スパム対策およびウイルス対策のメール フローについて

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

スパム対策機能を実行している Microsoft Exchange 実行中のサーバーに外部ユーザーから電子メール メッセージが送信されると、スパム対策機能によって受信メッセージの特性が累積的に評価され、スパムの疑いがあるメッセージをフィルターで排除するか、またはメッセージがスパムである確率に基づいたレベルをそのメッセージに割り当てます。このレベルは、SCL (Spam Confidence Level) レベルと呼ばれるメッセージ プロパティとしてメッセージに格納されます。他の Exchange サーバーにメッセージが送信されるときも、このレベルはメッセージと共に保持されます。

次の図は、インターネットからの受信メッセージに対して、既定のスパム対策機能および Microsoft Forefront Protection for Exchange Server がフィルターを適用する順序を示します。既定では、スパム対策およびウイルス対策機能はこの順序で並べられています。フィルターの適用時に使用されるリソースが最も少ないフィルターが最初に適用され、使用されるリソースが最も多いフィルターが最後に適用されます。

注意

また、次の図と説明では、受信メッセージを受け付ける最初の SMTP サーバーは Microsoft Exchange Server 2010 エッジ トランスポート サーバーであると想定しています。一部の組織では、エッジ トランスポート サーバーは、サード パーティの SMTP サーバーの背後に展開される場合があります。サード パーティの SMTP ゲートウェイ サーバーの背後に Exchange 2010 エッジ トランスポート サーバーが展開されている場合、Exchange 2010 エッジ トランスポート サーバーで追加の構成が必要になります。具体的には、すべての SMTP ゲートウェイ サーバーが、TransportConfig オブジェクトの InternalSMTPServer プロパティに記載されていることを確認する必要があります。詳細については、「Set-TransportConfig」を参照してください。

追加の Exchange スパム対策およびウイルス対策の機能の詳細については、「Microsoft Forefront Protection 2010 for Exchange Server」を参照してください。

インターネットからの受信メッセージにウイルス対策フィルターを適用する既定のスパム対策機能

前の図に示すように、SMTP サーバーが Exchange 2010 に接続して SMTP セッションを開始する場合、エッジ トランスポート サーバーがインターネットに直接接続されているならば、フィルターは次の順序で適用されます。

  • 接続フィルター

  • 送信者フィルター

  • 受信者フィルター

  • Sender ID フィルター

  • コンテンツ フィルター

  • 送信者評価のフィルター処理

  • 添付ファイル フィルター

  • ウイルス対策スキャン

  • Outlook 迷惑メール フィルター

注意

接続フィルターは 2 つの異なるイベント中に情報を収集します。最初のイベントで、接続フィルターは接続から IP アドレス情報を収集します (前の図に示す)。2 番目のイベントで、接続フィルターは、送信者フィルター エージェントが最初の外部 IP アドレスを特定するためにメッセージ ヘッダーを解析するときに情報を収集します。エージェントは複数のイベントを監視できます。前の図はメッセージ フローを示すための図で、すべてのエージェントが有効になっている場合にエージェントが適用される大まかな順序を示しています。特定のイベントの詳細や、どのエージェントがどのイベントを監視するかについては、「トランスポート エージェントについて」を参照してください。

スパム対策およびウイルス対策機能に関連する管理タスクについては、「スパム対策およびウイルス対策の機能の管理」を参照してください。

目次

接続フィルター

送信者フィルター

受信者フィルター

Sender ID フィルター

コンテンツ フィルター

送信者評価のフィルター処理

添付ファイル フィルター

ウイルス対策スキャン

Outlook 迷惑メール フィルター

接続フィルター

SMTP セッション中に、Exchange 2010 は次の図に示す条件を使用して接続フィルターを適用します。

接続フィルターのメール フロー

次のプロセスが適用されます。

  1. 接続フィルター エージェントが、管理者定義の IP 許可一覧を検査します。送信側サーバーの IP アドレスが管理者定義の IP 許可一覧に含まれている場合、そのメッセージは送信者フィルターによって処理されます。

  2. 接続フィルター エージェントが、ローカルの IP 禁止一覧を検査します。送信サーバーの IP アドレスがローカルの IP 禁止一覧に含まれている場合、そのメッセージは自動的に拒否されます。他のフィルターは適用されません。

  3. 接続フィルター エージェントは、所有する任意の IP 許可一覧プロバイダーから許可された IP アドレスの一覧を検査します。送信側サーバーの IP アドレスが IP 許可一覧プロバイダーの許可された IP アドレスの一覧に含まれている場合、そのメッセージは送信者フィルターによって処理されます。

  4. 接続フィルター エージェントが、任意の IP 禁止一覧プロバイダーの構成済みリアルタイム ブロック リストを検査します。送信サーバーの IP アドレスがリアルタイム ブロック リストに含まれている場合、そのメッセージは拒否されます。他のフィルターは適用されません。

