メールの本文のURLを開いていないにも関わらず、URLを開いた扱いとなる場合、Microsoft Defender for Office 365 の機能である [安全なリンク] ポリシーによることが考えられます。
[安全なリンク]では、メールがフィルターを通過する際もしくは、クリックを行う際に、サンドボックス環境でリンク先の安全性を確認するために、開いている場合にリンク先にアクセスしたと判定されるようです。
Outlookなどで[報告]アイコンなどからスパムやフィッシングメールの報告ができますが、報告を実行した場合もURLにアクセスした扱いになる場合があります。
この動作については、[安全なリンク] ポリシー内の以下の設定の組み合わせることで回避が可能であることを確認しています。
- [不審なリンクや、ファイルを指しているリンクに対してリアルタイム URL スキャンを適用します] : オフ
- [URL を書き換えずに、安全なリンク API を介したチェックのみを行います] : オン
- [メール内の次の URL を書き換えないでください] : 除外対象 URL
これにより、指定した対象 URL に対しては、URL の書き換え、メール受信中のリアルタイムスキャン、およびクリック時のスキャンが回避されます。
除外対象以外の URL にもリアルタイムスキャンや書き換えは動作しませんが、クリック時のスキャンは実行されます。
既定では組み込みの保護ポリシー (Built-in protetcion) により [安全なリンク] の機能が動作しており、組み込みの保護ポリシーでは [安全なリンク] の設定を変更することができないようになっています。
Microsoft Defender for Office 365(MDO)のライセンスを持っている場合が対象です。
その場合、[安全なリンク] のカスタムポリシーを作成すれば設定変更できますので、以下に手順をご紹介します。
安全なリンクポリシーの新規作成手順
1. 管理者権限を付与したユーザーにて、[Microsoft 365 Defender (https://security.microsoft.com/)] へサインインします。
2. 画面左側のメニューより [ポリシーとルール] > [脅威ポリシー] > [安全なリンク] の順に選択します。
3. [+作成] をクリックし、新規で安全なリンクポリシーを作成します。
4. [名前] に任意でポリシー名を入力し、[次へ] をクリックします。
※ ポリシーの一覧に表示される名前です。
5. ユーザーとドメインの画面にてポリシーの対象とするMDO ライセンスを付与されたユーザー、グループ、ドメインを選択し、[次へ] をクリックします。
※ 複数指定することが可能です。
6. [不審なリンクや、ファイルを指しているリンクに対してリアルタイム URL スキャンを適用します] 以外はチェックを入れた状態にします。
※ 任意で不要な項目のチェックを外しても問題ないです。
※ [Built-in protecion] のポリシー内容では以下の項目にチェックが入っています。
・ メール
- [安全なリンクは、ユーザーがメール内のリンクをクリックしたときに、既知の悪意のあるリンクのリストを確認します。URL は既定で書き換えられます。]
- [不審なリンクや、ファイルを指しているリンクに対してリアルタイム URL スキャンを適用します]
- [URL スキャンが完了するまで待ち、その後でメッセージを配信します]
- [URL を書き換えずに、安全なリンク API を介したチェックのみを行います]
・ Teams、Office 365 Apps の両項目
・ クリックに対する保護の設定
- ユーザーのクリックを追跡する
- ユーザーが元の URL へクリックスルーするのを許可する
7. [メール内の次の URL を書き換えないでください] の "0 URL の管理" のリンクをクリックします。
8. [+ URL の追加] をクリック後、入力欄に該当の URL を入力して [保存] > [完了] の順にクリックします。
※ 追加したい URL が複数ある場合は [+ URL の追加] をクリックして繰り返し入力してください
9. [次へ] > [送信] をクリックします。
