スパム対策およびウイルス対策機能について

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

スパム発信者または悪意のある送信者は、さまざまな手法を使用して組織にスパムを送信します。単一のツールやプロセスですべてのスパムを排除することは不可能です。Microsoft Exchange Server 2010 は Exchange Server 2007 を基盤として構築されており、スパムやウイルスを減らすため、さまざまな角度から階層的かつ多面的対策が講じられています。たとえば、Exchange 2010 組織に侵入するウイルスの量を減らすために、累積的に機能するように設計されたスパム対策およびウイルス対策の機能が多数組み込まれています。

組織に侵入するスパムの全体的な量を減らすことができれば、ウイルスの発生や悪意のソフトウェア (マルウェアとも呼ばれます) による攻撃も減らすことができます。エッジ トランスポート サーバーの役割がインストールされているコンピューターでスパムの大部分を排除すると、メール フローのパスに沿ってウイルスやその他のマルウェアがないかメッセージをスキャンする際に処理リソース、帯域幅、および記憶域を削減できます。

スパム削減のための階層化アプローチとは、受信メッセージに特定の順序でフィルターを適用する、いくつかのスパム対策およびウイルス対策の機能の構成を指します。各機能は、受信メッセージに対して特定の性質または関連する性質のフィルターを適用します。

以下では、既定のスパム対策およびウイルス対策の各機能について簡単に説明します。

トランスポート サーバーの管理に関連する管理タスクについては、「トランスポート サーバーの管理」を参照してください。

目次

スパム対策およびウイルス対策のフィルター

スパム対策スタンプ

Microsoft Update for Anti-Spam サービス

Exchange Hosted Services の使用

スパム対策方式の戦略

スパム対策およびウイルス対策のフィルター

スパム対策およびウイルス対策のフィルターは、一定の順序で適用されます。詳細については、「スパム対策およびウイルス対策のメール フローについて」を参照してください。次の順序が適用されます。

  1. 接続フィルター    メッセージを送信しようとしているリモート サーバーの IP アドレスを検査し、受信メッセージに対して行う処理を決定します。リモート IP アドレスは、SMTP セッションに必要な、基になる TCP/IP 接続の副産物として、接続フィルター エージェントから使用できます。接続フィルターは各種の IP 禁止一覧、IP 許可一覧、および IP 禁止一覧プロバイダー サービスや IP 許可一覧プロバイダー サービスを使用して、組織で特定の IP からの接続を禁止するか、または許可するかを決定します。

  2. 送信者フィルター   MAIL FROM:SMTP コマンドの送信者を、組織にメッセージを送信することが禁止されている対象として管理者が定義した送信者一覧、または送信者ドメイン一覧と比較し、受信メッセージに対して行う処理を決定します。

  3. 受信者フィルター   RCPT TO:SMTP コマンドに含まれているメッセージの受信者を、管理者が定義した受信者禁止一覧と比較します。一致が見つかると、このメッセージが組織に入ることは許可されません。また、受信者フィルターは、受信メッセージの受信者をローカル受信者のディレクトリと比較し、メッセージが有効な受信者に宛てられたものかどうかを判断します。メッセージが有効な受信者に宛てられたものでない場合、メッセージを組織のネットワーク境界で拒否できます。

  4. Sender ID   Sender ID は、送信側サーバーの IP アドレスと送信者の PRA (Purported Responsible Address) を使用して、送信者がスプーフィングされているかどうかを判断します。PRA は、以下のメッセージ ヘッダーに基づいて計算されます。

    • Resent-Sender:

    • Resent-From:

    • Sender:

    • From:

    PRA の詳細については、「送信者 ID について」および RFC 4407 を参照してください。

  5. コンテンツ フィルター   Microsoft SmartScreen テクノロジを使用してメッセージのコンテンツにアクセスします。インテリジェント メッセージ フィルターは、Exchange コンテンツ フィルターの基礎となるテクノロジです。インテリジェント メッセージ フィルターは、Microsoft Research が開発した特許取得済みのマシン学習テクノロジに基づいています。インテリジェント メッセージ フィルターは、その開発過程において、正当な電子メール メッセージとスパムの特性から、それらを区別する方法を学習しました。Microsoft Exchange Anti-spam Update サービスを使用して定期的に更新を行うことによって、インテリジェント メッセージ フィルターの実行時に、常に最新の情報が含まれていることを保証できます。実際に受け取った数 100 万通に及ぶメッセージの特性を基に、インテリジェント メッセージ フィルターは、正当なメッセージを示す指標とスパム メッセージを示す指標のそれぞれを認識します。これにより、受信電子メール メッセージが正当なメッセージであるかスパムであるかを正確に評価できます。

