第2回 メッセージ環境をクリーンにするコンテンツフィルタ
竹島 友理
NRIラーニングネットワーク株式会社
2008/8/11
アクションタブで「スパムのレベル」に応じた処理を決める
コンテンツフィルタの主な設定は、[アクション]タブを使用します。コンテンツフィルタで行える主な設定は、アクションとしきい値の設定です。
 |
| 図3 [アクション]タブ(既定の設定) |
エッジトランスポートサーバがメッセージを受信すると、コンテンツフィルタが1つ1つのメッセージの内容を評価し、それらのメッセージがスパムである確率をSCL(Spam Confidence Level)という数値で表します。SCLは0〜9で設定され、0がスパムの確率が最も低く、9がスパムの確率が最も高いと判断されます。既定では、SCLが7以上のメッセージを拒否する構成のみ設定されています。
 |
| 図4 コンテンツフィルタ環境のメールフロー |
エッジトランスポートサーバは、1つ1つのメッセージに設定されたSCLの数値と、管理者が事前にコンテンツフィルタに設定したしきい値を比較します。そのメッセージがスパムであると判断された場合は、3つのしきい値の定義に応じて、3つの固有の処理(メッセージの削除、拒否、隔離)が実行されます。
| 【コラム】 拒否メッセージのカスタマイズ コンテンツフィルタによってメッセージが拒否されると、コンテンツの制限でメッセージが拒否されたことを表す、既定の応答メッセージが送信者側に返信されますが、この応答メッセージはカスタマイズできます。その際は、Exchange 管理シェルのSet-ContentFilterConfig-RejectionResponseコマンドレットを使用します。 |
1つ1つのメッセージに設定されたSCLは、以下の順番でコンテンツフィルタのしきい値と比較され、処理されます。そして、コンテンツフィルタを最後まで通過したメッセージは、メールボックスに格納されます。ただし、このときメールボックスに迷惑メールフィルタが設定されていれば、SCLと迷惑メールフィルタのしきい値を比較し、しきい値を超えていればユーザーの迷惑メールフォルダに、超えていなければユーザーの受信トレイに配信されます。
以下は、SCLと各種しきい値の比較フローです。
 |
| 図5 SCLと各種しきい値の比較フロー |
1つのしきい値が1つのアクションに関連しているので、構成時は以下の点に注意してください。
- SCLによる拒否のしきい値は、SCLによる隔離のしきい値よりも大きい値にする
- SCLによる削除のしきい値は、SCLによる拒否のしきい値と検疫のしきい値よりも大きい値にする
もし、3つのアクション(削除、拒否、隔離)をすべて処理させたい場合は、しきい値の数値の大きさと順番に気を付けて設定してください。例えば、「SCL=5以上は隔離、SCL=7以上は拒否、SCL=9以上は削除」のように設定した場合、SCLの数値に応じて3つのアクションを実行できます。しかし、これが逆になってしまうと、ほとんどのメッセージが削除されてしまいます。
 |
| 図6 [アクション]タブで3つのアクションを定義 |
カスタム単語タブで「絶対にハズせない」メールをキープ
[カスタム単語]タブは、Exchange Server 2007で新たに追加されました。SSCFがどのように判断しようとも、「この単語(語句)を含むメッセージは必ず受信する」または「この単語(語句)を含むメッセージは絶対に受信しない」というようなカスタム単語を定義できます。
コンテンツフィルタがメッセージを判断するときのアルゴリズムは公開されていないので、そのメッセージがスパムかどうかの判断も、どのしきい値で何の単語(語句)を拒否するのかも、完全にコンテンツフィルタに任せることになります。しかし、会社の方針として、「コンテンツフィルタがどのように判断しようとも、この単語に関しては受信してもらわないと困る」という要件がある場合、それを事前に定義できるようになりました。
カスタム単語は、許可と拒否を分けて定義できます。コンテンツフィルタエージェントは、受信メッセージ内で事前に構成した許可単語(語句)を検出するとそのメッセージに0というSCLを割り当て、拒否単語(語句)を検出すると9というSCLを割り当てます。
 |
| 図7 [カスタム単語]タブ |
コンテンツフィルタをかけられないユーザーは例外タブで
[例外]タブも、Exchange Server 2007で新たに追加されました。Exchange Server 2003のコンテンツフィルタは、すべてのユーザーに対して実行されていましたが、Exchange Server 2007では、コンテンツフィルタを適用したくないユーザーを指定できます。
例えば、特定のあて先に対しては絶対に誤検知が許されない場合や、どのようなメッセージであっても拒否させないようにしたい場合、コンテンツフィルタの構成にSMTP電子メール受信者アドレスの一覧を入力することで、例外を設定できます。
 |
| 図8 [例外]タブ |
| 【コラム】 送信者情報の例外を設定 GUIツールであるExchange管理コンソールでは、受信者一覧による例外しか設定できませんが、Exchange管理シェルのSet-ContentFilterConfigコマンドレットを使用すると、コンテンツフィルタの例外に、送信者(-BypassSenders)と送信側ドメイン(-BypassSenderDomains)を指定もできます。 |
 |
2/3 |
 |
| Index | |
| メッセージ環境をクリーンにするコンテンツフィルタ | |
| Page1 コンテンツフィルタとセーフリスト集約とは コンテンツフィルタの構成 |
|
 |
Page2 アクションタブで「スパムのレベル」に応じた処理を決める カスタム単語タブで「絶対にハズせない」メールをキープ コンテンツフィルタをかけられないユーザーは例外タブで |
| Page3 コンテンツフィルタで隔離されたメッセージの行き先 セーフリスト集約を活用しよう |
|
 |
新・Exchangeで作るセキュアなメッセージ環境 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
