【危険】メールヘッダーにBCC情報が残る！？『X-MS-Exchange-CrossPremises-BCC』の罠…

2018年9月8日2019年2月13日

最近、知って衝撃を受けました…
Office365 （ Exchange Online ）を使っていると、特定の条件下で『 BCC情報がメールヘッダに残存』します。要は、メール受信者がBCCに登録された宛先を見れちゃいます…

そもそもBCCの情報ってメールヘッダに記録されるの！？

まず、O365（Exchange Online）では『X-MS-Exchange-CrossPremises-BCC』というヘッダーにBCC情報が記録されています。

但し、通常、このヘッダー情報はメール送信者の「送信済みフォルダ」にあるメールアイテムにおいてのみ保存されており、メール受信者側のメールからは配信時に削除されます。

↓↓↓ 詳細はMSの下記情報を参照ください ↓↓↓

Preserve Bcc and expanded distribution group recipients for eDiscovery - Microso

In-Place Hold, Litigation Hold, and Microsoft 365 retention policies allow you to preserve mailb ...

https://technet.microsoft.com/en-us/library/dn770225(v=exchg...

しかし！

オンプレミス環境とのハイブリッド環境を構成し、下記２つの条件を満たしてしまった場合、なんと『X-MS-Exchange-CrossPremises-BCC』の情報が削除されることなく、メール受信者側でも保存されたままとなります…

パラメータ	ステータス
送信コネクタに係るパラメータ『 CloudServicesMailEnabled 』	True
リモートドメインに係るパラメータ『 TrustedMailOutboundEnabled 』	Ture

ちなみに、後者はハイブリッド環境であれば問答無用で『True』になっているはずです。MSサポートの公開情報としては、下記サイト辺りが参考になります。

Set-OutboundConnector (ExchangePowerShell) | Microsoft Docs

Outbound connectors send email messages to remote domains that require specific configuration op ...

https://docs.microsoft.com/en-us/powershell/module/exchange/...

まず、『CloudServicesMailEnabled』に関しては、下記MSサイトで確認できます。

オンプレミスの Exchange 2013 Edge Transport Server から Exchange Online へ送信し

オンプレミスの Exchange 2013 Edge Transport Server から Exchange Online へ送信した電子メールメ ...

https://support.microsoft.com/ja-jp/help/3212872/email-sent-...

また、『TrustedMailOutboundEnabled』に関しては、下記MSサイトで確認できます。

Set-RemoteDomain (ExchangePowerShell) | Microsoft Docs

When you set a remote domain, you can control mail flow with more precision, specify message for ...

https://docs.microsoft.com/en-us/powershell/module/exchange/...

しかしながら、パラメータ値の変更にあたっての影響等については、あまり言及がないのでご注意ください。
※現状、私は影響が読み切れないため手が出せずにおります…

既にご存知の仕様もあるかと存じますが、私が知り得た『 Office365の危険な仕様』を適宜掲載しております。

ご興味がある方は、是非、ご参考にしていただければと存じます。

エディフィストラーニング株式会社飯室美紀日経BP社 2018-03-24

株式会社ネクストセット日経BP社 2015-09-03