
第1回 Exchange Server 2007、4年分の進化を見よ
竹島 友理
NRIラーニングネットワーク株式会社
2008/7/7
強化されたスパムフィルタ
Exchange Server 2007のスパム対策機能は、Exchange Server 2003 SP2をベースにしているので、スパムフィルタの種類はExchange Server 2003 SP2ととてもよく似ています。しかし、さまざまな点で強化が加えられ、新たな機能が追加されています。Exchange Server 2007のウイルス対策機能では、いままでと同様、VSAPIが提供されているので、サードパーティのウイルス対策ソフトウェアを使用することもできますが、新たに、Exchange Server 2007と完全連携するMicrosoft Forefront Security for Exchange Serverを導入することもできるようになりました。また、ウイルス対策の標準機能として、添付ファイルブロックやウイルス対策スタンプといった機能も新たに追加されています。
【関連記事】 Forefrontが実現する包括的なセキュリティ 第3回 Exchangeを守る決め手は「マルチスキャンエンジン」 http://www.atmarkit.co.jp/fsecurity/rensai/forefront03/forefront01.html |
そのほか、メッセージ配信時に実行されるトランスポートルールという機能も新たに追加され、管理者が事前に指定した条件にヒットしたメッセージに対して、事前に定義したアクションを実行できます。例えば、あるユーザーが送信するメッセージには必ずBCCに上司を追加する、インターネットに送信するメッセージには必ず免責事項のテキスト文を挿入する、などです(トランスポートルールについては、別の回で紹介します)。
Exchange Server 2007のスパム対策機能とウイルス対策機能の種類、適用順序は以下のとおりです。
![]() |
図5 Exchange Server 2007のスパム対策機能とウイルス対策機能の適用順序 |
接続フィルタからコンテンツフィルタまでがスパム対策機能で、添付ファイルフィルタとウイルススキャンがウイルス対策機能です。全体的には、少ないリソースで処理できるフィルタが先に実行され、多くのリソースを必要とするフィルタが後で実行されるようになっています。
ウイルス対策機能の前にスパム対策機能が実行されるので、受信する必要がないメッセージが最初にフィルタ処理されます。組織に入ってくるメッセージの全体量を大幅に減らすことで、ウイルスの発生やマルウェア(悪意のあるソフトウェア)による攻撃の削減につながります。さらに、最終的に受け取るメッセージに対してだけウイルス対策機能を実行すればよくなるので、とても効率的です。
また、これらのフィルタ機能はみな、エージェントとして実装されています。エージェントとは、Exchange Server 2007のイベントに応じて、あるタスクを実行する管理されたソフトウェアコンポーネントのことです。Exchange Server 2007のトランスポートエージェントは、スパム対策機能、ウイルス対策機能、トランスポートルールを実行します。Exchange Server 2007で現在実行されているエージェントは、「Get-TransportAgent」という Exchange管理シェルコマンドレットで確認できます。
以下は、エッジトランスポートサーバでExchange管理シェルを起動し、「Get-TransportAgent」コマンドレットを実行したときの画面イメージです。
図6 Get-TransportAgentコマンドレットの実行(クリックで拡大します) |
それでは、コンテンツフィルタを除くスパム対策機能について見ていきましょう(コンテンツフィルタについては、連載第2回でご紹介します)。
Exchange Server 2007の接続フィルタ
「接続フィルタ」とは、Exchange Server 2007の接続フィルタエージェント(Connection Filtering Agent)が実装しているスパム対策機能で、接続しようとしているリモートメールサーバのIPアドレスを使用して、インターネットから受信したメッセージをフィルタ処理します。接続フィルタには、管理者が静的に定義する方法と、プロバイダのサービスを使用する方法があり、以下の順番で処理されます(拒否一覧の前に許可一覧が照合されます)。
- IP許可一覧 (管理者が手動で定義する)
- IP拒否一覧 (管理者が手動で定義する)
- IP許可一覧プロバイダ (ホワイトリストとも呼ばれている、プロバイダのサービスを使用する)
- IP禁止一覧プロバイダ (RBL:リアルタイムブロックリストとも呼ばれている、プロバイダのサービスを使用する)
接続フィルタエージェントが有効になっているエッジトランスポートサーバがインターネットからメッセージを受信すると、SMTP接続の送信元IPアドレスをIP許可一覧やIP拒否一覧と照合します。許可一覧と一致した場合はメッセージを受信して、次の「送信者のフィルタ」に処理を移し、拒否一覧と一致した場合はメッセージの受信を拒否します。どちらの場合も、ほかの接続フィルタは適用されません。
ところで、管理者が手動で構成するIP許可一覧とIP拒否一覧を常に最新の状態に維持することは非常に困難です(実際、不可能な場合がほとんどです)。そのような場合は、プロバイダが提供するサービスを使用すると便利です。IP禁止一覧プロバイダとは、リアルタイムブロックリスト(RBL)とも呼ばれているサービスで、プロバイダと契約することで、過去にスパムの送信元であったコンピュータ、SMTPが第三者中継を許可するように構成されているコンピュータ、ダイヤルアップアクセスをサポートするコンピュータのIPアドレスの一覧を照合できるようになります。
しかし、ある正当なメールサーバが、誤ってIP禁止一覧プロバイダのリストに登録されてしまう場合もあります。そのときは、明示的にそのメールサーバを[例外]タブで設定してください。そうすることで、その正当なメールサーバからのメッセージをすぐに受信できるようになります。
以下は、IP拒否一覧とIP禁止一覧プロバイダの設定画面です。Exchange Server 2007から、禁止一覧のエントリに対する有効期限や例外を設定できるようになりました。
図7 IP拒否一覧(左)とIP禁止一覧プロバイダ(右)の設定画面 (クリックで拡大します) |
また、Exchange Server 2007の新機能の1つに「IP 評価サービス」という機能があります。これは一般に公開されているRBLとは異なり、Exchange Server 2007の顧客にのみ提供されるIP禁止一覧です。管理者は、ほかのRBLサービスに加えて、IP評価サービスを使用できます。 IP評価サービスのデータは、Windows Updateサイトからダウンロードできます。
![]() |
2/4 |
![]() |
Index | |
Exchange Server 2007、4年分の進化を見よ | |
Page1 Exchange Server 2007で強化されたポイントに注目せよ Exchange Server 2003 SP2のスパム対策とウイルス対策 Exchange Server 2007での進化 |
|
![]() |
Page2 強化されたスパムフィルタ Exchange Server 2007の接続フィルタ |
Page3 送信者のフィルタ設定 受信者のフィルタ設定 |
|
Page4 Exchange Server 2007 のSender IDフィルタ 動的なスパム対策を実現する送信者評価フィルタ |
![]() |
新・Exchangeで作るセキュアなメッセージ環境 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
![]() |
|
|
|
![]() |