FOPE の構成のベスト プラクティス

適用対象: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Forefront Online Protection for Exchange (FOPE) サービスを最大限に利用し、可能な限り円滑に実行するために役立つ情報を以下に示します。このトピックで説明するオプションの構成方法に関するビデオを見るには、「Forefront Online Protection for Exchange の構成のベスト プラクティス」(英語のみ) を参照してください。

ディレクトリ同期ツール

無償で提供されているディレクトリ同期ツールは、社内の Active Directory と FOPE および Exchange Hosted Archive サービスの間で、有効なエンドユーザー プロキシ アドレス (および使用可能な場合は差出人セーフ リスト) を安全かつ自動的に同期するための適切な方法です。ディレクトリ同期ツールは、https://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en にあります。

ディレクトリ同期ツール (DST) をダウンロードした後、ユーザー (および各ユーザーの電子メール アドレス) の一覧を DST 経由で Hosted Services ネットワークにアップロードできます。その後、アップロードしたユーザーの一覧を使用して、ディレクトリベースのエッジ ブロック (ドメインのディレクトリベースのエッジ ブロックを拒否モードに設定)、検疫アクセス、またはアーカイブ サービスを実行できます。

会社に Microsoft Windows Active Directory 環境がない場合は、ユーザー リストのソースを [Admin Center] または [安全な FTP] (ユーザー リストをアップロードするための代替オプション) に設定できます。

FOPE の DST の概念の概説、インストール手順、サポート情報などの詳細については、「ディレクトリ同期ツール」を参照してください。

SPF レコードの設定

SPF は、送信元ホストを検証するメカニズムを提供することによって、電子メール メッセージの送信時にドメイン名を不正に使用する "スプーフィング" とも呼ばれる手法を防ぐために利用されます。SPF レコードの設定を構成する場合は、次のヒントを参考にしてください。

1. フィルター ネットワーク経由でメッセージを送信するドメインの場合は、SPF レコードに "spf.messaging.microsoft.com" および送信メール サーバーの個別の IP アドレスを含めることができます。SPF は、送信元ホストを検証するメカニズムを提供することによって、電子メール メッセージの送信時にドメイン名を不正に使用する "スプーフィング" とも呼ばれる手法を防ぐために利用されます。

   重要

   ここで説明する手順は、フィルター ネットワークを経由して電子メールを送信するドメインにのみ有効です。

2. SPF は、特定の IP アドレスに特定のドメインへのメール送信が許可されていることを確認するために使用されるので、フィルター ネットワークの送信 IP アドレスを SPF レコードに含める必要があります。IP のセット全体を追加するには、SPF レコードで "include:spf.messaging.microsoft.com" ステートメントを使用するのが最も簡単です。

3. さらに、送信メール サーバーの IP アドレスをすべて指定できます。これらの IP アドレスは、他の FOPE のクライアントへのメール配信を保証するために必要です。各 IP アドレスは、ip4: ステートメントを使用して追加する必要があります。たとえば、承認された送信元 IP として "127.0.0.1" を含めるには、SPF レコードに "ip4:127.0.0.1" を追加します。承認済みの IP がすべてわかっている場合は、–all (Fail) 修飾子を使用してそれらを追加する必要があります。すべての IP を網羅しているかどうか確信がない場合は、~all (SoftFail) 修飾子を使用する必要があります。

   例:

   Contoso.com の 3 つの送信メール サーバー	127.0.0.1 127.0.0.2 127.0.0.3
   Contoso の元の SPF レコード	"v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"
   FOPE 経由でメールがルーティングされた後の Contoso の SPF レコード	"v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

ネットワーク接続の設定

Hosted Filtering サービスに円滑および継続的にデータを転送するためのヒントを次に示します。

• SMTP サーバーの設定で接続タイムアウトを 60 秒に構成します。

• Hosted Filtering サービスで使用される IP アドレスからの受信 SMTP 接続のみを許可するようにファイアウォール ルールが制限されている場合は、最適なサービスからの同時受信接続の最大数を受け入れるように SMTP サーバーを構成することをお勧めします。

• サーバーが Hosted Filtering サービス経由で電子メールを送信する場合は、1 回の接続につき送信できるメッセージの数を 50 件未満に制限し、50 未満の同時接続数を使用するようにサーバーを構成することをお勧めします。通常は、これらの設定によって、サーバーからサービスへのデータの転送が円滑および継続的に行われます。

セキュリティ

IP による制限

サブスクライブ済みサービスへのアクセスを、指定された IP アドレスから Web サイトに接続しているユーザーだけに許可するように制限できます。この構成では、その他の IP アドレスからのアクセスは許可されず、承認されていないアクセスが行われる可能性を最小限に抑えることができます。IP による制限の設定は、企業のスコープ、ドメインのスコープ、およびユーザーのスコープで行うことができます。