    スパム検疫は、正当なメッセージが誤ってスパムに分類され、消失する危険を減らすためのコンテンツ フィルター エージェントの機能です。スパム検疫は、スパムと識別され、組織内のユーザーのメールボックスに配信されないようにする必要があるメッセージの一時的な格納場所を提供します。

    また、コンテンツ フィルターは、セーフ リスト集約機能に基づいて動作します。セーフ リスト集約機能は、Microsoft Outlook および Outlook Web App ユーザーが構成するスパム対策のセーフ リストからデータを収集し、Exchange 2010 にインストールされたエッジ トランスポート サーバーの役割を持つコンピューター上で、コンテンツ フィルター エージェントがこのデータを利用できるようにします。

    Exchange 管理者がセーフ リスト集約機能を有効にして正しく構成すると、コンテンツ フィルター エージェントは、エンタープライズ メールボックスに追加処理なしで安全な電子メール メッセージを渡します。Outlook 差出人セーフ リストにユーザーが追加している連絡先、または信頼している連絡先から Outlook ユーザーが受信した電子メール メッセージは、コンテンツ フィルター エージェントによって安全であると識別されます。その結果、安全であると識別されたメッセージが、スパムに分類され意図せずにメッセージング システムのフィルターによって除外されることが防止されます。

  6. 送信者評価   送信元のサーバーの IP アドレスに関して保持されているデータを使用して、受信メッセージに対して行う処理を決定します。プロトコル分析エージェントは、送信者評価機能を実装するための基礎となるエージェントです。送信者評価レベル (SRL) は、メッセージの分析や外部のテストから得られるいくつかの送信者の特性から計算されます。

    SRL が構成可能なしきい値を超過した送信者は、一時的にブロックされます。その送信者による以後の接続は、最大 48 時間拒否されます。

    ローカルで計算された IP 評価に加え、Exchange 2010 は、Microsoft Update から入手可能な IP 評価スパム対策更新プログラムも利用します。これは、スパムを送信することが知られている IP アドレスに関する送信者評価情報を提供するものです。

  7. **添付ファイル フィルター   **添付ファイル名、ファイル名の拡張子、またはファイルの MIME コンテンツの種類に基づいてフィルターを適用します。添付ファイル フィルターを構成すると、メッセージと添付ファイルをブロックしたり、添付ファイルを削除してからメッセージを通過させたり、またはメッセージと添付ファイルを警告なしに削除したりすることができます。

  8. **Microsoft Forefront Protection 2010 for Exchange Server   **Forefront Protection 2010 for Exchange Server (FPE) は、Exchange 2010 と密に統合されたウイルス対策ソフトウェア パッケージであり、Exchange 環境に対してウイルス対策保護を提供します。 FPE によって提供されるウイルス対策保護は言語に依存しません。ただし、セットアップ、製品の管理、およびエンド ユーザーに対する通知は 11 のサーバー言語で利用できます。詳細については、「Microsoft のサービスについてのページ」を参照してください (このサイトは英語の場合があります)。

  9. Outlook 迷惑メールのフィルター処理   Outlook 迷惑メールのフィルターは、最新のテクノロジを使用し、メッセージが送信された時刻、メッセージの内容と構造、Exchange Server スパム対策フィルターで収集されたメタデータなど、複数の要因に基づいて、メッセージを迷惑メール メッセージとして扱うかどうかを評価します。このフィルターによって捕獲されたメッセージは、特別な迷惑メール フォルダーに移動され、受信者は後でその内容を確認できます。

ページのトップへ

スパム対策スタンプ

スパム対策スタンプは、スパムに関連する問題を診断するのに役立ちます。この機能は、インターネットからの受信メッセージをフィルタリングするためのスパム対策機能をメッセージが通過するとき、送信者固有の情報、パズル検証の結果、コンテンツ フィルターの結果などの診断メタデータ (スタンプ) を適用することによって、実行されます。これらのスタンプは、エンド ユーザーのメール クライアントから参照でき、送信者固有の情報、スパム フィルター定義ファイルのバージョン、Outlook パズル検証の結果、およびコンテンツ フィルターの結果がエンコードされます。

