Share via

スパム対策およびウイルス対策のメール フローについて

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2009-01-22

スパム対策機能を実行している Microsoft Exchange サーバーに外部ユーザーから電子メール メッセージが送信されると、スパム対策機能によって受信メッセージの特性が累積的に評価され、スパムの疑いがあるメッセージをフィルタで排除するか、またはメッセージがスパムである確率に基づいたレベルをそのメッセージに割り当てます。このレベルは、SCL (Spam Confidence Level) レベルと呼ばれるメッセージ プロパティとしてメッセージに格納されます。他の Exchange サーバーにメッセージが送信されるときも、このレベルはメッセージと共に保持されます。

図 1 は、インターネットからの受信メッセージに対して、既定のスパム対策機能および Microsoft Forefront Security for Exchange Server がフィルタを適用する順序を示しています。既定では、スパム対策およびウイルス対策機能はこの順序で並べられています。フィルタの適用時に使用されるリソースが最も少ないフィルタが最初に適用され、使用されるリソースが最も多いフィルタが最後に適用されます。

note注 :
追加のスパム対策機能が今後利用できるようになる可能性があります。新しいスパム対策機能が開発されると、メール フロー全体に組み込まれます。また、次の図と説明では、受信メッセージを受け付ける最初の SMTP (簡易メール転送プロトコル) サーバーは Exchange Server 2007 エッジ トランスポート サーバーであると想定しています。一部の組織では、エッジ トランスポート サーバーは、サード パーティの SMTP サーバーの背後に展開される場合があります。サード パーティの SMTP ゲートウェイ サーバーの背後に Exchange 2007 エッジ トランスポート サーバーが展開されている場合、Exchange 2007 エッジ トランスポート サーバーで追加の構成が必要になります。具体的には、すべての SMTP ゲートウェイ サーバーが、TransportConfig オブジェクトの InternalSMTPServer プロパティに記載されていることを確認する必要があります。詳細については、「Set-TransportConfig」を参照してください。

スパム対策およびウイルス対策のフィルターの図

図 1 に示すように、エッジ トランスポート サーバーがインターネットに直接接続されている場合、各フィルタは次の順序で適用されます。

  • SMTP サーバーが Exchange 2007 に接続し、SMTP セッションを開始します。
  • 接続フィルタ
  • 送信者のフィルタ
  • 受信者のフィルタ
  • Sender ID フィルタ
  • コンテンツ フィルタ
  • 添付ファイル フィルタ
  • ウイルス対策スキャン
note注 :
図 1 にはこの詳細が示されていませんが、接続フィルタは 2 つの異なるイベント中に情報を収集します。接続フィルタが情報を収集する最初のイベントは図 1 に示されています。ここで、接続フィルタは接続から IP アドレス情報を収集します。接続フィルタによる 2 回目の情報収集は図 3 に示されています。このとき、送信者フィルタ エージェントは最初の外部 IP アドレスを判断するためにメッセージ ヘッダーを解析します。エージェントは複数のイベントを監視できます。図 1 はメッセージ フローを示すための図で、すべてのエージェントが有効になっている場合にエージェントが適用される大まかな順序を示しています。特定のイベントの詳細や、どのエージェントがどのイベントを監視するかについては、「トランスポート エージェントの概要」を参照してください。

接続フィルタ

SMTP セッション中に、Exchange 2007 が図 2 に示す条件を使用して接続フィルタを適用します。

接続フィルターの図

  1. 接続フィルタ エージェントが、管理者定義の IP 許可一覧を検査します。送信側サーバーの IP アドレスが管理者定義の IP 許可一覧に含まれている場合、そのメッセージは送信者のフィルタによって処理されます。
  2. 接続フィルタ エージェントが、ローカルの IP 禁止一覧を検査します。送信サーバーの IP アドレスがローカルの IP 禁止一覧に含まれている場合、そのメッセージは自動的に拒否されます。他のフィルタは適用されません。
  3. 接続フィルタ エージェントが、任意の IP 許可一覧プロバイダの許可された IP アドレスの一覧を検査します。送信側サーバーの IP アドレスが IP 許可一覧プロバイダの許可された IP アドレスの一覧に含まれている場合、そのメッセージは送信者のフィルタによって処理されます。
  4. 接続フィルタ エージェントが、任意の IP 禁止一覧プロバイダの構成済みリアルタイム ブロック リスト (RBL) を検査します。送信サーバーの IP アドレスが RBL に含まれている場合、そのメッセージは拒否されます。他のフィルタは適用されません。

