送信者評価とプロトコル分析エージェント

製品: Exchange Server 2013

送信者の評判は、送信者の多くの特性に従ってメッセージをブロックする Exchange スパム対策機能の一部です。 送信者評価では、送信者に関して保持されたデータを使用して、受信メッセージに対して行う処理を決定します。 プロトコル分析エージェントは、送信者評価機能の基礎となるエージェントです。

Exchange サーバーでスパム対策エージェントを構成すると、エージェントはメッセージを累積的に処理して、組織に入る迷惑メッセージの数を減らします。

送信者の評判レベルの計算

送信者評価レベル (SRL) は、以下の統計情報に基づいて計算されます。

• HELO/EHLO 分析: HELO および EHLO SMTP コマンドは、受信 SMTP サーバーへの送信 SMTP サーバーの Contoso.com や IP アドレスなどのドメイン名を指定することを目的としています。 悪意のあるユーザー、つまりスパム発信者は多くの場合、さまざまな方法で HELO/EHLO ステートメントを偽造します。 たとえば、スパム発信者は、接続の発信元である IP アドレスとは一致しない IP アドレスを入力します。 また、スパム発信者は、ドメインが組織内にあるかのように見せかけるために、受信側サーバーでローカルにサポートされていると認識されているドメインを HELO ステートメントに設定します。 その他の場合は、スパム発信者が HELO ステートメントで渡されたドメインを変更します。 正当なユーザーの典型的な動作では、さまざまではあっても比較的一定している、HELO ステートメントの一連のドメインが使用されます。

  したがって、送信者ごとに HELO/EHLO ステートメントを分析すると、送信者がスパム送信者である可能性が高い可能性があります。 たとえば、特定の時間に多くの異なる一意の HELO/EHLO ステートメントを提供する送信者はスパム送信者である可能性が高くなります。 接続フィルター エージェントによって決定された送信元 IP アドレスと一致しない IP アドレスを HELO ステートメントで一貫して提供する送信者も、スパム送信者である可能性が高くなります。 HELO ステートメント内にローカル ドメイン名が繰り返し表示され、それが Exchange サーバーと同じ組織内であるリモート送信者は、スパム送信者である可能性が高くなります。

• 逆引き DNS 参照: 送信者の評判は、送信者がメッセージを送信した送信元 IP アドレスが、送信者が HELO または EHLO SMTP コマンドで送信した登録済みドメイン名と一致することも確認します。

  送信者評価は、発信元 IP アドレスを DNS に発信することによって、DNS 逆引きクエリを実行します。 DNS によって返される結果は、その IP アドレスのドメイン名前付け機関を使用して登録されたドメイン名です。 送信者評価は、DNS によって返されたドメイン名と、送信者が HELO/EHLO SMTP コマンドで発信したドメイン名を比較します。 ドメイン名が一致しない場合は、送信者はスパム発信者である可能性が高く、その送信者の全体的な SRL レベルの評価が上昇します。

  Sender ID エージェントも同じようなタスクを実行しますが、Sender ID エージェントのタスクが成功するかどうかは、正当な送信者が DNS インフラストラクチャを更新して組織内のメール送信側 SMTP サーバーをすべて識別できるようにすることに依存しています。 DNS 逆引き参照を実行することによって、潜在的なスパム発信者を特定することができます。

• 特定の送信者からのメッセージに対する SCL 評価の分析: コンテンツ フィルター エージェントがメッセージを処理すると、スパム信頼レベル (SCL) の評価がメッセージに割り当てられます。 SCL レベルは 0 ～ 9 の数値です。 SCL レベルが高いほど、メッセージがスパムである可能性が高いことを示します。 各送信者とそのメッセージに付けられた SCL レベルに関するデータは、送信者評価による分析用に保持されます。 送信者評価は、その送信者からこれまでに届いたすべてのメッセージについて、低 SCL レベルのすべてのメッセージと高 SCL レベルのすべてのメッセージとの比率に従って、送信者に関する統計情報を計算します。 さらに、その送信者が最終日に送信した高 SCL レベルのメッセージの数も全体的な SRL に適用されます。

