第4回 スパムメールをシャットアウトするフィルタ機能を使う
竹島 友理NRIラーニングネットワーク株式会社
2006/1/24
しきい値の判断の仕方
ところで、[グローバル設定]の[メッセージ配信]プロパティにある「しきい値」には、いくつの値を設定するのが適切なのでしょうか?
しきい値の設定レベルは「1」から「9」です。ゲートウェイのしきい値もストアのしきい値も、デフォルトでは「8」になっているので、最もスパム度がひどいレベル「9」のメッセージのみスパムメールとしてフィルタリングされるようになっています。しきい値を小さくすれば、より厳しくスパムメールをチェックする環境になりますが、スパムメールではないメールまでもスパムメールとして処理してしまわないように気を付けてください。
それでは、実際にインターネットからどのレベルのメッセージを多く受信していて、それぞれのしきい値にはどのレベルを設定するのが適切なのか、調べる方法を紹介しましょう。
まず、Windowsの標準管理ツールであるパフォーマンスモニタを起動します。そして、オブジェクトカウンタから「MSExchange Intelligent Message Filter」を選択します。SCLのレベルに合わせて「Total Message Assigned an SCL Rating of 0」から「Total Message Assigned an SCL Rating of 9」までのカウンタが用意されています。調査したいレベルのカウンタを監視項目として追加します。
ある程度の期間、監視を続けてメッセージの数が最も多く、最も高いSCLレベルを探します。その値をゲートウェイのしきい値に設定します。一方、メールボックスストアのしきい値には「0」とゲートウェイのしきい値の中間値を設定します。
この後もしばらくの間、受信するメッセージを監視して、しきい値が適切になるように調整してください。このとき、ゲートウェイのメッセージブロック時の処理を「アーカイブ」に設定すると便利です。アーカイブに設定すると、指定フォルダ内にブロックされたコンテンツが格納されるので、それを監視しながらゲートウェイのしきい値を再調整できます(アーカイブに関しては後述します)。
IMFで処理したメッセージの数をモニタするには「Total Messages Scanned for UCE」カウンタを、実際にスパムメールとして処理されたメッセージの数をモニタするには「Total UCE Messages Acted Upon」カウンタを監視してください。詳細情報は、「インテリジェントメッセージフィルタデプロイメントガイド」を参考にしてください。
| 【インテリジェントメッセージフィルタデプロイメントガイド】 http://www.microsoft.com/japan/exchange/downloads/2003/imf/default.mspx |
ゲートウェイのしきい値を超えたメッセージ処理
それぞれのしきい値を超えたスパムメールに対する処理について解説します。
[グローバル設定]の[メッセージ配信]プロパティのデフォルト設定では、インターネットから受信したメッセージがゲートウェイのしきい値を超えたとしても、メッセージブロック時の処理方法が「何もしない」になっているので、分析したSCLをメッセージに付加する以外何もしません。どの処理方法が適切か検討したうえで設定してください。
●アーカイブ
スパムメールとして判断されたメッセージを、ユーザーのメールボックスには格納せず、アーカイブフォルダに格納します。デフォルトのアーカイブフォルダC:\Program Files\Exchsrv\Mailroot\vsin\UCEArchiveです(nはSMTP仮想サーバのインスタンス番号です)。
●何もしない
メッセージがスパムメールとして判断されても、SCLをメッセージに付加する以外何もしません。メッセージは、2つ目のチェックに従ってユーザーの受信トレイに格納されるか、または迷惑メールフォルダに格納されます。
●拒否
スパムメールとして判断されたメッセージをネットワーク内に入れることを拒否します。送信者に配信不能レポート(NDR:Non Delivery Report)が配信されます。
●削除
スパムメールとして判断されたメッセージを削除します。削除されたことは送信者にもあて先として指定された受信者にも通知されません。
メールボックスストアのしきい値を超えたメッセージ処理
ゲートウェイのしきい値チェックを通り抜けて入ってきたメッセージは、次のいずれかに格納されます。
- ユーザーの受信トレイ
- ユーザーの迷惑メールフォルダ
どちらに格納されるかは、メールボックスストアのしきい値とメッセージに付加された SCLを比較した結果と、ユーザーが行うOutlook 2003またはOutlook Web Access(OWA) 2003の迷惑メールフォルダ設定に依存します。
メッセージに付加されたSCLがメールボックスストアのしきい値より高い場合:
スパムメールとして扱われるため、ユーザーの迷惑メールフォルダに格納されます。ただし、ユーザーがそのメッセージの送信者を、信頼できる人として「セーフリスト」に登録していた場合は例外です。この場合は、受信トレイに格納されます。
メッセージに付加されたSCLがメールボックスストアのしきい値より低い場合:
正当なメールとして扱われるため、ユーザーの受信トレイに格納されます。ただし、ユーザーがそのメッセージの送信者を、信頼できない人として「拒否リスト」に登録していた場合は例外です。この場合は迷惑メールフォルダに格納されます。
 |
3/5
|
 |
| Index | |
| スパムメールをシャットアウトするフィルタ機能を使う | |
| Page1 フィルタ機能とは? スパムメールが大量に届くとどうなる? |
|
| Page2 インテリジェントメッセージフィルタとは IMFはどうやって使用するの? |
|
 |
Page3 しきい値の判断の仕方 ゲートウェイのしきい値を超えたメッセージ処理 メールボックスストアのしきい値を超えたメッセージ処理 |
| Page4 Exchange Server 2003標準のスパムメール対策機能 |
|
| Page5 4つのフィルタ機能と適用順序 フィルタ以外のスパムメール対策 |
|
| 関連記事 |
| 基礎から学ぶExchange Server 2003運用管理 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