ページのトップへ

Microsoft Update for Anti-Spam サービス

Exchange 2010 では、実績のある Microsoft Update インフラストラクチャを活用して、スパム対策コンポーネントを最新の状態に保つ追加サービスが提供されます。

Microsoft Exchange 2010 Standard のスパム対策フィルターの更新では、スパム対策更新プログラムが、Microsoft Update を介して 2 週間ごとに提供されます。

Forefront Security for Exchange Server スパム対策更新サービスは、Microsoft Update をとおしてコンテンツ フィルターを毎日更新するプレミアム サービスです。さらに、このプレミアム サービスにはスパム対策署名および IP 評価サービスの更新も含まれており、必要に応じて 1 日に何回も利用できます。スパム署名の更新により、最新のスパム活動が識別されます。IP 評価サービスの更新は、スパムを送信することが知られている IP アドレスについての送信者評価情報を提供します。

注意

プレミアム サービスを使用するには、Exchange Enterprise クライアント アクセス ライセンス (CAL) が必要です。

ページのトップへ

Exchange Hosted Services の使用

スパム フィルターは Microsoft Exchange Hosted Services によって拡張され、またはこのサービスとして利用できます。

Exchange Hosted Services は、次の 4 つの個別のホスト サービスで構成されています。

  • Hosted Filtering は、メールから感染するマルウェアから組織を保護します

  • Hosted Archive は、規制準拠のための保存要件に対応するために役立ちます

  • Hosted Encryption は、データを暗号化して機密を保持します

  • Hosted Continuity は、緊急事態が発生したときやその直後にメールへのアクセス状態を維持するために役立ちます

これらのサービスは、社内で管理されているオンプレミスの Exchange サーバーや、サービス プロバイダーを通じて提供される Hosted Exchange メール サービスと統合することができます。Exchange Hosted Services の詳細については、「Microsoft Exchange Hosted Services」を参照してください (このサイトは英語の場合があります)。

ページのトップへ

スパム対策方式の戦略

スパム対策機能の構成方法およびスパム対策エージェントの厳密さの設定方法に関する戦略では、慎重な計画と計算が必要になります。すべてのスパム対策フィルターを最高レベルに設定し、疑わしいメッセージをすべて拒否するように構成すると、スパムではないメッセージも拒否される可能性があります。一方、スパム対策フィルターの設定が十分なレベルでなく、SCL (Spam Confidence Level) しきい値の設定があまり低くない場合は、組織に侵入するスパムの量が減らない可能性があります。

Exchange が接続フィルター エージェント、受信者フィルター エージェント、または送信者フィルター エージェントによって悪質なメッセージを検出した場合は、メッセージを拒否することをお勧めします。これは、メッセージの検疫、またはメッセージに対してスパム対策スタンプなどメタデータの割り当てを行うよりも優れた方法です。接続フィルター エージェントと受信者フィルター エージェントでは、それぞれのフィルターによって識別されるメッセージを自動的にブロックします。送信者フィルター エージェントは構成可能です。

このベスト プラクティスが推奨されるのは、接続フィルター、受信者フィルター、または送信者フィルターの基本となる SCL が比較的高いためです。たとえば、管理者が特定の送信者をブロックするように構成する送信者フィルターでは、これらのメッセージに送信者フィルターのデータを割り当てて、処理を続行する必要がありません。ほとんどの組織では、ブロックされたメッセージは拒否されます(メッセージを拒否したくなければ、受信拒否リストに載せていません)。

同じロジックがリアルタイム ブロック リスト サービスや受信者フィルターにも適用されますが、基本的な信頼度は IP 禁止一覧ほど高くありません。メッセージがメール フローに沿って先へ進むほど、誤ってスパムと判断される可能性が高くなります。これは、スパム対策機能がさらに多くの変数を評価しているためです。したがって、スパム対策チェーンにおける最初のいくつかのスパム対策機能の構成をより厳しくすると、スパムの大部分を減らすことができます。その結果、処理リソース、帯域幅リソース、およびディスク リソースを節約して、不明確なメッセージをさらに処理することができます。

最終的には、スパム対策機能の全体的な効果を監視するように計画する必要があります。慎重な監視を行うと、スパム対策機能を調整し、環境に応じた適切な運用を継続させることができます。この方法を利用する場合、開始時にはスパム対策機能についてかなり緩やかな構成を計画してください。誤ってスパムと判断される件数を最小限に抑えることができます。スパム対策機能を監視して調整していくと、組織で発生するスパムやスパム攻撃の種類についてさらに厳密に対応できるようになります。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.