フィルタの構成およびスパムの制御

  • [アーティクル]

 

スパムの制御は難しい課題ですが、スパムを削減するために以下のような対策をとることができます。

  • Exchange 2003 のフィルタ機能を使用する。   Microsoft® Exchange Server 2003 では、接続フィルタ、受信者のフィルタ、送信者のフィルタを使って、組織のユーザーに送信されるスパムの量を削減できます。
  • スパムへの返信や転送を行わないようにユーザーを教育する。   メール内の「remove (削除)」リンクは、アドレスを確認するために使用されることが多いため、このリンクをクリックしないように指導します。

Exchange Server 2003 では、SMTP 仮想サーバーでフィルタを構成して有効にし、仮想サーバーへのアクセスを制限できます。Exchange システム マネージャで [グローバル設定] の下の [メッセージ配信プロパティ] でフィルタを構成します。フィルタは、グローバル レベルで構成されますが、各仮想サーバー上で有効にする必要があります。

フィルタを使用すると、次の方法で SMTP 仮想サーバーに送信される受信電子メール メッセージをブロックできます。

  • 接続フィルタを使うと、接続元の SMTP サーバーのインターネット プロトコル (IP) アドレスを基にして、組織に送信されるメッセージをブロックできます。常にメッセージを受け入れる IP アドレスに対してはグローバル許可一覧を、常にメッセージを拒否する IP アドレスに対してはグローバル拒否一覧を構成できます。サード パーティのブロック リスト プロバイダに加入して、接続元の IP アドレスがブロック対象の IP アドレスの一覧に登録されていないかどうかを検証することもできます。

    note注 :
    SMTP 仮想サーバーへの特定の IP アドレスからの送信をブロックするには、SMTP 仮想サーバーのプロパティの [アクセス] タブにある [接続] ボタンを使って、これらの IP アドレスを追加できます。この制限は、ゲートウェイ SMTP 仮想サーバー上で構成してください。

  • 受信者のフィルタを使うと、組織内の特定の受信者アドレスに送信されるメッセージをブロックできます。

  • 送信者のフィルタを使うと、特定の送信者によって送信されたメッセージをブロックできます。組織で、同じ送信者アドレスから繰り返しスパムを受信するような場合は、これらの送信者から組織に送信されるメッセージをブロックするように選択できます。

接続フィルタ

Exchange Server 2003 は、ブロック リストに基づいた接続フィルタをサポートします。接続フィルタは、既知のスパムの送信元、ダイヤルアップ ユーザー アカウント、第三者中継を行うサーバーの (IP アドレスを基にした) 一覧を提供する外部サービスを利用して作成します。接続フィルタはこれらのサービスを利用します。この機能を使用することによって、受信した IP アドレスをブロック リスト プロバイダの一覧と照合し、目的のカテゴリを基にフィルタを適用できます。また、接続フィルタは複数使用でき、各フィルタが適用される優先順位を設定できます。

接続フィルタによって以下を行うこともできます。

  • グローバル許可一覧およびグローバル拒否一覧を構成する。   グローバル許可一覧は、常に電子メールを受け付ける送信元の IP アドレス一覧です。グローバル拒否一覧は、常に電子メールを拒否する送信元の IP アドレス一覧です。グローバル許可一覧とグローバル拒否一覧は、ブロック リスト サービス プロバイダの使用の有無に関係なく使用することができます。
  • すべての接続フィルタのルールに例外として受信者アドレスを構成する。   このアドレスにメールが送信されると、送信者がブロック リストに記載されている場合でも、メールは自動的に受け付けられます。

接続フィルタ処理のルールのしくみ

接続フィルタ処理のルールを作成すると、SMTP はこのルールを使用して、サード パーティ製のブロック リスト サービスによって提供される一覧に対する DNS 参照を実行します。接続フィルタは、受信 IP アドレスをサード パーティのブロック リストにある IP アドレスと照合します。ブロック リスト プロバイダは、次の 2 つの応答のいずれかを発行します。

  • ホストが見つからない   IP アドレスが、ブロック リストに記載されていないことを示します。
  • 127.0.0. x   IP アドレスに対する一致が攻撃者の一覧に記載されていることを示す応答状態コードです。値 x は、ブロック リスト プロバイダによって異なります。

受信 IP アドレスがブロック リストに見つかった場合、SMTP は RCPT TO コマンドに応答して 5.x.x エラーを返します。RCPT TO コマンドは、指定されたメッセージ受信者を識別するために接続元サーバーが発行する SMTP コマンドです。

