スパム対策
適用対象: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange
このトピックでは、Microsoft® Forefront® Online Protection for Exchange (FOPE) で使用可能なスパム対策機能の概要を示します。
スパムの保管と管理
FOPE には、スパムの管理および格納用のオプションが 4 つ用意されています。これらのオプションの設定は、ドメイン レベルで扱われます。
スパム検疫の構成:スパム検疫を使用した場合、企業の電子メール サーバーでスパム電子メールを処理して格納する必要がないため、これはスパムの格納方法として最も広範に使用されています。また、このオプションを使用すると、ユーザーがスパム メッセージを選別する必要がなくなります。これにより、結果として従業員の生産性が向上します。このオプションを使用した場合、スパムとして識別された電子メールは、FOPE サービスによってホストされている各ユーザーの Web ベースのスパム メールボックスにリダイレクトされます。スパム メッセージは 15 日間保管された後、自動的に削除されます。
FOPE での X-Header の構成:このオプションは電子メールを通常どおりに配信しますが、特殊な X-spam ヘッダーを電子メールのメール ヘッダーに挿入します。FOPE サービスによってスパムと識別されたメッセージに対して、カスタマイズした X-Header コメントを追加できます。以降のすべてのスパム メッセージのインターネット ヘッダーに、X-Header が追加されます。X-Header オプションを使用することで、スパムとしてフィルター処理された電子メール メッセージの実際の数がわかります。必要に応じて、X-Header が付けられた電子メール メッセージをフィルター処理するためのメール サーバー ルールまたはクライアント側ルールを設定することもできます。
スパムのリダイレクトについて:スパムとして識別された電子メールは、ドメイン内の単一の SMTP アドレスにリダイレクトされます。必要に応じて、メール サーバー上でホストされている単一の場所からこれらのメッセージを確認できます。
FOPE での件名の変更について:スパムとして識別されたメッセージの件名に、識別用の単語または語句 (たとえば、SPAM) を追加できます。必要に応じて、クライアント側のルールを作成して、スパム メッセージをフィルター処理できます。
これらのオプションの詳細については、「FOPE におけるスパムの処置の設定について」を参照してください。
迷惑メールに対する階層型の防御
FOPE では、独自開発の多層スパム対策テクノロジによって精度が高められているため、迷惑メールが企業のメッセージング システムに侵入する前に、それに自動的にフィルターが適用されます。FOPE サービスに対してドメインが構成され、有効にされていると、このドメインの MX レコードがこのサービスを経由してメールをルーティングするように指定されます。それ以降、IT ユーザーまたは管理者が継続的に介入する必要はなくなります。
IP 評価ブロック
FOPE の IP 評価ブロックは、不要な電子メールに対する防御の第一線として機能し、接続分析および評価分析を通して受信迷惑電子メールの約 90% をブロックします。
接続分析
FOPE ネットワークへの各接続は、詳細に監視され、接続するサーバーにより発行される SMTP コマンドに基づいて評価されます。RFC 標準から大きく外れた標準的でない接続要求や、スプーフィングされた接続試行は即座に拒否されます。これにより、これらの不正な接続試行からネットワークを防護できます。
評価分析
FOPE の評価ベースの接続ブロックでは、履歴データの分析に基づいて、大部分のスパムの原因となっているインターネット接続コンピューターのアドレスが含まれている独自開発のリストが使用されます。Microsoft® Windows Live™ Hotmail® との継続的な連携を通して、FOPE はコンシューマーと企業の両方の迷惑電子メール データを集約し、大規模かつ総合的な評価データベースに入力します。
また、FOPE は、他の企業および ISP による IP 評価情報も活用して、不審な IP およびボットネット攻撃からの保護を強化しています。このような攻撃は、共通のコマンドおよびコントロールのインフラストラクチャの下でソフトウェアを実行する、セキュリティ侵害を受けたコンピューター群から行われます。スパム送信者は、頻繁に、悪意のある Web サイトを作成し、フィッシングおよびマルウェアの感染に使用しています。FOPE は、さまざまなソースを活用して悪意のある既知の URL のリストをすばやく更新し、そのコンテンツ フィルターを更新してこれらのメッセージをブロックします。
