スパム対策保護
製品: Exchange Server 2013
スパム発信者または悪意のある送信者は、さまざまな手法を使用して組織に迷惑メールを送信します。 単一のツールやプロセスですべてのスパムを排除することは不可能です。 ただし、Microsoft Exchange Server 2013 では、これらの不要なメッセージを削減するための階層化、マルチプロンジド、および多面的なアプローチが提供されます。 Exchange ではトランスポート エージェントを使用してスパム対策保護を提供し、Exchange 2013 で使用できる組み込みエージェントは、2010 年Microsoft Exchange Serverから比較的変更されません。
スパム対策機能を強化し、管理を容易にするには、Microsoft Exchange Online Protection (EOP) を購入することを選択できます。 EOP と Exchange 2013 の機能の比較については、「Exchange Server 2013 以降のExchange Online Protectionのスパム対策機能の利点」を参照してください。 Microsoft 365 またはOffice 365スパム対策保護の詳細については、「EOP でのスパム対策保護」を参照してください。
Exchange 2013 の組み込みのマルウェア対策機能の詳細については、「 マルウェア対策の保護」を参照してください。
メールボックス サーバー上にスパム対策エージェント
通常、組織にエッジ トランスポート サーバーがない場合、または受信メッセージを受け入れる前にスパム対策フィルター処理を行っていない場合は、メールボックス サーバーでスパム対策エージェントを有効にします。 詳細については、「メールボックス サーバーのスパム対策機能を有効にする」を参照してください。
すべてのトランスポート エージェントと同様に、各スパム対策エージェントには優先順位の値が割り当てられます。 値が小さいほど優先度が高いことを示します。通常、優先度 1 のスパム対策エージェントは、優先度 9 のスパム対策エージェントの前にメッセージに対して動作します。 ただし、スパム対策エージェントが登録されている SMTP イベントは、スパム対策エージェントがメッセージに対して動作する順序を決定する際にも非常に重要です。 トランスポート パイプラインの早い段階で SMTP イベントに登録されている低優先度のスパム対策エージェントは、トランスポート パイプラインの後半で SMTP イベントに登録される優先度の高いスパム対策エージェントの前にメッセージに対して動作します。
スパム対策エージェントの既定の優先度値と、スパム対策エージェントが登録されているトランスポート パイプラインの SMTP イベントに基づいて、次の一覧では、エージェントと、メールボックス サーバー上のメッセージに適用される既定の順序について説明します。
送信者フィルター エージェント: 送信者フィルター処理は、MAIL FROM: SMTP コマンドの送信者を、組織にメッセージを送信することを禁止されている送信者または送信者ドメインの管理者定義のリストと比較して、受信メッセージに対して実行するアクション (存在する場合) を決定します。 詳細については、「 送信者フィルター」を参照してください。
送信者 ID エージェント: 送信者 ID は、送信側サーバーの IP アドレスと送信者の Purported Responsible Address (PRA) に依存して、送信者がスプーフィングされているかどうかを判断します。 詳細については、「 Sender ID」を参照してください。
コンテンツ フィルター エージェント: コンテンツ フィルター処理は、メッセージの内容を評価します。 詳細については、「コンテンツ フィルター」を参照してください。
スパム検疫は、コンテンツ フィルター エージェントの機能であり、誤ってスパムとして分類されている正当なメッセージを失うリスクを軽減します。 スパム検疫は、スパムと識別され、組織内のユーザーのメールボックスに配信されないようにする必要があるメッセージの一時的な格納場所を提供します。 詳しくは、「スパム検疫」をご覧ください。
コンテンツ フィルタリングは、セーフリスト集計機能にも機能します。 セーフリスト集計は、Microsoft Outlook および Outlook Web App ユーザーが構成したスパム対策セーフ リストからデータを収集し、このデータをコンテンツ フィルター エージェントで使用できるようにします。 詳細については、「 セーフリスト集約機能」を参照してください。
プロトコル分析エージェント: プロトコル分析エージェントは、送信者の評判機能を実装する基になるエージェントです。 送信者の評判は、送信サーバーの IP アドレスに関する永続化されたデータに依存して、受信メッセージに対して実行するアクション (存在する場合) を決定します。 送信者評判レベル (SRL) は、メッセージ分析と外部テストから派生した複数の送信者特性から計算されます。 詳細については、「送信者評価とプロトコル分析エージェント」をご覧ください。
エッジ トランスポート サーバーにスパム対策エージェント
組織に境界ネットワークにエッジ トランスポート サーバーがインストールされている場合、メールボックス サーバーで使用できるスパム対策エージェントはすべて、エッジ トランスポート サーバーに既定でインストールされ、有効になっています。 ただし、次のスパム対策エージェントは、エッジ トランスポート サーバーでのみ使用できます。
接続フィルター エージェント: 接続フィルターは、メッセージを送信しようとしているリモート サーバーの IP アドレスを検査して、受信メッセージに対して実行するアクション (存在する場合) を判断します。 接続フィルター処理では、IP ブロック リスト、IP 許可リスト、IP ブロック リスト プロバイダー サービス、IP 許可リスト プロバイダー サービスを使用して、接続 IP をブロックするか許可するかを決定します。 詳細については、「 エッジ トランスポート サーバー上での接続フィルター処理」を参照してください。
