昨日、私の会社は、「信頼できる誰かから来た」という古いソーシャル手法を使用してユーザーの疑惑(および合理性)を一時停止する新しいトロイの木馬に遭遇し、開かれ、実行されました。
このことを発見、封じ込め、排除する過程で、Exchange Online(Office365)トランスポートルールを使用して、感染したユーザーからのすべての送信メールをブロックしました(そしてブロックしたメッセージを私に送信しました)。バグが解消されたことを確認した後、トランスポートルールをオフにしましたが、ユーザーがまだ送信できないことがわかりました。次に、トランスポートルールを削除し、1人のユーザーでテストしました。一部のユーザーは通過しましたが、一部はブロックされました。
Powershellを使用してログインしましたが、Get-TransportRuleは、30時間後も(時折、ランダムに)これらのユーザーをブロックしているルールを表示しません。
どれくらいの時間がかかりますか?チケットプロセスを開始するまでどのくらいかかりますか?または私は何かを逃したのですか?
トランスポートルールの変更は、私の経験では約15分後に有効になります。
Azure ADでは、Forward Syncと呼ばれるプロセスを利用して、インフラストラクチャ全体にオブジェクトへの更新をプッシュします。トランスポートルールがこのメカニズムを使用するオブジェクトであるのか、それとも別個のExchangeプロセスであるのかはわかりません。
O365では、これは組織のサイズとMicrosoftのデータセンター全体の分散に実際に依存します。 O365 Sharedには10,000人以上のユーザーがいるため、しばらく時間がかかります。
特に、Exchange OnlineとExchange 2013のTechnet記事は異なります。 Exchange 2013ヘルプでは、トランスポートルールのレプリケーション時間はActive Directoryレプリケーションに依存していると説明されています。私は、Exchange OnlineがAzure ADソリューションを使用することを期待/想定することしかできませんが、 Exchange Onlineヘルプ にはまったく記載されていません。
クイックトレースを実行して(O365で詳細なトレースを実行できるのと同様に)、それが問題の原因となっているトランスポートルールであることを確認します。ほとんどの場合、彼らは非常に迅速に出入りします。ひとつの作品を見るのを待っていた最長の時間は10分だったと思います。公式行が何なのかわかりません。私は間違いなくチケットを開きます-とにかく彼らがあなたに戻るのに数時間かかります。
発信に関する問題があった場合-マイクロソフトがそれを検出し、一部のユーザーをブロックした可能性があります。その場合は、チケットを開いてブロックを解除する必要があります。