受信者のフィルターについて
適用先 : Exchange Server 2010
受信者フィルター エージェントは、エッジ トランスポート サーバーの役割がインストールされている Microsoft Exchange Server 2010 を実行しているコンピューターで有効になっているスパム対策エージェントです。受信者フィルター エージェントは、RCPT TO SMTP ヘッダーに基づいて、受信メッセージに対して行う処理がある場合にどの処理を行うかを判断します。
エッジ トランスポート サーバーでスパム対策エージェントを構成すると、エージェントはメッセージに対して累積的に処理を実行し、迷惑なメッセージが組織に入る数を減らします。スパム対策エージェントを計画および展開する方法の詳細については、「スパム対策およびウイルス対策機能について」を参照してください。
受信者フィルター エージェントは、組織内の対象受信者の特性に従ってメッセージをブロックします。受信者フィルター エージェントは、以下のシナリオでメッセージの受信を阻止できます。
- 存在しない受信者 組織のアドレス帳に存在しない受信者への配信を阻止できます。たとえば、administrator@contoso.com や support@contoso.com など、頻繁に乱用されるアカウント名への配信を停止できます。
- 配布リストの制限 内部ユーザーだけが使用する配布リストへのインターネット メールの配信を阻止できます。
- インターネットからのメッセージの受信を禁止するメールボックス ヘルプデスクなど、一般に組織内部で使用される特定のメールボックスやエイリアスへのインターネット メールの配信を阻止できます。
受信者フィルター エージェントは、以下のデータ ソースの一方または両方に登録されている受信者に影響を及ぼします。
- 受信者禁止一覧 インターネットからのメッセージの受信を拒否する、管理者が定義した受信者の一覧。
- 受信者参照 受信者が組織内に存在することの確認。受信者参照は、EdgeSync から Active Directory ライトウェイト ディレクトリ サービス (AD LDS) に提供される Active Directory 情報へのアクセスを必要とします。
受信者禁止一覧機能および受信者の参照機能の詳細については、後の「受信者データ ソース」を参照してください。
受信者フィルター エージェントを有効にすると、受信者の特性に従って、以下のいずれかの処理が受信メッセージに対して行われます。これらの受信者は、RCPT TO ヘッダーで指定されます。
- 受信者禁止一覧に登録されている受信者が受信メッセージに含まれている場合、エッジ トランスポート サーバーは、"550 5.1.1 User unknown" という SMTP セッション エラーを送信側サーバーに送信します。
- 受信者参照内のどの受信者にも一致しない受信者が受信メッセージに含まれている場合、エッジ トランスポート サーバーは、"550 5.1.1 User unknown" という SMTP セッション エラーを送信側サーバーに送信します。
- 受信者が受信者禁止一覧に登録されておらず、受信者参照内に存在する場合、エッジ トランスポート サーバーは、"250 2.1.5 Recipient OK" という SMTP 応答を送信側サーバーに送信し、続いてスパム対策エージェントがメッセージを処理します。
スパム対策およびウイルス対策機能に関連する管理タスクについては、「スパム対策およびウイルス対策の機能の管理」を参照してください。
目次
受信者参照用の AD LDS の構成
受信者データ ソース
タールピット機能
タールピット間隔の構成
複数の名前空間
受信者参照用の AD LDS の構成
スパムを削減するための最も効果的な方法の 1 つは、インターネットからの受信メッセージを受け付ける前に受信者を検証することです。したがって、エッジ トランスポート サーバー上で実行される AD LDS インスタンスを Active Directory と同期するように構成することをお勧めします。既定では、AD LDS はエッジ トランスポート サーバーにインストールされ構成されています。ただし、AD LDS を、Active Directory ドメインに参加しているグローバル カタログ サーバーと通信するように構成する必要があります。ほとんどの場合は、特定のポートが AD LDS と通信できるようにファイアウォールを構成する必要もあります。詳細については、「エッジ サブスクリプションについて」(これらのサイトは英語の場合があります) を参照してください。
