Exchange Serverでのスパム対策の保護
スパム発信者または悪意のある送信者は、さまざまな手法を使用して組織に迷惑メールを送信します。 単一のツールやプロセスですべてのスパムを排除することは不可能です。 しかし、Microsoft Exchange は、不要なメッセージを削減するための階層的および多角的なアプローチを提供します。 Exchange ではトランスポート エージェントを使用してスパム対策を提供し、2016 年と 2019 年Exchange Server Exchange Serverで利用できる組み込みエージェントは、2010 年Exchange Serverから比較的変更されません。 Exchange 2016 および Exchange 2019 では、これらのエージェントの構成と管理は Exchange 管理シェルでのみ使用できます。
スパム対策機能を増やし、管理を容易にするために、Microsoft 365 および Office 365の一部である Exchange Online Protection (EOP) を購入できます。 Microsoft 365 またはOffice 365スパム対策保護の詳細については、「EOP でのスパム対策保護」を参照してください。
メールボックス サーバーのスパム対策エージェント
組織がエッジ トランスポート サーバーを持たない場合や、受信メッセージに他のスパム対策フィルターを実行しない場合には、通常、メールボックス サーバー上のスパム対策エージェントを有効にします。 詳細については、「メールボックス サーバーのスパム対策機能を有効にする」を参照してください。
すべてのトランスポート エージェントと同様に、各スパム対策エージェントには優先順位の値が割り当てられます。 値が小さいほど優先度が高いことを示します。通常、優先順位 1 のスパム対策エージェントは、優先順位 9 のスパム対策エージェントの前にメッセージに対して動作します。 ただし、スパム対策エージェントが登録されているトランスポート パイプラインの SMTP イベントも、スパム対策エージェントがメッセージに対して機能する順序を決定する上で非常に重要です。 トランスポート パイプラインの早い段階で登録された低優先度のスパム対策エージェントは、トランスポート パイプラインの後半で登録される優先度の高いスパム対策エージェントの前にメッセージに対して動作します。
エージェントの既定の優先度の値と、エージェントが登録された SMTP イベントに基づき、スパム対策エージェントがメールボックス サーバー上のメッセージに適用される順序です。
送信者フィルター エージェント: 送信者フィルター処理は、送信サーバーを、組織へのメッセージの送信が禁止されている送信者または送信者ドメインの一覧と比較します。 詳細については、「 送信者フィルター」を参照してください。
送信者 ID エージェント: 送信者 ID は、送信側サーバーの IP アドレスと送信者の Purported Responsible Address (PRA) に依存して、送信メール アドレスがスプーフィングされているかどうかを判断します。 詳細については、「 Sender ID」を参照してください。
コンテンツ フィルター エージェント: コンテンツ フィルター エージェントは、正当なメッセージとスパム メッセージからのデータに基づいて、各メッセージにスパム信頼レベル (SCL) を割り当てます。 詳細については、「コンテンツ フィルター」を参照してください。
スパム検疫は、誤ってスパムとして分類された正当なメッセージの消失の危険を減らすためのコンテンツ フィルター エージェントのコンポーネントです。 スパム検疫は、管理者が不審なメッセージを確認するための一時的な格納場所を提供します。 詳しくは、「Exchange Server でのスパム検疫」を参照してください。
また、コンテンツ フィルターは、セーフリスト集約機能を使用します。 セーフリスト集約は、Microsoft、Outlook、Web 上の Outlook でユーザーが構成するセーフ リスト データを収集して、この情報をコンテンツ フィルター エージェントが使用できるようにします。 詳細については、「セーフリスト集約機能」を参照してください。
プロトコル分析エージェント (送信者の評判): プロトコル分析エージェントは、送信者の評判を提供するエージェントです。 送信者評価は、いくつかのテストを使用して、受信メッセージの送信者評価レベル (SRL) を計算し、それらのメッセージに対して実行するアクションを決定します。 詳細については、「 送信者評価とプロトコル分析エージェント」を参照してください。
エッジ トランスポート サーバーのスパム対策エージェント