• 送信者のオープン プロキシ テスト: オープン プロキシ は、どこからでも接続要求を受け入れ、ローカル ホストから送信されたかのようにトラフィックを転送するプロキシ サーバーです。 プロキシ サーバーは、ファイアウォール ホスト経由で TCP トラフィックを中継して、ユーザー アプリケーションがファイアウォール経由で透過的にアクセスできるようにします。 プロキシ プロトコルはライトウェイトでユーザー アプリケーションのプロトコルには依存しないので、さまざまなサービスでプロキシを使用することができます。 プロキシは、複数のホストが単一のインターネット接続を共有するために使用することもできます。 プロキシは通常、ファイアウォールの内側の信頼されたホストのみがプロキシを通過できるようにセットアップされます。 意図しない構成エラーやマルウェアによって、正当な送信者がオープン プロキシとなる場合があります。

  オープン プロキシは、悪意のあるユーザーが別人になりすましてサービス拒否攻撃 (DoS) を開始したり、スパムを送信したりするための恰好の手段を提供します。 既定でオープンに構成されるプロキシ サーバーが多くなっているので、オープン プロキシはより一般的になってきています。 さらに、悪意のあるユーザーは、複数のオープン プロキシを使用して、送信者の発信元 IP アドレスを隠すこともできます。

  送信者評価によるオープン プロキシ テストは、オープン プロキシから Exchange サーバーに接続し直すために SMTP 要求の形式を設定することにより、実行されます。 プロキシから SMTP 要求を受信した場合は、送信者評価により、プロキシがオープン プロキシであることが確認され、その送信者のオープン プロキシ テストの統計情報が更新されます。

送信者の評判は、これらの各統計情報の重み付けを行い、送信者ごとに SRL を計算します。 SRL は、0 から 9 までの数字で、特定の送信者がスパム送信者または悪意のあるユーザーである確率を予測したものです。 値 0 は、送信者がスパム送信者ではない可能性があることを示します。値 9 は、送信者がスパム送信者である可能性があることを示します。

送信者評価が送信者フィルター エージェントに対して要求を発行する際に使用する、0 から 9 の禁止のしきい値を構成して、組織に届く送信者からのメッセージをブロックすることができます。 送信者がブロックされると、送信者は構成可能な期間の [ブロックされた送信者] 一覧に追加されます。 受信拒否されたメッセージの処理方法は、送信者フィルター エージェントの構成によって異なります。 受信拒否されたメッセージを処理するオプションは次のとおりです。

• 拒否する

• [削除およびアーカイブ]

• [受信拒否リストとして承諾し、マークする]

送信者が IP 禁止一覧や Microsoft IP 評価サービスに含まれている場合、送信者評価は送信者フィルター エージェントに直ちに要求を発行して送信者をブロックします。 この機能を利用するには、Microsoft Exchange スパム対策更新サービスを有効にして構成する必要があります。

既定では、送信者評価では分析されていない送信者のレベルは 0 に設定されます。 送信者が 20 件以上のメッセージを送信した後、送信者評判は、このトピックで前述した統計情報に基づいて SRL を計算します。

SRL の使用

送信者評価は、次の SMTP セッションの 2 段階の間にメッセージに対して処理を行います。

• MAIL FROM: SMTP コマンド: 送信者の評判は、メッセージがブロックされた場合、または接続フィルター エージェント、送信者フィルター エージェント、受信者フィルター エージェント、または送信者 ID エージェントによって処理された場合にのみ、メッセージに対して動作します。 メッセージがブロックされた場合、送信者評価は、Exchange サーバーに保持されている送信者プロファイルからその送信者に関する現在の SRL レベルを取得します。 このレベルを取得して評価した後は、Exchange サーバーの構成によって、禁止のしきい値に従って特定の接続で行われる動作が決まります。