受信者禁止一覧を Active Directory からレプリケートするように AD LDS を構成したら、Exchange 組織に存在しない受信者に送信されたメッセージのブロックを有効にする必要があります。メッセージのブロックは、Exchange 管理コンソール (EMC) の [受信者のフィルターのプロパティ] ページの [ブロックする受信者] タブで有効にすることができます。また、Exchange 管理シェルで Set-RecipientFilterConfig コマンドレットを使用して、メッセージのブロックを有効にすることもできます。詳細については、「Set-RecipientFilterConfig」(これらのサイトは英語の場合があります) を参照してください。
ページのトップへ
受信者データ ソース
前に説明したように、受信者フィルター エージェントは、受信メッセージの受信者を比較するときに 2 つのデータ ソースを参照します:受信者禁止一覧と受信者参照。
受信者禁止一覧
受信者禁止一覧は、エッジ トランスポート サーバーの管理者によって管理されます。受信者禁止一覧のデータは、AD LDS のエッジ トランスポート サーバー インスタンスに格納されます。エッジ トランスポート サーバー コンピューターごとに、ブロックする受信者を入力する必要があります。
[受信者のフィルターのプロパティ] ページの [ブロックする受信者] タブの EMC で、受信者フィルター エージェントでブロックする受信者を入力します。シェルで Set-RecipientFilterConfig コマンドレットを使用して、受信者を入力します。受信者フィルター エージェントを構成する方法の詳細については、「受信者フィルターのプロパティの構成」を参照してください。
受信者参照
受信者フィルター エージェントの利点として、Exchange 2010 がメッセージを組織に転送する前に、受信メッセージに含まれる受信者が組織に存在することを確認するという機能があります。組織内の受信者を確認する機能は、エッジ トランスポート サーバーで使用できる受信者データ ソースに依存します。エッジ トランスポート サーバーは Active Directory ドメインによって結合されたコンピューターではなく、ファイアウォールによって組織から隔離されている場合があるため、エッジ トランスポート サーバーで使用できるように受信者参照データ ソースを構成する必要があります。
エッジ トランスポート サーバーの役割は、構成とデータの格納に AD LDS を使用します。詳細については、「エッジ サブスクリプションについて」(これらのサイトは英語の場合があります) を参照してください。
ページのトップへ
タールピット機能
受信者の参照機能により、送信側サーバーで電子メール アドレスが有効か無効かを判別することができます。前に説明したように、受信メッセージの受信者が既知の受信者である場合、エッジ トランスポート サーバーは、"250 2.1.5 Recipient OK" という SMTP 応答を送信側サーバーに返します。この機能により、ディレクトリ獲得攻撃に備えた理想的な環境が実現します。
ディレクトリ獲得攻撃とは、電子メール アドレスをスパム データベースに追加するために、特定の組織から有効な電子メール アドレスを収集しようとする試みです。受信者が電子メール メッセージを開かない限りスパムによる収益は得られないため、有効性が確認されているアドレスは、悪意のあるユーザー、つまりスパム発信者にとって価値のある商品となります。SMTP プロトコルを使用すると、既知の送信者と不明な送信者に関するフィードバックが提供されるため、スパム発信者は、一般的な名前や辞書に記載されている用語を使用して、特定のドメインに宛てた電子メール アドレスを構成する自動プログラムを作成できます。このプログラムは、"250 2.1.5 受信者 OK (250 2.1.5 Recipient OK)" という SMTP 応答が返ってきたすべての電子メール アドレスを収集し、"550 5.1.1 User unknown" という SMTP セッション エラーが返ってきたすべての電子メール アドレスを破棄します。さらに、スパム発信者は、有効な電子メールを売ることも、迷惑メールの受信者として使用することもできます。
