MS365で届いているはずのメールを探した話

ある重要なメールが届いていない、という話があったのでExchangeにてメッセージの追跡から調べてみた。
MSのDocsは以下

電子メール メッセージを追跡する

Exchange 管理センターを開く

以下を開く

Sign in to your account

探してみる

「メールフロー」-「メッセージ追跡」-「追跡を開始」と開く

探す条件を設定する

なんと90日まで遡れる、ということでやろうとしたら、10日間以上はCSVファイルになるとのこと。

まずは7日でやってみる。

デフォルトの要約レポートで出力すると以下のようになった。
送信者、受信者を指定しなかったので全てのメール出力された。

一つだけ中身を見ると、どこから、いつ届いて、いつユーザに送信したのか、というのがわかる「メッセージイベント」、「詳細情報」が記載されている。スパムとして判定されていれば、「メッセージイベント」に記載される

詳細な検索オプション

細かいオプションの内容を見ていく。

配信状態は以下

・配信済み
　メールが正常に届いたものに限定
・展開済み
　配布リストが受信したものに限定。実際にはそこから個別のアカウント
　に「配信」される
・失敗
　試行して失敗、フィルタに防がれた（例：マルウェア認定）ものに限定　

方向

送信か受信か

レポートの種類

※要約レポートでない場合は「送信者」「受信者」「メッセージID」のいずれかを指定する必要がある。
・要約レポート
　10日以内のレポートにのみ使われるブラウザで閲覧が可能
　画面は前記の通り
・増補要約レポート
　10日以上のレポートにも対応。CSVで出力される。　
　ざっくりcsv化されるまで30分ぐらいはかかると思った方がいい。
　項目としては以下
　　origin_timestamp：受信日時UTCタイムゾーンであることに注意
　　sender_address：送信メールアドレス
　　Recipient_status：受信メールアドレス、受信状態
　　message_subject：メール件名
　　total_bytes：メールサイズ
　　message_id：メッセージID　検索時に使うが、実際使うのか？
　　network_message_id：内部向けのID
　　original_client_ip：送信クライアントのIPアドレス
　　directionality：送信受信の方向性
　　connector_id：サーバ名など。
　　delivery_priority：メッセージ高などの設定状況

・包括的レポート
　増補要約レポートとの違いは、10日以上のレポートで対応。
　中を見た結果、1つのメールに対して送受信の段階などに分けてログが
　できていると思われる。web画面の「メッセージレポート」の内容に対
　応している。

増補要約レポートで調査対象を特定して、web画面側で詳細を見ればよいかなと考える。

結果みつかったのか

指定の日時前後二日含めたけど、今回は見つからなかった。そもそも送ってないのでは？改めて確認したもらうことにした。