送信者評価について
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2010-07-07
送信者評価は、Microsoft Exchange Server 2010 エッジ トランスポート サーバーの役割がインストールされているコンピューターで有効にされるスパム対策機能です。送信者の多数の特性に従ってメッセージをブロックします。送信者評価では、送信者に関して保持されたデータを使用して、受信メッセージに対して行う処理を決定します。
エッジ トランスポート サーバーでスパム対策エージェントを構成すると、エージェントはメッセージに対して累積的に処理を実行し、迷惑なメッセージが組織に入る数を減らします。スパム対策エージェントの計画と展開を行う方法の詳細については、「スパム対策およびウイルス対策機能について」を参照してください。
トランスポート サーバーの管理に関連する管理タスクについては、「トランスポート サーバーの管理」を参照してください。
目次
送信者評価レベルの計算
SRL の使用
オープン プロキシ サーバーの検出の有効化と構成
SRL による禁止のしきい値の設定
送信者評価レベルの計算
送信者評価レベル (SRL) は、以下の統計情報に基づいて計算されます。
HELO/EHLO 分析 HELO コマンドおよび EHLO SMTP コマンドは、送信側 SMTP サーバーの、Contoso.com などのドメイン名や IP アドレスを受信側 SMTP サーバーに提供するためのコマンドです。悪意のあるユーザー、つまりスパム発信者は多くの場合、さまざまな方法で HELO/EHLO ステートメントを偽造します。たとえば、スパム発信者は、接続の発信元である IP アドレスとは一致しない IP アドレスを入力します。また、スパム発信者は、ドメインが組織内にあるかのように見せかけるために、受信側サーバーでローカルにサポートされていると認識されているドメインを HELO ステートメントに設定します。その他の場合は、スパム発信者が HELO ステートメントで渡されたドメインを変更します。正当なユーザーの典型的な動作では、さまざまではあっても比較的一定している、HELO ステートメントの一連のドメインが使用されます。
したがって、HELO/EHLO ステートメントを送信者ごとに分析することによって、送信者がスパム発信者の可能性が高いことを示すことができます。たとえば、特定の時間に多くの異なる一意の HELO/EHLO ステートメントを提供する送信者はスパム発信者である可能性が高くなります。接続フィルター エージェントによって決定される発信元の IP アドレスと一致しない HELO ステートメントの IP アドレスを絶えず送り続ける送信者の場合も、スパム発信者である可能性が高くなります。エッジ トランスポート サーバーと同じ組織内にあるローカル ドメイン名を一貫して HELO ステートメントに提供するリモート送信者であるためです。
DNS 逆引き参照 送信者評価は、送信者がメッセージを転送した発信元 IP アドレスが、送信者が HELO コマンドまたは EHLO SMTP コマンドで発信した登録済みのドメイン名と一致するかどうかも確認します。
送信者評価は、発信元 IP アドレスを DNS に発信することによって、DNS 逆引きクエリを実行します。DNS によって返される結果は、その IP アドレスのドメイン名前付け機関を使用して登録されたドメイン名です。送信者評価は、DNS によって返されたドメイン名と、送信者が HELO/EHLO SMTP コマンドで発信したドメイン名を比較します。ドメイン名が一致しない場合は、送信者はスパム発信者である可能性が高く、その送信者の全体的な SRL レベルの評価は上方に調整されます。
Sender ID エージェントも同じようなタスクを実行しますが、Sender ID エージェントのタスクが成功するかどうかは、正当な送信者が DNS インフラストラクチャを更新して組織内の電子メール送信側 SMTP サーバーをすべて識別できるようにすることに依存しています。DNS 逆引き参照を実行することによって、潜在的なスパム発信者を特定することができます。
特定の送信者からのメッセージに対する SCL レベルの分析 コンテンツ フィルター エージェントがメッセージを処理する場合、メッセージに対して SCL (Spam Confidence Level) レベルが割り当てられます。SCL レベルは 0 ~ 9 の数値です。SCL レベルが高いほど、メッセージがスパムである可能性が高いことを示します。各送信者およびそのメッセージに付けられた SCL レベルに関するデータは、送信者評価による分析用に保持されます。送信者評価は、その送信者からこれまでに届いたすべてのメッセージについて、低 SCL レベルのすべてのメッセージと高 SCL レベルのすべてのメッセージとの比率に従って、送信者に関する統計情報を計算します。さらに、その送信者が最終日に送信した高 SCL レベルのメッセージの数も全体的な SRL に適用されます。