ディレクトリ獲得攻撃を防止するために、Exchange 2010 にはタールピット機能が搭載されています。タールピットとは、容量の大きなスパムや他の望ましくないメッセージを示す特定の SMTP 通信パターンに対して、サーバーの応答を意図的に遅延させる方法です。タールピットの目的は、このような電子メール トラフィックの通信処理速度を低下させ、スパムを送信している個人または組織のスパム送信コストを増大させることにあります。タールピットによって、ディレクトリ獲得攻撃には非常にコストがかかるようになり、効率的な自動化が不可能になります。
タールピットが構成されていない場合、受信者が受信者参照に存在しないと、Exchange Server は直ちに "550 5.1.1 User unknown" という SMTP セッション エラーを送信者に返します。反対に、タールピットが構成されている場合は、SMTP は指定した秒数が経過するまで待機してから、"550 5.1.1 User unknown" エラーを返します。このように SMTP セッションで一時停止期間を設けることにより、ディレクトリ獲得攻撃の自動化はさらに困難になり、スパム発信者にとっての費用対効果が低下します。既定では、タールピットは受信コネクタで 5 秒に構成されています。
SMTP が "550 5.1.1 User unknown" エラーを返すまでの時間を構成するには、EMC またはシェルを使用して、受信者コネクタで TarpitInterval 値を設定します。受信者コネクタを管理および構成する方法の詳細については、「受信コネクタについて」を参照してください。
ページのトップへ
タールピット間隔の構成
「受信者のフィルターについて」で説明したように、SMTP 応答の速度が低下するように、インターネットからの受信メッセージを処理する受信コネクタを構成できます。特に、受信者フィルターの受信者の参照機能を有効にしている場合は、受信コネクタでタールピット機能を有効にするようにしてください。タールピットを有効にしないで受信者の参照機能を有効にした場合は、組織がディレクトリ獲得攻撃にさらされることになります。ディレクトリ獲得攻撃を受けると、スパムが増加する可能性があります。
受信コネクタでタールピット間隔を指定すると、タールピットが有効になります。既定値は 5 秒です。最初は、値を 5 (秒) に設定することをお勧めします。この値を変更しようとする場合は注意が必要です。この間隔が長すぎると通常のメール フローが中断する場合がありますが、短すぎるとディレクトリ獲得攻撃を効果的に防ぐことができない可能性があります。タールピット間隔の値を変更する場合は、少しずつ変更するようにしてください。
タールピット間隔は、EMC の [受信コネクタのプロパティ] ページの [セキュリティ] タブで設定します。EMC を使用してタールピット間隔を構成する方法の詳細については、「受信コネクタのプロパティの構成」を参照してください。
また、シェルで Set-ReceiveConnector コマンドレットを使用して、タールピット間隔を設定することもできます。
ページのトップへ
複数の名前空間
組織によっては、複数のドメイン宛ての電子メール メッセージを受信する場合があります。たとえば、1 つの組織で、Contoso.com と Woodgrovebank.com という 2 つのドメイン宛てのメッセージを受信する場合があります。また、メッセージを受信するすべてのドメインに対する権限を組織が持っている場合もあります。SMTP のコンテキストでは、組織がドメインのメールボックスをホストおよび管理している場合、組織がそのドメインに対する権限を持ちます。この関係は、エッジ トランスポート サーバーまで拡張されます。エッジ トランスポート サーバーは複数のドメイン宛てのメッセージを受信できますが、そのドメインのすべてに対して権限を持っているわけではない場合があります。たとえば、Contoso.com ドメインのすべての受信者に対して権限を持つように構成されたエッジ トランスポート サーバーでも、Woodgrovebank.com ドメイン宛てのメッセージを受信したり、転送したりします。
受信者フィルター エージェントを有効にすると、受信者フィルター エージェントは、トランスポート サーバー構成で権限を持つと指定されたドメインに対してのみ受信者参照を実行します。エッジ トランスポート サーバーが別のドメインに代わってメッセージを受信および転送する際に、権限を持つように構成されていない場合は、受信者フィルター エージェントによる受信者参照は実行されません。ただし、受信者禁止一覧で権限のない受信者が指定されている場合は、受信者はやはりブロックされます。
ページのトップへ