パスワード ポリシー

常に、すべてのアカウント (特に管理者アカウント) について、強力なパスワードを使用してください。強力なパスワードを作成するには、次のガイドラインに従います。

• 英字の大文字と小文字、数字、および特殊文字 (?、!、@、$) を使用します。

• パスワードに有効期限 (3 か月、4 か月、6 か月など) を設定します。

追加のスパム フィルターのオプション

追加のスパム フィルター (ASF) のオプションを使用することもできます。既定では、次の起こりうる例外を除いて、すべての ASF オプションをオフにすることを推奨します。

• リモート サイトへのイメージ リンク — この設定は、スパムの性質を有するコンテンツを含む、多数のマーケティング電子メール、広告、またはニュースレターを受信するユーザーに推奨されます。

• SPF レコードの恒久エラー — この設定は、フィッシング メッセージを受け取ることを懸念している組織に推奨されます。

• 差出人アドレスの認証 — フィッシングを懸念している組織、特にその組織のユーザーが偽装されている場合は、この設定をオンにすることを推奨します。ただし、既定でこのオプションをオンにするよりも、スパムの増加に応じてユーザーが自身でこのオプションをオンにすることを一般的に推奨します。

ASF オプションおよびその他の詳細については、「追加のスパム フィルターのオプションの構成」を参照してください。

誤検知報告

誤検知として送信されるメッセージの大部分は、フィルター処理が正確に行われたスパム メッセージではありますが、目的の受信者が必要とするメッセージです。

管理者は、誤検知として Hosted Filtering サービスに報告されるメッセージの種類と数を確認するため、確認用のメッセージのコピーが送信されるように、スパム フィルターの誤検知報告コピー機能を構成する必要があります。

誤検知のメッセージを送信する際は、メッセージ全体およびすべてのインターネット ヘッダーを false_positive メールボックスに転送する必要があります。

ポリシー フィルター

ポリシー ルール

スパム フィルターとウイルス フィルターに加えて、FOPE 管理センターのポリシー ルールを使用すると、カスタマイズ可能なフィルター ルールを構成することにより、特定の企業ポリシーを適用することができます。Hosted Filtering サービスでメッセージを処理するときに、メッセージを識別して特定のアクションを実行するためのルール セットを作成できます。たとえば、件名フィールドに特定の単語または語句を含む受信メールをすべて拒否するポリシー ルールを作成できます。また、ポリシー ルール フィルターを使用すると、1 つのファイル (辞書) をアップロードすることにより、複数のポリシー ルール用の値の大規模なリスト (電子メール アドレス、ドメイン、キーワードなど) を追加および管理できます。

次に示すさまざまな電子メール一致条件についてポリシー ルールを構成できます。

• ヘッダー フィールドの名前と値

• 送信者の IP アドレス、ドメイン、および電子メール アドレス

• 受信者のドメインと電子メール アドレス

• 添付ファイルの名前とファイル拡張子

• 電子メールの件名、本文、およびその他のメッセージのプロパティ (サイズ、受信者の数)

ポリシー ルールの詳細については、「ポリシー ルール」を参照してください。

フィッシングおよびスプーフィングの防止

ポリシー フィルターを使用すると、電子メール攻撃から企業のネットワークを守り、エンド ユーザーの機密情報を保護することができます。

組織から外部に送信される電子メール内の個人情報を検出することによって、追加のフィッシング対策を実施することができます。たとえば、次の正規表現を使用して、個人の財務に関するデータまたはプライバシーを侵害する可能性のある情報の送信を検出できます。

• \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)

• \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

• \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (任意の 16 桁の数字)

• \d\d\d\-\d\d\-\d\d\d\d (社会保障番号)

ユーザー自身のドメインから送信したように見える受信メールをブロックすることにより、スパムおよびフィシングを防ぐことができます。この種の送信者偽装をブロックするには、ユーザーの企業ドメインから同じ企業ドメイン yourdomain.com に送信されるメッセージに対して拒否ルールを作成します。

拡張子のブロック

ポリシー フィルターをさまざまな方法で使用して、電子メール攻撃から企業ネットワークを守り、エンド ユーザーの機密情報を保護することができます。

ファイル拡張子のブロックによって脅威を保護するには、次の点を考慮してください。少なくとも、EXE、PIF、SCR、VBS はブロックする必要があります。

保護を強化するために、次に示す拡張子の一部またはすべてをブロックすることをお勧めします。ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、exe、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、pif、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf、wsh

関連項目

概念

FOPE 管理センターへの最初のログオン

その他のリソース

ビデオ - Forefront Online Protection for Exchange の構成のベスト プラクティス