詳細については、「接続フィルタの構成」を参照してください。

note注 :
接続フィルタ エージェントが、インターネットに直接接続されている別のサーバーの背後に存在するコンピュータに展開されている場合は、接続フィルタ エージェントの前に、送信者のフィルタや受信者のフィルタなどの他のフィルタが呼び出されます。

送信者のフィルタ

接続フィルタの適用後、Exchange 2007 は図 3 に示すように、送信者の電子メール アドレスが送信者のフィルタで構成した受信拒否リストに含まれているかどうかを検査します。

送信者のフィルターの図

次に、送信者フィルタ エージェントが、メッセージ エンベロープとメッセージ ヘッダーの From: ヘッダー フィールドに含まれている送信者の電子メール アドレスを確認します。いずれかの From: ヘッダー フィールドが受信拒否リストにあるアドレスに一致する場合、Exchange 2007 はそのメッセージをプロトコル レベルで拒否し、他のフィルタは適用されません。

note注 :
組織の受信者が各自の Microsoft Office Outlook 差出人セーフ リストに送信者を含めている場合でも、エッジ トランスポート サーバー上の送信者のフィルタは受信者の Outlook 設定より優先され、そのメッセージが拒否されます。

送信者のフィルタの詳細については、「送信者のフィルタの構成」を参照してください。

メッセージ エンベロープとメッセージ ヘッダーの詳細については、「再生ディレクトリの管理」を参照してください。

受信者のフィルタ

送信者のフィルタによってメッセージが拒否されない場合は、Exchange によって接続フィルタが再度実行されます。図 4 に示すように、次に受信者フィルタ エージェントが適用されます。

受信者のフィルターの図

受信者フィルタ エージェントが、受信者フィルタ エージェントの設定で構成されている受信者禁止一覧にその受信者が含まれているかどうかを検査します。受信者禁止一覧の電子メール アドレスとその受信者が一致した場合、Exchange 2007 はその特定の受信者宛てのメッセージを拒否します。さらに、受信者フィルタ エージェントは、その受信者が組織内に存在するかどうかを確認します。その受信者が組織内に存在しない場合、Exchange はその特定の受信者宛てのメッセージを拒否します。

複数の受信者がメッセージの宛先になっており、それらの中に受信者禁止一覧に含まれる受信者がいない場合は、メッセージの処理が続行されます。メッセージの宛先が、ブロックされる 1 人の受信者だけの場合、他のフィルタは適用されません。

ブロックされる受信者を含むメッセージが処理されると、ブロックされる受信者のセットがメッセージから削除され、そのメッセージは組織内に入ります。プロトコル レベルの SMTP 拒否応答が、それぞれのブロックされる受信者の送信者に送信されます。送信者評価エージェントは、送信者評価レベルを計算するために OnReject イベントを監視します。

詳細については、「受信者のフィルタの構成」を参照してください。

Sender ID フィルタ

受信者のフィルタが適用された後もメッセージに有効な受信者が含まれている場合、図 5 に示すように、Exchange 2007 は Sender ID フィルタを実行します。

Sender ID フィルターの図

最初に、Sender ID エージェントが RFC 4407 に定義されているアルゴリズムを使用して、メッセージの PRA (Purported Responsible Address) を決定します。この手順は、メッセージの送信者を正確に識別するために必要です。PRA は、kim@contoso.com などの SMTP アドレスです。次に、Sender ID エージェントが、PRA のドメイン部分に対してドメイン ネーム サービス (DNS) 参照を実行します。そのドメインが SPF (Sender Policy Framework) レコードを公開している場合、エージェントはその SPF レコードを使用して、RFC 4408 の仕様に従ってメッセージを評価します。その評価の結果が、メッセージのスパム対策スタンプにスタンプされます。そのドメインに公開済みの SPF レコードが存在しない場合、Sender ID エージェントは、そのメッセージに "None" という Sender ID の結果をスタンプします。Sender ID フィルタで使用されるスタンプの種類の詳細については、「スパム対策スタンプ」を参照してください。