詳細については、「接続フィルターについて」を参照してください。

注意

接続フィルター エージェントが、インターネットに直接接続されている別のサーバーの背後に存在するコンピューターに展開されている場合は、接続フィルター エージェントの前に、送信者フィルターや受信者フィルターなどの他のフィルターが呼び出されます。

ページのトップへ

送信者フィルター

接続フィルターの適用後、Exchange 2010 は次の図に示すように、送信者の電子メール アドレスが送信者フィルターで構成した受信拒否リストに含まれているかどうかを検査します。

送信者フィルターのメール フロー

次に、送信者フィルター エージェントが、メッセージ エンベロープとメッセージ ヘッダーの From: ヘッダー フィールドに含まれている送信者の電子メール アドレスを確認します。いずれかの From: ヘッダー フィールドが受信拒否リストにあるアドレスに一致する場合、Exchange 2010 はそのメッセージをプロトコル レベルで拒否し、他のフィルターは適用されません。

注意

組織の受信者が各自の Microsoft Outlook 差出人セーフ リストに送信者を含めている場合でも、エッジ トランスポート サーバー上の送信者フィルターは受信者の Outlook 設定より優先され、そのメッセージが拒否されます。

送信者フィルターの詳細については、「送信者フィルターについて」を参照してください。

メッセージ エンベロープとメッセージ ヘッダーの詳細については、「ピックアップおよび再生ディレクトリについて」を参照してください。

ページのトップへ

受信者フィルター

送信者フィルターによってメッセージが拒否されない場合は、Exchange によって接続フィルターが再度実行されます。 Exchange は、次の図に示すように受信者フィルター エージェントを適用します。

受信者フィルターのメール フロー

受信者フィルター エージェントが、受信者フィルター エージェントの設定で構成されている受信者禁止一覧にその受信者が含まれているかどうかを検査します。受信者禁止一覧の電子メール アドレスとその受信者が一致した場合、Exchange 2010 はその特定の受信者宛てのメッセージを拒否します。さらに、受信者フィルター エージェントは、その受信者が組織内に存在するかどうかを確認します。その受信者が組織内に存在しない場合、Exchange はその特定の受信者宛てのメッセージを拒否します。

複数の受信者がメッセージの宛先になっており、それらの中に受信者禁止一覧に含まれる受信者がいない場合は、メッセージの処理が続行されます。メッセージの宛先が、ブロックされる 1 人の受信者だけの場合、他のフィルターは適用されません。

ブロックされる受信者を含むメッセージが処理されると、ブロックされる受信者のセットがメッセージから削除され、そのメッセージは組織内に入ります。プロトコル レベルの SMTP 拒否応答が、それぞれのブロックされる受信者の送信者に送信されます。送信者評価エージェントは、送信者評価レベル (SRL) を計算するために OnReject イベントを監視します。

詳細については、「受信者フィルターについて」を参照してください。

ページのトップへ

Sender ID フィルター

受信者フィルターが適用された後もメッセージに有効な受信者が含まれている場合、次の図に示すように、Exchange 2010 は Sender ID エージェントを実行します。

Sender ID フィルターのメール フロー

最初に、Sender ID エージェントが RFC 4407 に定義されているアルゴリズムを使用して、メッセージの PRA (Purported Responsible Address) を決定します。この手順は、メッセージの送信者を正確に識別するために必要です。PRA は、kim@contoso.com などの SMTP アドレスです。次に、Sender ID エージェントが、PRA のドメイン部分に対してドメイン ネーム サービス (DNS) 参照を実行します。そのドメインが SPF (Sender Policy Framework) レコードを公開している場合、エージェントはその SPF レコードを使用して、RFC 4408 の仕様に従ってメッセージを評価します。その評価の結果が、メッセージのスパム対策スタンプにスタンプされます。そのドメインに公開済みの SPF レコードが存在しない場合、Sender ID エージェントは、そのメッセージに "None" という Sender ID の結果をスタンプします。Sender ID フィルターで使用されるスタンプの種類の詳細については、「スパム対策スタンプについて」を参照してください。

送信者の DNS が、ブロックするドメインまたはブロックするアドレスから来ている場合は、Sender ID の処理の構成に応じて次の処理が実行されることがあります。

  • [メッセージを拒否する]   Sender ID の処理が [メッセージを拒否する] に設定されている場合、Exchange はそのメッセージを拒否し、送信側サーバーに SMTP エラー応答を送信します。SMTP エラー応答は 5xx レベルのプロトコル応答で、テキストは Sender ID の状態に対応しています。