送信者に返される応答はカスタマイズできます。また、ブロック リスト プロバイダには通常さまざまな攻撃者の分類が含まれているため、拒否する一致を指定できます。ほとんどのブロック リスト プロバイダは、3 つの種類の攻撃者について調べます。

  • スパムの送信元   これらの一覧は、不要な商用メール メッセージをスキャンして、送信元アドレスを一覧に追加することで生成されます。
  • 既知の第三者中継サーバー   これらの一覧は、インターネット上の第三者中継 SMTP サーバーを識別することによって生成されます。第三者中継サーバーの最も一般的な理由は、システム管理者による構成の誤りです。
  • ダイヤルアップ ユーザー一覧   これらの一覧は、ダイヤルアップ アクセスを行う IP アドレスを含む既存のインターネット サービス プロバイダ (ISP) の一覧、またはダイヤルアップ接続の可能性を示すアドレスの調査を基に作成されます。

ブロック リスト プロバイダによる攻撃元 IP アドレスの照合方法

接続フィルタをセットアップした後、組織に電子メール メッセージが送信されると、Exchange はブロック リスト プロバイダに問い合わせます。プロバイダは、DNS で A (ホスト) レコードが存在するかどうかを確認します。Exchange は、この情報を特定の形式で照会します。たとえば、接続元アドレスが 192.168.5.1 で、ブロック リスト プロバイダの組織が contoso.org である場合、Exchange は次のレコードが存在するかどうかをを照会します。

<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x

この場合は、次のようになります。

1.5.168.192..contoso.org

この IP アドレスがプロバイダの一覧に見つかった場合、プロバイダは攻撃元 IP アドレスと攻撃の種類を示す 127.0.0.x の状態コードを返します。すべてのブロック リスト プロバイダが応答コード 127.0.0.x を返します。x は、攻撃の種類を示します。値 x は、ブロック リスト プロバイダによって異なります。

ブロック リスト プロバイダの応答コードについて

前に説明したように、ブロック リスト プロバイダで一致が見つかった場合、プロバイダは常に 127.0.0.x の状態コードを返します。状態コードは、明示的なリターンまたはビット マスクのいずれかで、多機能的なリターン コードです。ブロック リスト プロバイダが値を返す場合、フィルタの対象とする値を指定できます。ただし、ブロック リスト プロバイダがビット マスクを返す場合、フィルタの対象とする一致を指定するにはビット マスクのしくみを理解する必要があります。

ビット マスクは、エントリに対して特定のビットが設定されていることを確認するために使用される方法です。ビット マスクは、値の範囲を確認するサブネット マスクとは逆に、特定のビット値を確認するという点で従来のマスクとは異なります。次の例について考えます。

ブロック リストで一致が見つかるたびに、ブロック リスト プロバイダが次の表に示す状態コードを返すとします。

ブロック リストの状態コードの例

分類 返される状態コード

既知のスパムの送信元

127.0.0.3

ダイヤルアップ ユーザー アカウント

127.0.0.2

既知の中継サーバー

127.0.0.4

ただし、IP アドレスが 2 つの一覧に含まれている場合、ブロック リスト プロバイダは最後のオクテットの値を加算します。したがって、IP アドレスが既知の中継サーバーとスパムの送信元の一覧の両方にある場合、ブロック リスト プロバイダは 127.0.0.7 の状態コードを返します。ここで 7 は、不要な商用メール状態コードの既知の送信元に対して返される値と、既知の中継サーバー状態コードに対して返される値の最後のオクテットを加算した値です。

不要な商用メールの既知の送信元のみにフィルタを適用する場合は、0.0.0.3 のビット マスク値を入力します。ブロック リストは、可能性のあるすべての値 (この場合は、127.0.0.3、127.0.0.5、127.0.0.7、および 127.0.0.9) にフィルタを適用します。