送信者オープン プロキシ テスト オープン プロキシは、任意の場所であらゆるユーザーの接続要求を受け付け、そのトラフィックをローカル ホストから発信されたトラフィックと同じように転送するプロキシ サーバーです。プロキシ サーバーは、ファイアウォール ホスト経由で TCP トラフィックを中継して、ユーザー アプリケーションがファイアウォール経由で透過的にアクセスできるようにします。プロキシ プロトコルはライトウェイトでユーザー アプリケーションのプロトコルには依存しないので、さまざまなサービスでプロキシを使用することができます。プロキシは、複数のホストが単一のインターネット接続を共有するために使用することもできます。プロキシは通常、ファイアウォールの内側の信頼されたホストのみがプロキシを通過できるようにセットアップされます。
オープン プロキシは、次のいずれかの条件のときに存在し得ます。
意図しない構成の誤り。
悪意のあるトロイの木馬プログラム。トロイの木馬プログラムは、情報を受け取ろうとする別の一般的なプログラムになりすましたプログラムです。
多くの場合、不十分なログとあいまって、オープン プロキシは、悪意のあるユーザーが別人になりすましてサービス拒否攻撃 (DoS) を開始したり、スパムを送信したりするための恰好の手段を提供します。既定でオープンに構成されるプロキシ サーバーが多くなっているので、オープン プロキシはより一般的になってきています。さらに、悪意のあるユーザーは、複数のオープン プロキシを使用して、送信者の発信元 IP アドレスを隠すこともできます。
送信者評価によるオープン プロキシ テストは、オープン プロキシからエッジ トランスポート サーバーに接続しなおすことで SMTP 要求の形式を設定することにより、実行されます。プロキシから SMTP 要求を受信した場合は、送信者評価により、プロキシがオープン プロキシであることが確認され、その送信者のオープン プロキシ テストの統計情報が更新されます。
送信者評価は、これらの統計情報をそれぞれ比較検討し、各送信者の SRL を計算します。SRL は、0 ~ 9 までの数字で、特定の送信者がスパム発信者または悪意のあるユーザーである確率を予測したものです。値 0 は、送信者がスパムの発信者である可能性が低いことを示します。値 9 は、送信者がスパムの発信者である可能性が高いことを示します。
送信者評価が送信者フィルター エージェントに対して要求を発行する際に使用する、0 ~ 9 のブロックしきい値を構成して、組織に届く送信者からのメッセージをブロックすることができます。送信者がブロックされると、構成可能な期間はその送信者は受信拒否リストに追加されます。受信拒否されたメッセージの処理方法は、送信者フィルター エージェントの構成によって異なります。受信拒否されたメッセージを処理するオプションは次のとおりです。
[拒否]
[削除およびアーカイブ]
[受信拒否リストとして承諾し、マークする]
送信者が IP 禁止一覧または Microsoft IP 評価サービスに含まれている場合、送信者評価は送信者フィルター エージェントに直ちに要求を発行して送信者をブロックします。この機能を活用するには、Microsoft Exchange Anti-spam Update サービスを有効にして構成しておく必要があります。
既定では、エッジ トランスポート サーバーでは分析されていない送信者のレベルは 0 に設定されます。送信者が 20 通以上のメッセージを送信した後で、送信者評価は、このトピックで前に説明した統計情報に基づき SRL を計算します。
ページのトップへ
SRL の使用
送信者評価は、次の SMTP セッションの 2 段階の間にメッセージに対して処理を行います。
SMTP の MAIL FROM: コマンド中 送信者評価がメッセージを処理するのは、そのメッセージがブロックされた場合だけで、ブロックされなければ、接続フィルター エージェント、送信者フィルター エージェント、受信者フィルター エージェント、または Sender ID エージェントがそのメッセージを処理します。メッセージがブロックされた場合、送信者評価は、エッジ トランスポート データベースに保持されている送信者プロファイルからその送信者に関する現在の SRL レベルを取得します。このレベルを取得して評価した後は、エッジ トランスポート サーバーの構成によって、ブロックしきい値に従って特定の接続で行われる動作が決まります。