• "データの終了" SMTP コマンドの後: すべての実際のメッセージ データが送信されると、データ転送 (EOD) SMTP コマンドの終了が指定されます。 SMTP セッションのこの時点で、スパム対策エージェントの多くがメッセージを処理しています。 スパム対策処理の副産物として、送信者の評判が依存する統計が更新されます。 その結果、送信者評価は、送信者の SRL レベルを計算したり再計算したりすることができるデータを得られます。

詳細については、「 送信者評価の管理」を参照してください。

オープン プロキシ サーバーの検出の有効化と構成

送信者評判は、SRL を計算するためにいくつかの送信者特性を評価します。 送信者の評判が評価する特性の中には、オープン プロキシ サーバーのテストの結果があります。 多くの場合、スパム送信者はインターネット上のオープン プロキシ サーバーを介してメッセージをルーティングします。 開いているプロキシ サーバーを介してスパムをルーティングすることで、スパム送信者は、独自のサーバーとは異なるサーバーから発信されたと思われるメッセージを送信できます。

送信者評価では、SRL を計算するときに、SOCKS4、SOCKS5、HTTP、Telnet、Cisco、Wingate などさまざまな一般的なプロキシ プロトコルを使用して、送信者の発信元 IP アドレスに接続しようとします。 送信者の評判は、SMTP 要求を使用して、開いているプロキシ サーバーからエッジ トランスポート サーバーに接続しようとしてプロトコル固有の要求を書式設定します。 プロキシ サーバーから SMTP 要求を受信した場合は、プロキシ サーバーがオープン プロキシ サーバーであることを確認し、この結果に従って SRL レベルを調整します。 既定では、オープン プロキシ サーバーの検出は送信者の評判で有効になっています。

オープン プロキシ サーバーの検出を有効にして構成する方法の詳細については、「 送信者の評判を管理する」を参照してください。

SRL による禁止のしきい値の設定

SRL は、0 から 9 までの数字で、特定の送信者がスパム送信者または悪意のあるユーザーである確率を予測したものです。 SRL による送信者ブロックのしきい値を設定する必要があります。 この SRL ブロックしきい値は、送信者の評判が送信者をブロックするために超える必要がある SRL 値を定義します。 既定では、SRL は 7 に設定されています。 エージェントの有効性を既定のレベルで監視する必要があります。 組織のニーズに合わせて値を調整できる場合があります。 他のスパム対策エージェントを積極的に設定すると、他のスパム対策エージェントが積極的に設定されていない場合よりも、送信者の評判に対してより高い SRL しきい値を設定できる場合があります。 スパム対策構成を調整してスパムを減らす方法の詳細については、「スパム 対策の保護」を参照してください。

エッジ トランスポート サーバーで、特定の送信者に対して SRL ブロックのしきい値を超えた場合、送信者の評判によって、接続フィルター エージェントの IP ブロック リストに送信者が追加されます。 スパム送信者は、1 人の送信者からスパムのバッチを送信することがあります。 このシナリオでは、送信者の評判が SRL ブロックのしきい値を超える SRL を計算すると、送信者は構成可能な期間、送信者ブロック リストに追加されます。 既定の期間は 24 時間です。 24 時間後、送信者は送信者ブロック リストから削除され、メッセージを再度送信できます。

送信者評価では、送信者が IP 禁止一覧に追加されたときに、その送信者のプロファイルを削除します。 プロファイルを削除するのは、受信拒否リストに含まれる送信者の既存のプロファイルで、その送信者の SRL が SRL による禁止のしきい値を超えていることを示しているためです。 そのままでは、送信者の拒否期間の終了後すぐに、受信拒否リストに含まれる送信者が IP 禁止一覧に再び追加されてしまいます。

詳細については、「 送信者評価の管理」を参照してください。