次の表に、状態コードの例にそれぞれ関連付けられているビット マスク値を示します。

ブロック リストの状態コードと各コードに関連付けられているビット マスク値の例

分類 返される状態コード ビット マスク値

既知のスパムの送信元

127.0.0.3

0.0.0.3

ダイヤルアップ ユーザー アカウント

127.0.0.2

0.0.0.2

既知の中継サーバー

127.0.0.4

0.0.0.4

既知の中継サーバーとダイヤルアップ ユーザー アカウント

127.0.0.6

0.0.0.6

この表の最後の分類 (既知の中継サーバーとダイヤルアップ ユーザー アカウント) では、ビット マスク 0.0.0.6 は、IP アドレスが既知の中継サーバーの一覧とダイヤルアップ ユーザー アカウントの一覧の両方にある場合にのみ、一致を返します。IP アドレスが 2 つの一覧のどちらかにしかない場合、一致は返されません。ビット マスクを使用して、複数の一覧にある単一の一致を確認することはできません。

note注 :
ビット マスクは単一の値に対するチェックのみを行います。IP アドレスが 2 つの一覧にあるときに返されるマスク値を設定する場合、そのビット マスクは両方の一覧にある IP アドレスのみに一致します。IP アドレスが 2 つの一覧のいずれかにあるかどうかを確認する場合は、これらの設定の状態コードを入力します。

接続フィルタ処理のルールに対する例外の指定

ブロック リストに記載されているかいないかにかかわらず、特定の受信者へのメッセージ配信を許可することができます。これは、正当な組織がポストマスタ アカウントに連絡して管理者と通信できるようにする場合に役立ちます。たとえば、正当な企業のサーバーが第三者中継を許可するように誤って構成されている場合、この企業からユーザーに送信される電子メールはブロックされます。ただし、組織のポストマスタ アカウントへのメッセージ配信を許可するように接続フィルタを構成した場合、ブロックされた企業の管理者はポストマスタ アカウントにメールを送信して、状況を伝えたり、メールが拒否された理由を問い合わせたりすることができます。

接続フィルタの有効化

接続フィルタを有効にするには、次の手順を実行します。

  1. [メッセージ配信 のプロパティ] ダイアログ ボックスの [接続フィルタ] タブを使用して、接続フィルタを作成します。詳細な手順については、「受信者フィルタを作成する方法」を参照してください。
  2. SMTP 仮想サーバー レベルでフィルタを適用します。詳細な手順については、「受信者のフィルタを SMTP 仮想サーバーに適用する方法」を参照してください。

各手順について、以下に詳しく解説します。

接続フィルタの構成

接続フィルタを構成にするには、次の作業を行います。

  • グローバル許可一覧およびグローバル拒否一覧の作成
  • 接続フィルタ処理のルールの作成
  • 接続フィルタ処理のルールに対する例外の作成

グローバル許可一覧とグローバル拒否一覧を作成する方法の詳細については、次のトピックを参照してください。

接続フィルタ処理のルールに対する例外を作成する方法の詳細については、次のトピックを参照してください。

適切な SMTP 仮想サーバーへの接続フィルタの適用

接続フィルタとこのフィルタに対する例外を作成したら、適切な SMTP 仮想サーバーに適用する必要があります。通常、接続フィルタは、受信インターネット電子メール メッセージを受け付けるゲートウェイ サーバー上に存在する SMTP 仮想サーバーに適用します。接続フィルタを SMTP 仮想サーバーに適用するには、次の手順を使用します。

詳細な手順については、「接続フィルタを SMTP 仮想サーバーに適用する方法」を参照してください。

受信者のフィルタ

受信者のフィルタを使うと、組織に存在しない受信者に送信されるメッセージをフィルタしたり、スパムの送信者により標的にされることの多い特定の受信者アドレスを追加できます。

受信者のフィルタの有効化

受信者のフィルタを有効にするには、次の手順を実行します。

  1. [メッセージ配信のプロパティ] ダイアログ ボックスの [受信者のフィルタ] タブを使用して受信者のフィルタを作成します。
  2. SMTP 仮想サーバー レベルでフィルタを適用します。

各手順について、以下に詳しく解説します。

送信者のフィルタ

Exchange Server 2003 の送信者のフィルタは、Exchange 2000 Server の送信者のフィルタと同じように機能します。つまり、特定の送信者から送信されるメッセージをフィルタできます。あるドメインのユーザーから送信されるメッセージ、または特定の送信者から送信されるメッセージをブロックできます。

送信者のフィルタの有効化

送信者のフィルタを有効にするには、次の手順を実行します。

  1. [グローバル設定] の [メッセージ配信のプロパティ] ダイアログ ボックスの [送信者のフィルタ] タブを使用して送信者のフィルタを作成します。
  2. SMTP 仮想サーバー レベルでフィルタを適用します。

