Exchange Serverでのマルウェア対策保護

Exchange Server 2016 のマルウェア対策保護は、メール メッセージング環境でウイルスやスパイウェアと戦うのに役立ちます。 ウイルスは、他のプログラムやデータに感染し、感染できるプログラムを探してコンピューター全体に蔓延します。 スパイウェアは、個人情報 (サインイン情報や個人データなど) を収集して作成者に送り返します。

Exchange Serverのマルウェア対策保護は Exchange 2013 で導入され、Malware Agent という名前のトランスポート エージェントによって提供されます。 エージェントは、メッセージがメールボックス サーバー上のトランスポート サービスを通過する際にメッセージをスキャンします。 以下を使用してマルウェアのフィルター処理を構成します。

• マルウェア対策ポリシー: マルウェア フィルター処理の受信と送信のスキャンと通知のオプションを指定します。 Exchange 組織内の全受信者に適用される既定のポリシーがあり、特定の順序で適用される追加のポリシーも作成することができます。

• マルウェア対策サーバーの設定: エラーと再試行のアクション、およびマルウェア フィルター処理のエンジンと定義の更新設定を指定します。 マルウェア エージェントは TCP ポート 80 (HTTP) のインターネット アクセスを使用して 1 時間おきにエンジンおよび定義の更新を確認します。

• マルウェア対策スクリプト: サーバーでマルウェア フィルター処理を有効または無効にし、エンジンと定義の更新プログラムを手動でダウンロードします。

マルウェア フィルタリングに関連する手順については、「Exchange Serverのマルウェア対策保護の手順」を参照してください。 Exchange Serverのスパム対策機能の詳細については、「Exchange Serverでのスパム対策の保護」を参照してください。

マルウェア対策ポリシー

マルウェア対策ポリシーでは、マルウェア検出の動作と通知のオプションを管理します。 マルウェア対策ポリシーの重要な設定は次のとおりです。

• アクション: メッセージにマルウェアが含まれていると検出された場合の対処方法を指定します。 以下のオプションがあります:

  • メッセージを削除します (これが既定値です)。

  • すべての添付ファイルを、次の既定のテキストを含むテキスト ファイルで置き換えます。

    このメールに含まれる 1 つ以上の添付ファイルでマルウェアが検出されました。 すべての添付ファイルが削除されました。

  • すべての添付ファイルを、ユーザーが指定するカスタム テキストを含むテキスト ファイルで置き換えます。

• 通知: マルウェア対策ポリシーがメッセージを削除するように構成されている場合は、送信者に通知メッセージを送信するかどうかを選択できます。 送信者が内部か外部かどうかを基に通知メッセージを送信できます。 既定の通知メッセージには次のプロパティがあります。

  • From: Postmaster postmaster@ <defaultdomain.com>

  • 件名: 配信できないメッセージ

  • メッセージ本文: このメッセージは、メール配信ソフトウェアによって自動的に作成されたものです。 マルウェアが検出されたため、電子メール メッセージは指定した受信者に配信されませんでした。

  内部と外部の通知用にメッセージのプロパティをカスタマイズすることができます。 内部または外部の送信者からの配信不能メッセージの通知を受信する追加の受信者 (管理者) を指定することもできます。

• 受信者フィルター: カスタムマルウェア対策ポリシーの場合は、ポリシーが適用されるユーザーを決定する受信者の条件と例外を指定できます。 条件や例外には次のプロパティを使用できます。

  • 受信者によるフィルター

  • 承認済みドメインによるフィルター

  • グループ メンバーシップによるフィルター

  各条件や例外は 1 回しか使用できませんが、条件や例外には複数の値を含めることができます。 同じ条件や例外に複数の値がある場合は、OR ロジック (たとえば、<recipient1> or <recipient2>) を使用します。 別の条件や例外がある場合は AND ロジック (たとえば、<recipient1> and <member of group 1>) を使用します。