送信者の DNS が、ブロックするドメインまたはブロックするアドレスから来ている場合は、Sender ID の処理の構成に応じて次の処理が実行されることがあります。

  • [メッセージを拒否する]   Sender ID の処理が [メッセージを拒否する] に設定されている場合、Exchange はそのメッセージを拒否し、送信側サーバーに SMTP エラー応答を送信します。SMTP エラー応答は 5xx レベルのプロトコル応答で、テキストは Sender ID の状態に対応しています。
  • [メッセージの削除]   Sender ID の処理が [メッセージの削除] に設定されている場合、Exchange は、送信側サーバーに通知せずにメッセージを削除します。実際には、エッジ トランスポート サーバーの役割がインストールされているコンピュータは偽の "OK" SMTP コマンドを送信側サーバーに送信してからメッセージを削除します。送信側サーバーはメッセージが送信されたと見なすため、同じセッションでメッセージの送信を再試行しません。
  • [Sender ID の結果をメッセージにスタンプして処理を続行する]   Exchange はメッセージに Sender ID の結果をスタンプし、メッセージの処理を続行します。このメタデータは、SCL の計算時にコンテンツ フィルタ エージェントによって評価されます。さらに、送信者評価では、メッセージの送信者に対する送信者評価レベルを計算するときにメッセージのメタデータを使用します。

詳細については、「Sender ID の構成」を参照してください。

コンテンツ フィルタ

Exchange コンテンツ フィルタは、Exchange インテリジェント メッセージ フィルタを呼び出す前に、送信者のフィルタを再度適用します。次に、図 6 に示すように、Exchange サーバーがコンテンツ フィルタ エージェントを適用します。

コンテンツ フィルター エージェントのメール フロー

コンテンツ フィルタ エージェントが、メッセージの次の条件を確認します。いずれかの条件に当てはまる場合、メッセージはコンテンツ フィルタをバイパスします。これらのメッセージは次にウイルス対策スキャンによって処理されます。

  • 送信者の IP アドレスが接続フィルタの IP 許可一覧に含まれている。
  • すべての受信者がコンテンツ フィルタの例外一覧に含まれている。
  • すべての受信者のメールボックスで、AntiSpamBypassEnabled パラメータが $True に設定されている。
  • すべての受信者がこの送信者を、セーフリスト集約によってエッジ トランスポート サーバーと同じ状態に更新されている Outlook 差出人セーフリストに追加している。
  • 送信者が信頼のおけるパートナーであり、フィルタが適用されない組織の送信者の一覧に含まれている。

ここに示した条件に加え、SMTP セッションが信頼のおけるパートナーとして認証されている場合や、管理者がパートナーに Bypass Anti-Spam (Ms-Exch-Bypass-Anti-Spam) アクセス許可を与えている場合は、そのセッション中、スパム対策エージェントがメッセージに対して無効になります。Bypass Anti-Spam アクセス許可は、既定ではパートナーに与えられないため、管理者が割り当てる必要があります。

メッセージがここで説明したいずれの条件も満たしていない場合は、コンテンツ フィルタが適用されます。コンテンツ フィルタは、メッセージに SCL レベルを割り当てます。SCL レベルに基づいて、次のいずれかの処理が実行されます。

  • メッセージの SCL レベルが SCL による削除のしきい値以上であり、SCL による削除のしきい値が有効になっている場合、コンテンツ フィルタ エージェントはそのメッセージを削除します。送信側のシステムや送信者にメッセージが削除されたことを伝えるプロトコル レベルの通信はありません。SCL レベルが SCL による削除のしきい値より小さい場合、コンテンツ フィルタ エージェントはそのメッセージを削除しません。代わりに、その SCL 値は SCL による拒否のしきい値と比較されます。
  • メッセージの SCL レベルが SCL による拒否のしきい値以上であり、SCL による拒否のしきい値が有効になっている場合、コンテンツ フィルタ エージェントはそのメッセージを拒否し、拒否応答を送信側システムに送信します。拒否応答はカスタマイズできます。場合によっては、メッセージの元の送信者に配信不能レポート (NDR) が送信されます。SCL レベルが SCL による拒否のしきい値より小さい場合、コンテンツ フィルタ エージェントはそのメッセージを拒否しません。代わりに、その SCL 値は SCL による検疫のしきい値と比較されます。
  • メッセージの SCL レベルが SCL による検疫のしきい値以上であり、SCL による検疫のしきい値が有効になっている場合、コンテンツ フィルタ エージェントはそのメッセージをスパム検疫メールボックスに送信します。スパムの検疫を管理する方法の詳細については、「スパム検疫の構成および管理」を参照してください。次に、メッセージは添付ファイル フィルタによって処理されます。