  • [メッセージの削除]   Sender ID の処理が [メッセージの削除] に設定されている場合、Exchange は、送信側サーバーに通知せずにメッセージを削除します。エッジ トランスポート サーバーの役割がインストールされているコンピューターは偽の "OK" SMTP コマンドを送信側サーバーに送信してからメッセージを削除します。送信側サーバーはメッセージが送信されたと見なすため、同じセッションでメッセージの送信を再試行しません。

  • [Sender ID の結果をメッセージにスタンプして処理を続行する]   Exchange はメッセージに Sender ID の結果をスタンプし、メッセージの処理を続行します。このメタデータは、SCL の計算時にコンテンツ フィルター エージェントによって評価されます。さらに、送信者評価では、メッセージの送信者に対する SRL を計算するときにメッセージのメタデータを使用します。

詳細については、「送信者 ID について」を参照してください。

ページのトップへ

コンテンツ フィルター

Exchange コンテンツ フィルターは、Exchange インテリジェント メッセージ フィルターを呼び出す前に、送信者フィルターを再度適用します。次の図に示すように、Exchange サーバーがコンテンツ フィルター エージェントを適用します。

コンテンツ フィルターのメッセージ フロー

コンテンツ フィルター エージェントが、メッセージの次の条件を確認します。いずれかの条件に当てはまる場合、メッセージはコンテンツ フィルターと添付ファイル フィルターをバイパスします。これらのメッセージは、続いてウイルス対策スキャンによって処理されます。次の条件が確認されます。

  • 送信者の IP アドレスが接続フィルターの IP 許可一覧に含まれている。

  • すべての受信者がコンテンツ フィルターの例外一覧に含まれている。

  • すべての受信者のメールボックスで、AntiSpamBypassEnabled パラメーターが $True に設定されている。

  • すべての受信者がこの送信者を、セーフリスト集約によってエッジ トランスポート サーバーと同じ状態に更新されている Outlook 差出人セーフリストに追加している。

  • 送信者が信頼のおけるパートナーであり、フィルターが適用されない組織の送信者の一覧に含まれている。

一覧に示した条件に加え、SMTP セッションが信頼のおけるパートナーとして認証されている場合や、管理者がパートナーに Bypass Anti-Spam (Ms-Exch-Bypass-Anti-Spam) アクセス許可を与えている場合は、そのセッション中、スパム対策エージェントがメッセージに対して無効になります。Bypass Anti-Spam アクセス許可は、既定ではパートナーに与えられないため、管理者が割り当てる必要があります。

メッセージがここで説明したいずれの条件も満たしていない場合は、コンテンツ フィルターが適用されます。コンテンツ フィルターは、メッセージに SCL レベルを割り当てます。SCL レベルに基づいて、次のいずれかの処理が実行されます。

  • メッセージの SCL レベルが SCL による削除のしきい値以上であり、SCL による削除のしきい値が有効になっている場合、コンテンツ フィルター エージェントはそのメッセージを削除します。送信側のシステムや送信者にメッセージが削除されたことを伝えるプロトコル レベルの通信はありません。SCL レベルが SCL による削除のしきい値より小さい場合、コンテンツ フィルター エージェントはそのメッセージを削除しません。代わりに、その SCL 値は SCL による拒否のしきい値と比較されます。

  • メッセージの SCL レベルが SCL による拒否のしきい値以上であり、SCL による拒否のしきい値が有効になっている場合、コンテンツ フィルター エージェントはそのメッセージを拒否し、拒否応答を送信側システムに送信します。拒否応答はカスタマイズできます。場合によっては、メッセージの元の送信者に配信不能レポート (NDR) が送信されます。SCL レベルが SCL による拒否のしきい値より小さい場合、コンテンツ フィルター エージェントはそのメッセージを拒否しません。代わりに、その SCL 値は SCL による検疫のしきい値と比較されます。

  • メッセージの SCL レベルが SCL による検疫のしきい値以上であり、SCL による検疫のしきい値が有効になっている場合、コンテンツ フィルター エージェントはそのメッセージをスパム検疫メールボックスに送信します。スパム検疫メールボックスを管理する方法については、「コンテンツ フィルターについて」を参照してください。次に、メッセージは添付ファイル フィルターによって処理されます。

詳細については、以下のトピックを参照してください。

ページのトップへ

送信者評価のフィルター処理

コンテンツ フィルターが適用された後、次の図に示すように、Exchange は送信者評価フィルターを適用します。

送信者評価のメッセージ フロー

送信者評価は、以下のメッセージ統計情報をそれぞれ比較検討し、各送信者の SRL を計算します。

  • HELO/EHLO 分析

  • DNS 逆引き参照

  • 特定の送信者からのメッセージの SCL レベルの分析

  • 送信者のオープン プロキシ テスト

SRL は、0 ~ 9 までの数字で、特定の送信者がスパム発信者または悪意のあるユーザーである確率を予測したものです。値 0 は、送信者がスパムの発信者である可能性が低いことを示します。値 9 は、送信者がスパムの発信者である可能性が高いことを示します。