• 優先度: 複数のカスタムマルウェア対策ポリシーを作成する場合は、適用する順序を指定できます。

Exchange 管理センター と Exchange 管理シェル でのマルウェア対策ポリシー

マルウェア対策ポリシーの基本的な要素は次のとおりです。

• マルウェア フィルター ポリシー: マルウェア フィルター処理のアクションと通知オプションを指定します。

• マルウェア フィルター規則: マルウェア フィルター ポリシーの優先度と受信者フィルター (ポリシーが適用されるユーザー) を指定します。

これら 2 つの要素の違いは、Exchange 管理センター (EAC) でマルウェア対策を管理する際には明白ではありませんが、以下の違いがあります。

• EAC でマルウェア対策ポリシーを作成する場合、実際にはマルウェア フィルター規則、および関連付けられているマルウェア フィルター ポリシーの両方に同じ名前を使用して同時に作成しています。

• EAC でマルウェア対策ポリシーを変更すると、名前、優先順位、有効/無効の切り替え、および受信者フィルターに関連する設定はマルウェア フィルター規則を変更します。 その他の設定 (動作や通知のオプション) は関連するマルウェア フィルター ポリシーを変更します。

• EAC からマルウェア対策ポリシーを削除すると、マルウェア フィルター規則および関連付けられているマルウェア フィルター ポリシーが削除されます。

Exchange 管理シェル では、マルウェア フィルター ポリシーとマルウェア フィルター規則の違いは明白です。 マルウェア フィルター ポリシーは 、*-MalwareFilterPolicy コマンドレットを使用して管理し、 *-MalwareFilterRule コマンドレットを使用してマルウェア フィルター規則を管理します。

• Exchange 管理シェル では、最初にマルウェア フィルター ポリシーを作成し、それから規則が適用されるポリシーを特定するマルウェア フィルター規則を作成します。

• Exchange 管理シェル では、マルウェア フィルター ポリシーとマルウェア フィルター規則の設定は別々に変更します。

• Exchange 管理シェル からマルウェア フィルター ポリシーを削除すると、対応しているマルウェア フィルター規則は自動で削除されず、逆もまた同様です。

既定のマルウェア対策ポリシー

各メールボックスのサーバーには Default という名前の組み込みのマルウェア対策ポリシーがあり、以下の特徴があります。

• ポリシーに関連付けられているマルウェア フィルター規則 (受信者フィルター) がない場合でも、Default という名前のマルウェア フィルター ポリシーは Exchange 組織内の全受信者に適用されます。

• Default という名前のポリシーにはカスタムの優先順位の値 Lowest が設定されており、変更することはできません (このポリシーは常に最後に適用されます)。 作成するどのカスタムのマルウェア対策ポリシーも、Default という名前のポリシーより高い優先順位を持ちます。

• Default という名前のポリシーは既定のポリシー (IsDefault のプロパティが True の値になっている) であり、既定のポリシーを削除することはできません。

マルウェア対策サーバー設定

Exchange 管理シェル で Get-MalwareFilteringServer と Set-MalwareFilteringServer コマンドレットを使用して、メールボックス サーバーでのマルウェア エージェントの更新、タイムアウト、ダウンロードの設定を表示および構成することができます。 これらのコマンドレットの使用の手順については、「 Exchange 管理シェルを使用してメールボックス サーバーのマルウェア フィルター処理をバイパスする」および「Exchange 管理シェルを使用して EOP で既にスキャンされたメッセージを再スキャンするようにマルウェア フィルター処理を構成する」を参照してください。

マルウェア対策のスクリプト

Exchange にはマルウェア フィルターの管理に使用できる Exchange 管理シェル スクリプトが 2 つ含まれています。

• Disable-Antimalwarescanning.ps1 はマルウェア エージェントと、メールボックス サーバーでのマルウェア エンジンおよび定義の更新を無効にします。

• Enable-Antimalwarescanning.ps1 はマルウェア エージェントを有効にし、マルウェア エンジンおよび定義の更新を有効にして、メールボックス サーバーでマルウェア エンジンおよび定義の更新を実行します。