詳細については、以下のトピックを参照してください。

添付ファイル フィルタ

コンテンツ フィルタが適用された後、図 7 に示すように、Exchange は添付ファイル フィルタを適用します。

添付ファイル フィルターの図

MIME コンテンツの種類、ファイル名、またはファイル名の拡張子に基づいて添付ファイルをブロックするように添付ファイル フィルタを構成することができます。添付ファイル フィルタによって、ブロックされたコンテンツの種類またはファイル名が検出された場合は、添付ファイル フィルタの設定に基づいて次のいずれかの処理が実行されます。

  • Reject   処理の設定が Reject に設定されている場合は、電子メール メッセージと添付ファイルの両方が受信者に配信されなくなり、システムによって送信者に対する DSN エラー メッセージが生成されます。拒否応答はカスタマイズできます。
  • Silent Delete   処理の設定が Silent Delete に設定されている場合は、電子メール メッセージと添付ファイルの両方が受信者に配信されなくなります。電子メール メッセージと添付ファイルがブロックされたことを示す通知は送信者に返されません。
  • Strip   処理の設定が Strip に設定されている場合は、電子メール メッセージから添付ファイルが削除されます。メッセージと、添付ファイルの禁止一覧のエントリと一致しないその他の添付ファイルについては、受信者への配信が許可されます。添付ファイルがブロックされたことを示す通知が受信者の電子メール メッセージに追加されます。

メッセージが拒否も削除もされなかった場合、または添付ファイル フィルタによってブロックされた添付ファイルの種類が検出されなかった場合は、メッセージに対してウイルスのスキャンが実行されます。

詳細については、「添付ファイル フィルタを構成する方法」を参照してください。

ウイルス対策スキャン

添付ファイル フィルタが適用された後、または受信者のコンテンツ フィルタ処理が省略された場合は、図 8 に示すように、Forefront Security for Exchange Server ウイルス対策スキャンが適用されます。

Forefront ウイルス対策フィルターの図

Forefront Security for Exchange Server は、Exchange 2007 と密接に統合されるウイルス対策ソフトウェア パッケージで、Exchange 環境のウイルス対策を強化します。Forefront Security for Exchange Server でウイルスを含む可能性のあるメッセージが検出されると、システムによってメッセージの削除、通知メッセージの生成、および受信者のメールボックスへの通知の送信が行われます。

Forefront Security for Exchange Server の詳細については、Microsoft Forefront Security for Exchange Server を使用した Microsoft Exchange 組織の保護についてのページを参照してください (このサイトは英語の場合があります)。

Outlook 迷惑メール フィルタ

すべてのフィルタが適用され、メッセージに対してウイルスのスキャンが実行された後、図 9 に示すように、メッセージが目的の受信者のメールボックスに送信され、迷惑メール フィルタが適用されます。

Outlook 迷惑メール フィルターの図

メッセージの SCL レベルが SCL 迷惑メール フォルダのしきい値以上であり、SCL 迷惑メール フォルダのしきい値が有効になっている場合、メールボックス サーバーはそのメッセージを Outlook ユーザーの迷惑メール フォルダに格納します。メッセージの SCL 値が、SCL による削除、拒否、検疫、および迷惑メール フォルダのしきい値より小さい場合、メールボックス サーバーはそのメッセージをユーザーの受信トレイに格納します。SCL しきい値の詳細については、「Spam Confidence Level のしきい値の調整」を参照してください。

詳細情報

スパム対策およびウイルス対策機能の詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。