送信者評価が送信者フィルター エージェントに対して要求を発行する際に使用する、0 ~ 9 の SRL ブロックしきい値を構成して、組織に届く送信者からのメッセージをブロックすることができます。送信者がブロックされると、構成可能な期間はその送信者は受信拒否リストに追加されます。受信拒否されたメッセージの処理方法は、送信者フィルター エージェントの構成によって異なります。受信拒否されたメッセージを処理するオプションは次のとおりです。

  • [拒否]

  • [削除およびアーカイブ]

  • [受信拒否リストとして承諾し、マークする]

送信者が IP 禁止一覧または Microsoft IP 評価サービスに含まれている場合、送信者評価エージェントは送信者フィルター エージェントに直ちに要求を発行して送信者をブロックします。この機能を活用するには、Microsoft Exchange Anti-spam Update サービスを有効にして構成しておく必要があります。

既定では、エッジ トランスポート サーバーでは分析されていない送信者のレベルは 0 に設定されます。送信者が 20 通以上のメッセージを送信した後で、送信者評価は、以前に説明した統計情報に基づき SRL を計算します。

詳細については、以下のトピックを参照してください。

ページのトップへ

添付ファイル フィルター

送信者評価フィルターが適用された後、次の図に示すように、Exchange は添付ファイル フィルターを適用します。

添付ファイル フィルターのメール フロー

MIME コンテンツの種類、ファイル名、またはファイル名の拡張子に基づいて添付ファイルをブロックするように添付ファイル フィルターを構成することができます。添付ファイル フィルターによって、ブロックされたコンテンツの種類またはファイル名が検出された場合は、添付ファイル フィルターの設定に基づいて次のいずれかの処理が実行されます。

  • Reject   処理の設定が [Reject] に設定されている場合は、電子メール メッセージと添付ファイルの両方が受信者に配信されなくなり、システムによって送信者に対する配達状態通知 (DSN) エラー メッセージが生成されます。拒否応答はカスタマイズできます。

  • Silent Delete   処理の設定が Silent Delete に設定されている場合は、電子メール メッセージと添付ファイルの両方が受信者に配信されなくなります。電子メール メッセージと添付ファイルがブロックされたことを示す通知は送信者に返されません。

  • Strip   処理の設定が Strip に設定されている場合は、電子メール メッセージから添付ファイルが削除されます。メッセージと、添付ファイルの禁止一覧のエントリと一致しないその他の添付ファイルについては、受信者への配信が許可されます。添付ファイルがブロックされたことを示す通知が受信者の電子メール メッセージに追加されます。

メッセージが拒否も削除もされなかった場合、または添付ファイル フィルターによってブロックされた添付ファイルの種類が検出されなかった場合は、メッセージに対してウイルスのスキャンが実行されます。

詳細については、「添付ファイル フィルターを構成する」を参照してください。

ページのトップへ

ウイルス対策スキャン

添付ファイル フィルターが適用された後、または受信者のコンテンツ フィルター処理が省略された場合は、次の図に示すように、Forefront Protection forExchange Server ウイルス対策スキャンが適用されます。

Forefront Protection for Exchange Server ウイルス対策スキャンのメール フロー

Forefront Protection for Exchange Server は、Exchange 2010 と密接に統合されるウイルス対策ソフトウェア パッケージで、Exchange 環境のウイルス対策を強化します。Forefront Protection for Exchange Server でウイルスを含む可能性のあるメッセージが検出されると、システムによってメッセージの削除、通知メッセージの生成、および受信者のメールボックスへの通知の送信が行われます。

詳細については、「Microsoft Forefront Protection 2010 for Exchange Server」を参照してください。

ページのトップへ

Outlook 迷惑メール フィルター

すべてのフィルターが適用され、メッセージに対してウイルスのスキャンが実行された後、次の図に示すように、メッセージが目的の受信者のメールボックスに送信され、迷惑メール フィルターが適用されます。

Outlook 迷惑メール フィルターのメール フロー

メッセージの SCL レベルが SCL 迷惑メール フォルダーのしきい値以上であり、SCL 迷惑メール フォルダーのしきい値が有効になっている場合、メールボックス サーバーはそのメッセージを Outlook ユーザーの [迷惑メール] フォルダーに格納します。メッセージの SCL 値が、SCL による削除、拒否、検疫、および迷惑メール フォルダーのしきい値より小さい場合、メールボックス サーバーはそのメッセージをユーザーの受信トレイに格納します。SCL しきい値の詳細については、「Spam Confidence Level のしきい値について」を参照してください。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.