迷惑メールからの保護
エッジ ブロックを通過したとしても、メッセージは、さらに 4 つのスパム対策テクノロジ レイヤーを通過する必要があります。
追加のスパム フィルターのオプション
多くのお客様が、性的な画像が含まれていたり、プライバシーを侵害したり、またはユーザーをだましてプライバシーにかかわる情報を引き出そうとしたりする電子メールをより的確に制御することを希望しています。FOPE で追加のスパム フィルター (ASF) 機能を使用すると、各種のアクティブなコンテンツや疑わしいコンテンツを含むメッセージにフィルタリング フラグを適用して検疫できます。ASF フィルタリング フラグの詳細については、「追加のスパム フィルターのオプションの構成」を参照してください。
IP ベースの認証
FOPE サービスでは、各電子メール メッセージの送信者の ID が認証されます。メッセージが認証できず、偽装された送信者からのメッセージであると判断された場合は、スパム スコアが設定される可能性が高くなります。電子メールの SMTP Mail From ID を使用してリターン パス アドレスの偽造を防止する業界標準である SPF (Sender Policy Framework) を採用しているため、スプーフィングが簡単に識別されます。SPF 参照は、送信者として表示されているエンティティが実際に電子メール メッセージを送信したことを確認するために役立ちます。
指紋採取
既知のスパム特性が含まれているメッセージは、識別されて指紋採取されます。メッセージは指紋採取された時点で、その内容に基づく一意の ID が付けられます。指紋採取データベースには FOPE システムによってブロックされたすべてのスパムのデータが集約されるため、処理されるメッセージが増えるほど、指紋採取プロセスは向上し、その精度を高めていきます。特定の指紋を持つメッセージが 2 度目にシステムを通過する場合、指紋が検出されて、メッセージはスパムとしてマークされます。受信メッセージはシステムによって絶えず分析され、新しいスパム手法が判別されます。新たなスプーフィング行為が検出されると、FOPE のスパム分析チームが指紋採取層を更新します。
ルールベースのスコアリング
FOPE サービスは、スパムの特性と正規の電子メールの特性を具体的に表現、定義する 20,000 を超えるルールに基づいて、メッセージにスコアを割り当てます。メッセージにスパムの特性が含まれている場合、ポイントがスコアに追加されます。一方、メッセージに正規の電子メールの特性が含まれている場合、ポイントは差し引かれます。メッセージのスコアが定義されたしきい値に達すると、メッセージにスパムのフラグが設定されます。
FOPE が評価するメッセージの特性およびスコアは、次のとおりです。
URL を含む、メッセージの本文と件名に含まれる語句
スパムの URL を正規の URL として偽装した、HTTP の難読化
無効な形式のヘッダー (構成が正しくないヘッダー)
電子メール クライアントの種類
ヘッダーの構成 (メッセージ ID、受信日時、ランダムな文字など)
送信元メール サーバー
送信元メール エージェント
送信元および SMTP 送信元アドレス
必要に応じて、毎日何度もスパム対策チームによって現在のルールが修正され、新しいルールが追加されます。
配信不能レポート バックスキャター (後方散乱) の軽減
電子メール環境に影響を及ぼす配信不能レポート (NDR) の急増には、さまざまな原因があります。たとえば、ドメイン内のいずれかの電子メール アドレスがスプーフィング行為に利用されていたり、ディレクトリ獲得攻撃 (DHA 攻撃) の送信元アドレスとして利用されている可能性があります。いずれの問題も、エンド ユーザーに配信される NDR 件数の急増につながる可能性があります。NDR バックスキャターは、電子メール アドレスがスパムの送信者として偽装された場合に届く多数のメッセージをいいます。NDR バックスキャターの問題が多くの企業の間で深刻化しています。NDR 検出ルールに加え、別途 FOPE ASF ルールを使用することで、バックスキャターをブロックすることができます。この方法によって、NDR メッセージだけを抽出して、検疫に送ることができます。
送信フィルターを使用している場合、正規のバウンス メッセージとしての NDR を検出するロジックが使用されます。ASF オプションを有効にしなくても、該当したメッセージは元の送信者に配信されます。お客様がメールの送信側となる場合、正規の NDR をインテリジェントに検出する機能が既定で有効になります。