ‎(一時的に回復可能)‎

メールボックス及びフォルダー権限を確認する

第 3 者からアクセスできるようなメールボックス権限がフォルダーに対して設定されているかどうか確認します。
PowerShell より以下のコマンドを実行することで確認することができます。

Get-MailboxFolderPermission -Identity <エイリアス>:\inbox (受信トレイ)

以下サンプルです。
taro の [Inbox] に適用されている権限を確認します。

Get-MailboxFolderPermission -Identity taro:\inbox

出力結果

FolderName	User	AccessRights	SharingPermissionFlags
Inbox	既定	{None}
Inbox	匿名	{None}
Inbox	User01	{Owner}

[Inbox] (受信トレイ) に対し、User01 (第 3 者)が Owner 権限を所持しています。
これは、User01 が taro の Inbox 内のアイテムを自由に操作できる可能性があることを意味しています。