組織が境界ネットワーク内にエッジ トランスポート サーバーをインストールしている場合、メールボックス サーバーで使用可能なすべてのスパム対策エージェントは、既定ではエッジ トランスポート サーバーにインストールされ、使用できるようになっています。 ただし、次のスパム対策エージェントはエッジ トランスポート サーバーでのみ使用可能です。
接続フィルター エージェント: 接続フィルター処理では、IP ブロック リスト、IP 許可リスト、IP ブロック リスト プロバイダー、IP 許可リスト プロバイダーを使用して、接続をブロックするか許可するかを決定します。 詳細については、「エッジ トランスポート サーバー上での接続フィルター処理」を参照してください。
受信者フィルター エージェント: 受信者フィルター処理では、受信者ブロック リストを使用して、組織への入力が許可されていないメッセージを識別します。 また、受信者フィルターはローカルの受信者のディレクトリを使用して、無効な受信者に送信されたメッセージを拒否します。 詳細については、「 エッジ トランスポート サーバー上での受信者フィルター処理」を参照してください。
注:
メールボックス サーバー上で受信者フィルター エージェントを利用することは可能ですが、それは設定しないようにしてください。 メールボックス サーバー上の受信者フィルターによってメッセージ中に無効な、またはブロックされている受信者が検出された場合、他の有効な受信者がそのメッセージに含まれていても、メッセージは拒否されます。 受信者フィルター エージェントは、メールボックス サーバーにスパム対策エージェントをインストールするときに有効になりますが、受信者をブロックするように構成されていません。
添付ファイル フィルター エージェント: 添付ファイルフィルターは、添付ファイル名、拡張子、または MIME コンテンツ タイプに基づいてメッセージまたは添付ファイルをブロックします。 詳細については、「エッジ トランスポート サーバーでの添付ファイル フィルター処理」を参照してください。
スパム対策エージェントの既定の優先度の値と、エージェントが登録されたトランスポート パイプラインの SMTP イベントに基づき、スパム対策エージェントがエッジ トランスポート サーバー上のメッセージに適用される順序です。
接続フィルター エージェント
送信者フィルター エージェント
受信者フィルター エージェント
Sender ID エージェント
コンテンツ フィルター エージェント
プロトコル分析エージェント (送信者評価)
添付ファイル フィルター エージェント
スパム対策スタンプ
スパム対策スタンプはメッセージに適用され、スパム対策エージェントによって使用されます。 スパム対策スタンプを表示して、スパム関連の問題を診断することができます。 詳細については、「 スパム対策スタンプ」を参照してください。
スパム対策方法の戦略
スパム対策は、不要なメッセージをブロックすることと、正当なメッセージを許可することのバランスをとる作業です。 スパム対策機能の構成を厳しくしすぎると、多くの正当なメッセージをブロックしてしまうことになります (誤検知)。 スパム対策機能の構成を緩やかにしすぎると、多くのスパムが組織に入るのを許してしまうことになります。
Exchange の組み込みのスパム対策機能を構成する場合に考慮するいつくかのベスト プラクティスがあります。
メッセージを検疫したり、スパム対策スタンプを適用したりするのではなく、接続フィルター エージェント、受信者フィルター エージェント、送信者フィルター エージェントによって識別されるメッセージを拒否します。 次の理由から、このアプローチが推奨されます。
接続フィルター、受信者フィルター、または送信者フィルターの既定の設定によって識別されるメッセージは、通常、それらが不要かどうかを判断するための追加的なテストを必要としません。 たとえば、特定の送信者をブロックするように送信者フィルターを構成した場合、それらの送信者からのメッセージを処理し続ける理由はありません。 (メッセージを拒否したくない場合は、ブロックされた送信者の一覧にメッセージを配置していません)。
トランスポート パイプラインの早い段階でメッセージが発生するスパム対策エージェントのより積極的なレベルを構成すると、処理、帯域幅、ディスク リソースが節約されます。 トランスポート パイプラインでメッセージが移動する距離が長くなればなるほど、メッセージをスパムとして正常に識別するために残りのスパム対策機能によって評価される必要のある変数が多くなります。 まず明らかなメッセージを拒否し、あいまいなメッセージを後で処理します。
現在の構成レベルにおけるスパム対策機能の有効性を監視する必要があります。 監視することで、傾向に合わせて設定を厳しくしたり、緩めたりできます。 既定の設定から開始して、誤検知の数を最小限に抑えるようにしてください。 スパムと誤検知の量を監視して、組織が直面するスパムおよびスパム攻撃の種類に基づき設定を厳しくすることができます。