【危険】メールヘッダーにBCC情報が残る!?『X-MS-Exchange-CrossPremises-BCC』の罠…

2018年11月20日

最近、知って衝撃を受けました…
Office365 ( Exchange Online )を使っていると、特定の条件下で『 BCC情報がメールヘッダに残存 』します。要は、メール受信者がBCCに登録された宛先を見れちゃいます…

 

そもそもBCCの情報ってメールヘッダに記録されるの!?

まず、O365(Exchange Online)では『X-MS-Exchange-CrossPremises-BCC』というヘッダーにBCC情報が記録されています。

但し、通常、このヘッダー情報はメール送信者の「送信済みフォルダ」にあるメールアイテムにおいてのみ保存されており、メール受信者側のメールからは配信時に削除されます。

 

↓↓↓ 詳細はMSの下記情報を参照ください ↓↓↓


 

 

BCC情報がメールヘッダに残りっぱなしになる特殊ケースって?

しかし!

オンプレミス環境とのハイブリッド環境を構成し、下記2つの条件を満たしてしまった場合、なんと『X-MS-Exchange-CrossPremises-BCC』の情報が削除されることなく、メール受信者側でも保存されたままとなります…

パラメータ ステータス
送信コネクタに係るパラメータ
『 CloudServicesMailEnabled 』
True
リモートドメインに係るパラメータ
『 TrustedMailOutboundEnabled 』
Ture

 

ちなみに、後者はハイブリッド環境であれば問答無用で『True』になっているはずです。MSサポートの公開情報としては、下記サイト辺りが参考になります。

 

 

BCC情報の残存有無に影響するパラメータ値の確認・変更方法は?

まず、『CloudServicesMailEnabled』に関しては、下記MSサイトで確認できます。

 

また、『TrustedMailOutboundEnabled』に関しては、下記MSサイトで確認できます。 

 

しかしながら、パラメータ値の変更にあたっての影響等については、あまり言及がないのでご注意ください
※現状、私は影響が読み切れないため手が出せずにおります…

 

 

最後に  ~ Office365には色んな罠が… ~

既にご存知の仕様もあるかと存じますが、私が知り得た『 Office365の危険な仕様 』を適宜掲載しております。

ご興味がある方は、是非、ご参考にしていただければと存じます。