有効にされているフィルタと IP 制限が適用される方法の理解

Exchange 2003 では、次のフィルタと IP 制限をサポートしています。

  • 接続フィルタ
  • 受信者のフィルタ
  • 送信者のフィルタ
  • 仮想サーバー単位の IP 制限

接続フィルタ、受信者のフィルタ、送信者のフィルタはすべて [メッセージ配信のプロパティ] で構成しますが、各 SMTP 仮想サーバー上で有効にする必要があります。これに対し、IP 制限は、各 SMTP 仮想サーバー上で直接構成します。

ここでは、IP 制限とフィルタが構成されて有効にされている場合、SMTP セッション中にどのような順序で確認されるかについて説明します。

  1. SMTP クライアントが、SMTP 仮想サーバーへの接続を試みます。
  2. 接続元のクライアントの IP アドレスが、SMTP 仮想サーバーの [プロパティ][アクセス] タブにある [接続] ボタンで構成される SMTP 仮想サーバーの IP 制限と比較して確認されます。
    • 接続元の IP アドレスが制限されている IP の一覧に記載されている場合、接続は直ちに切断されます。
    • 接続元の IP アドレスが制限されている IP の一覧に記載されていない場合、接続は許可されます。
  3. SMTP クライアントが、EHLO コマンドまたは HELO コマンドを発行します。
  4. SMTP クライアントが、次のような MAIL FROM: コマンドを発行します。
    MAIL FROM: ted@contoso.com
  5. SMTP クライアントの IP アドレスが、Exchange システム マネージャの [メッセージ配信のプロパティ] ダイアログ ボックスの [接続フィルタ] タブで構成されるグローバル許可一覧と比較して確認されます。
    • 接続元の IP アドレスがグローバル許可一覧に記載されている場合、グローバル拒否一覧は確認されません。処理から、手順 6. と 7. が省略されます。
    • 接続元の IP アドレスがグローバル許可一覧に記載されていない場合は、手順 6. と 7. が実行されます。
  6. SMTP クライアントの IP アドレスが、Exchange システム マネージャの [メッセージ配信のプロパティ] ダイアログ ボックスの [接続フィルタ] タブで構成されるグローバル拒否一覧と比較して確認されます。
    • SMTP クライアントの IP アドレスがグローバル拒否一覧に記載されている場合、接続は拒否されます。
    • SMTP クライアントの IP アドレスがグローバル拒否一覧に記載されていない場合、セッションは続行されます。
  7. 送信者のフィルタが、MAIL FROM コマンドで指定された送信者を、Exchange システム マネージャの [メッセージ配信のプロパティ] ダイアログ ボックスの [送信者のフィルタ] タブで構成される、ブロックされる送信者の一覧と比較して確認します。
    • 送信者がブロックされる送信者の一覧に記載されている場合は、送信者のフィルタの構成方法に応じて、次の 2 つのいずれかの処理が実行されます。
      - 送信者のフィルタが接続を切断するように構成されている場合、接続は切断されます。
      - 送信者のフィルタが送信者に通知せずにメッセージを受け付けるように構成されている場合、セッションは続行されます。ただし、メールは不正メール ディレクトリに送信され、意図された受信者には配信されません。
    • 送信者が送信者のフィルタの一覧に記載されていない場合、SMTP 仮想サーバーは次のような応答を発行します。
      250 2.1.0 ted@contoso.com...Sender OK
  8. 接続している SMTP サーバーが、次のような RCPT TO コマンドを発行します。
    RCPT TO: kim@example.com
  9. 接続フィルタ処理のルールが、接続元の IP アドレスをブロック リスト サービス プロバイダによって提供されるブロック リストと比較して確認します。
    • SMTP クライアントの IP アドレスが許可一覧に記載されている場合、接続フィルタの処理ルールは無視されます。プロセスが手順 10. に進みます。
    • 接続フィルタが、接続フィルタに構成されている順番で各サービス プロバイダのブロック リストを確認します。接続フィルタがプロバイダのブロック リストから一致するものを発見した場合、SMTP 仮想サーバーによりエラー コードが返され、接続フィルタ処理のルールに構成されているカスタムのエラー メッセージが送信されます。一致が見つかった後は、他のサービス プロバイダの一覧は確認されません。
    • SMTP クライアントの IP アドレスがブロック リスト サービス プロバイダのブロック リストに記載されていない場合、セッションは続行されます。
  10. 接続フィルタが、接続フィルタの例外一覧に、指定された受信者が記載されているかどうかを確認します。
    • 受信者が一覧に記載されている場合、通信は許可され、RCPT TO コマンドに対して他の確認は適用されません。処理から手順 11. と 12. が省略され、手順 13. に進みます。
    • 受信者が例外一覧に記載されていない場合は、他のフィルタに対して受信者が確認されます。
  11. 受信者が接続フィルタ内で構成された例外一覧に記載されていない場合、受信者は、受信者のフィルタ内で構成されているすべてのブロックされる受信者と比較して確認されます。
    • 受信者がブロックされる受信者の場合、SMTP 仮想サーバーは無効な受信者エラーを返します。
    • 受信者がブロックされる受信者ではない場合は、セッションが続行されます。
  12. 受信者がブロックされる受信者ではない場合、指定された受信者が Active Directory 内に存在していることを確認するために Active Directory が調べられます。
    • 指定された受信者が Active Directory 内に存在する有効な受信者ではない場合、SMTP 仮想サーバーは無効な受信者エラーを返します。
    • 受信者が Active Directory 内に存在する有効な受信者の場合、セッションが続行されます。
  13. RCPT TO コマンドで指定されているその他の各受信者について、手順 10. から 12. が適用されます。
  14. 接続しているサーバーが、次のような DATA コマンドを発行します。
    DATA
    To: Kim Akers
    From: ted@contoso.com<Ted Bremer>
    Subject: Mail Message
  15. 次に、送信者のフィルタが、From で指定されたアドレスがブロックされる送信者と一致しないことを確認します。
    • DATA コマンドで指定された送信者がブロックされる送信者の場合は、次の 2 つのいずれかの処理が実行されます。
      - 送信者のフィルタが接続を切断するように構成されている場合は、SMTP 仮想サーバーが 5.1.0 "Sender Denied" エラーを返し、接続を切断します。
      - 送信者のフィルタが送信者に通知せずにメッセージを受け付けるように構成されている場合、セッションは続行されます。ただし、メールは不正メール ディレクトリに送信され、意図された受信者には配信されません。
    • DATA コマンドで指定された送信者がブロックされる送信者ではない場合、メッセージは受け付けられ、配信のためにキューに入れられます。