SMTP の "データの終了" コマンド後 実際のメッセージ データがすべて送信されると、データ転送の終了 (_EOD) SMTP コマンドが実行されます。SMTP セッションのこの時点で、多くのスパム対策エージェントがメッセージを処理しています。スパム対策処理の副産物として、送信者評価が依存する統計情報が更新されます。その結果、送信者評価は、送信者の SRL レベルを計算したり再計算したりすることができるデータを得られます。
詳細については、「送信者評価のプロパティの構成」を参照してください。
ページのトップへ
オープン プロキシ サーバーの検出の有効化と構成
送信者評価により、SRL を計算するためにいくつかの送信者特性が評価されます。送信者評価で評価される特性の中に、オープン プロキシ サーバーのテスト結果があります。多くの場合、スパムの発信者は、インターネット上のオープン プロキシ サーバーを介してメッセージをルーティングします。オープン プロキシ サーバーを介してスパムをルーティングすることで、スパムの発信者は、自分のサーバーとは異なるサーバーから発信されたように見えるメッセージを送信できます。
送信者評価では、SRL を計算するときに、SOCKS4、SOCKS5、HTTP、Telnet、Cisco、Wingate などさまざまな一般的なプロキシ プロトコルを使用して、送信者の発信元 IP アドレスへの接続をしようとします。プロトコル固有の要求の形式を設定して、SMTP 要求を使用してオープン プロキシ サーバーからエッジ トランスポート サーバーへの接続を試みます。プロキシ サーバーから SMTP 要求を受信した場合は、プロキシ サーバーがオープン プロキシ サーバーであることを確認し、この結果に従って SRL レベルを調整します。既定では、オープン プロキシ サーバーの検出は、送信者評価で有効になっています。
オープン プロキシ サーバーの検出を有効にする方法の詳細については、「送信者評価のプロパティの構成」を参照してください。
オープン プロキシ サーバーの検出を構成する方法の詳細については、「送信者評価用のオープン プロキシ サーバーを検出するための送信アクセスを構成する」を参照してください。
ページのトップへ
SRL による禁止のしきい値の設定
SRL は、0 ~ 9 までの数字で、特定の送信者がスパム発信者または悪意のあるユーザーである確率を予測したものです。SRL によって送信者を拒否するためのしきい値を設定する必要があります。この SRL による禁止のしきい値は、送信者評価で送信者を拒否するために超える必要がある SRL の値を定義します。既定では、SRL は 7 に設定されています。既定のレベルで送信者評価エージェントの効果を監視してください。組織のニーズを満たすようにこの値を調整できる場合があります。他のスパム対策エージェントを厳しく設定する場合は、他のスパム対策エージェントが厳しく設定されていない場合よりも、送信者評価の SRL のしきい値を高く設定できることがあります。連携してスパムを削減するようにスパム対策の構成を調整する方法の詳細については、「スパム対策およびウイルス対策機能について」を参照してください。
送信者評価では、特定の送信者が SRL による禁止のしきい値を超えた場合、その送信者を接続フィルター エージェントの IP 禁止一覧に追加します。スパムの発信者は、単一の送信者からスパムのバッチを送信することがあります。このシナリオでは、送信者評価で計算した SRL が SRL による禁止のしきい値を超えた場合、送信者は一定期間、送信者禁止一覧に追加されます。この期間は構成可能です。既定の期間は 24 時間です。24 時間が経過すると、送信者は送信者禁止一覧から削除され、メッセージを再度送信できます。
送信者評価では、送信者が IP 禁止一覧に追加されたときに、その送信者のプロファイルを削除します。プロファイルを削除するのは、受信拒否リストに含まれる送信者の既存のプロファイルが、その送信者の SRL が SRL による禁止のしきい値を超えていることを示しているためです。そのままでは、送信者の拒否期間の終了後すぐに、受信拒否リストに含まれる送信者が IP 禁止一覧に再び追加されてしまいます。
詳細については、「送信者評価のプロパティの構成」を参照してください。
ページのトップへ
© 2010 Microsoft Corporation.All rights reserved.