• Update-MalwareFilteringServer.ps1 はメールボックス サーバーにおいて、手動でマルウェア エンジンおよび定義の更新を実行します。

これらのスクリプトの使用の詳細については、「 Exchange 管理シェルを使用してメールボックス サーバーでマルウェア フィルター処理を有効または無効にする 」および「 マルウェア対策エンジンと定義の更新プログラムをダウンロードする」を参照してください。

Exchange Serverのマルウェア対策保護オプション

このリストは Exchange 向けのマルウェア対策のオプションを示しています。

• 組み込みのマルウェア対策保護: Exchange の組み込みのマルウェア対策保護を使用して、マルウェアとの戦いを支援できます。 単独でも使用できるほか、マルウェアに対して階層化された防御を提供するその他のマルウェア対策ソリューションと組み合わせることもできます。

• Exchange Online Protection (EOP): EOP へのサブスクリプションの料金を支払うことができます。これは、Microsoft 365 および Office 365で使用されるマルウェア対策ソリューションです。 EOP はいくつかの理想的なマルウェア対策エンジンとのパートナーシップを活用して、効率的で費用対効果の高い重層化したマルウェア対策保護を提供します。 組み込みマルウェア対策保護と EOP を組み合わせることのメリットは次のとおりです。

  • EOP では複数のマルウェア対策エンジンが使用され、組み込みのマルウェア対策保護では 1 つのエンジンが使用されます。

  • EOP には、マルウェア統計を含むレポート機能があります。

  • EOP では、メール フローに関する問題のセルフ トラブルシューティングを可能にするメッセージ追跡機能 (マルウェア検出など) を使用できます。

    EOP の詳細については、「 EOP でのマルウェア対策保護」を参照してください。

• サード パーティのマルウェア対策保護: サード パーティのマルウェア対策プログラムを購入できます。

Exchange 向けのマルウェア対策に関してのよくあるご質問

このセクションでは、Exchange での組み込みマルウェア フィルター処理とスキャンについてよく寄せられる質問にお答えします。

他のマルウェア対策サービスが特定したマルウェアが Exchange マルウェア対策フィルターを通過したのはなぜですか？

次の 2 つの理由が考えられます。

• 最も可能性の高いシナリオは、メッセージの添付ファイルが実際には悪意のあるコードを一切含んでいない場合です。 一部のマルウェア対策エンジンは他のサービスよりも厳しいことがあり、これらのエンジンが実際には何もしない切り詰められたマルウェアのペイロードを含んでいるというだけの理由でメッセージを停止する場合があります。

• 受け取ったマルウェアが新しい変種で、それに対するマルウェア対策エンジン用のパターン ファイルがまだリリースされていないケースです。

見慣れない添付ファイルを含むメッセージを受け取った。 このマルウェアですか、それともこの添付ファイルを無視できますか?

不明な添付ファイルを開かないことを強くお勧めします。 添付ファイルの調査を希望される場合は、次の項目で説明している方法で送信してください。

既知のマルウェア、疑わしいファイル、または誤検知を Microsoft に送信する方法は？

メッセージのコピーを保存し、Microsoft セキュリティ インテリジェンス Web サイトにメッセージをアップロードして、確認できるようにします。

サンプルにマルウェアが含まれる場合、ウイルスの検出漏れを防ぐための是正措置を講じます。 サンプルに問題がない場合、ファイルがマルウェアだと検出されないように是正措置を講じます。

マルウェア フィルターによって削除されたメッセージはどこで確認できますか?

できません。 メッセージに悪意のあるアクティブなコードが含まれていることが判明したため、削除されました。

メール フロー規則を使用してマルウェア フィルター処理をバイパスできますか？

いいえ。メール フロー ルール (トランスポート ルールとも呼ばれます) を使用してマルウェア エージェントをバイパスすることはできません。 代わりに、パスワードで保護された.zip ファイルに添付ファイルを送信します (パスワードで保護されたファイル.zipファイルはマルウェア フィルタリングによってバイパスされます)。