スプーフィング (なりすまし) されたメールの特定

スプーフィングされたメールを特定する方法をユーザーを指導できます。Exchange 2000 とは異なり、Exchange 2003 の既定の構成では、匿名の電子メール メッセージが表示名に解決されることはありません。したがって、メールが偽造したアドレスから送信されている場合、Exchange 2003 は送信者の電子メール アドレスをグローバル アドレス一覧の表示名に解決しません。

Exchange 2003 がスプーフィングを防止する方法について理解するため、Ted Bremer という内部ユーザーがいて、このユーザーが、ドメイン example.com を使って内部からメールを送信したと想定します。送信された電子メール メッセージでは、このユーザーの送信アドレスとして Ted Bremer が表示されています。Ted Bremer は、Active Directory で ted@example.com に対して構成されている表示名です (これは、Ted Bremer がメールを送信し、このユーザーが認証ユーザーであるためです)。Exchange は、Ted Bremer の資格情報に送信者アクセス許可が構成されていることを確認すると、Ted Bremer の電子メール アドレスを Active Directory で構成されている Ted Bremer の表示名に解決します。スプーフィングは、権限のないユーザーが Ted のアドレスを偽造して Ted になりすまし、ドメイン内の他のユーザーにメールを送信する場合に発生します。

Exchange 2003 では、外部から発信された電子メール アドレスは解決されません。したがって、匿名ユーザーが Ted の ID をスプーフィングしたメールを送信しようとしても、Exchange は [差出人] 行の送信アドレスを表示名には解決しません。代わりに、電子メールの [差出人] 行には ted@example.com が表示されます。ユーザーがこの違いを理解している場合は、ユーザーは少なくともスプーフィングされたメールを特定することができます。

ただし、Exchange 2000 サーバーの既定では、匿名の電子メールが解決されます。組織に Exchange 2000 サーバーがあり、これらのサーバーが匿名電子メール メッセージを解決して、Exchange 2003 サーバーに送信した場合、アドレスは GAL の表示名に解決されてしまいます。これを防ぐには、Exchange 2000 サーバーが匿名メールを解決しないように構成します。

詳細な手順については、「Exchange 2003 が匿名メールを解決しないように構成されていることを確認する方法」と「Exchange 2000 が外部電子メール アドレスを解決しないように構成する方法」を参照してください。