受信者フィルター エージェント: 受信者フィルター処理は、RCPT TO: SMTP コマンドのメッセージ受信者を管理者定義の受信者ブロック リストと比較します。 一致するものが見つかった場合、メッセージは組織に入ることはできません。 また、受信者フィルターは、受信メッセージの受信者をローカル受信者ディレクトリと比較して、メッセージが有効な受信者にアドレス指定されているかどうかを判断します。 メッセージが有効な受信者にアドレス指定されていない場合、メッセージは拒否されます。 詳細については、「 エッジ トランスポート サーバー上での受信者フィルター処理」を参照してください。
注:
メールボックス サーバー上で受信者フィルター エージェントを利用することは可能ですが、それは設定しないようにしてください。 メールボックス サーバー上の受信者フィルターによってメッセージ中に無効な、またはブロックされている受信者が検出された場合、他の有効な受信者がそのメッセージに含まれていても、メッセージは拒否されます。 メールボックス サーバー上にスパム対策エージェントをインストールすると、既定の動作として受信者フィルター エージェントが有効になります。 しかし、その時点ではどの受信者も禁止しない構成になっています。
添付ファイル フィルター エージェント: 添付ファイルのフィルター処理は、添付ファイル名、ファイル名拡張子、またはファイル MIME コンテンツ タイプに基づいてメッセージをブロックします。 添付ファイルのフィルター処理を構成して、メッセージとその添付ファイルをブロックしたり、添付ファイルを削除したり、メッセージのパススルーを許可したり、メッセージとその添付ファイルをサイレント に削除したりできます。 詳細については、「エッジ トランスポート サーバーでの添付ファイル フィルター処理」を参照してください。
スパム対策エージェントの既定の優先度値と、スパム対策エージェントが登録されているトランスポート パイプラインの SMTP イベントに基づいて、スパム対策エージェントがエッジ トランスポート サーバーに適用される既定の順序は次のとおりです。
接続フィルター エージェント
送信者フィルター エージェント
受信者フィルター エージェント
Sender ID エージェント
コンテンツ フィルター エージェント
送信者評価用のプロトコル分析エージェント
添付ファイル フィルター エージェント
スパム対策スタンプ
スパム対策スタンプは、インターネットからの受信メッセージをフィルター処理するスパム対策機能を通過するメッセージに、診断メタデータ、送信者固有の情報、パズル検証結果、コンテンツ フィルタリング結果などのスタンプを適用することで、スパム関連の問題を診断するのに役立ちます。 詳細については、「スパム対策スタンプ」を参照してください。
スパム対策アプローチの戦略
スパム対策機能を構成し、スパム対策エージェント設定の積極的性を確立する方法については、慎重に計画して計算する必要があります。 すべてのスパム対策フィルターを最も積極的なレベルに設定し、すべての不審なメッセージを拒否するようにすべてのスパム対策機能を構成すると、スパムではないメッセージを拒否する可能性が高くなります。 一方、スパム対策フィルターを十分に積極的なレベルに設定せず、スパム信頼レベル (SCL) のしきい値を十分に低く設定していない場合、組織に入るスパムの減少は表示されません。
Exchange が接続フィルター エージェント、受信者フィルター エージェント、または送信者フィルター エージェントを介して不適切なメッセージを検出した場合は、メッセージを拒否することをお勧めします。 この方法は、このようなメッセージを検疫したり、スパム対策スタンプなどのメタデータをそのようなメッセージに割り当てたりするよりも優れています。 接続フィルター エージェントと受信者フィルター エージェントは、それぞれのフィルターによって識別されるメッセージを自動的にブロックします。 送信者フィルター エージェントは構成可能です。
接続フィルター処理、受信者フィルター処理、または送信者フィルター処理の基礎となる SCL が比較的高いため、このベスト プラクティスをお勧めします。 たとえば、管理者が特定の送信者をブロックするように構成した送信者フィルター処理では、送信者フィルター 処理データをそのようなメッセージに割り当てて処理を続行する理由はありません。 ほとんどの組織では、ブロックされたメッセージは拒否する必要があります。 (メッセージを拒否したくない場合は、受信拒否リストにメッセージを配置していません)。
基になる信頼度は IP ブロック リストほど高くありませんが、リアルタイム ブロック リスト サービスと受信者フィルター処理にも同じロジックが適用されます。 スパム対策機能によってより多くの変数が評価されるため、メッセージが移動するメール フロー パスに沿って進むほど、誤検知の確率が高くなることに注意する必要があります。 そのため、スパム対策チェーンの最初のいくつかのスパム対策機能をより積極的に構成すると、スパムの大部分を減らすことができます。 その結果、処理、帯域幅、ディスク リソースを保存して、よりあいまいなメッセージを処理できるようになります。
最終的には、スパム対策機能の全体的な有効性を監視する計画を立てる必要があります。 注意深く監視する場合は、引き続きスパム対策機能を調整して、環境に合わせて連携させることができます。 この方法では、開始時に、スパム対策機能のかなり積極的でない構成を計画する必要があります。 この方法では、誤検知の数を最小限に抑えることができます。 スパム対策機能を監視して調整すると、組織で発生するスパム攻撃やスパム攻撃の種類に対してより積極的になる可能性があります。