第1回 Exchange Server 2007、4年分の進化を見よ


竹島 友理
NRIラーニングネットワーク株式会社

2008/7/7


 強化されたスパムフィルタ

 Exchange Server 2007のスパム対策機能は、Exchange Server 2003 SP2をベースにしているので、スパムフィルタの種類はExchange Server 2003 SP2ととてもよく似ています。しかし、さまざまな点で強化が加えられ、新たな機能が追加されています。Exchange Server 2007のウイルス対策機能では、いままでと同様、VSAPIが提供されているので、サードパーティのウイルス対策ソフトウェアを使用することもできますが、新たに、Exchange Server 2007と完全連携するMicrosoft Forefront Security for Exchange Serverを導入することもできるようになりました。また、ウイルス対策の標準機能として、添付ファイルブロックやウイルス対策スタンプといった機能も新たに追加されています。

【関連記事】
Forefrontが実現する包括的なセキュリティ
第3回 Exchangeを守る決め手は「マルチスキャンエンジン」

http://www.atmarkit.co.jp/fsecurity/rensai/forefront03/forefront01.html

 そのほか、メッセージ配信時に実行されるトランスポートルールという機能も新たに追加され、管理者が事前に指定した条件にヒットしたメッセージに対して、事前に定義したアクションを実行できます。例えば、あるユーザーが送信するメッセージには必ずBCCに上司を追加する、インターネットに送信するメッセージには必ず免責事項のテキスト文を挿入する、などです(トランスポートルールについては、別の回で紹介します)。

 Exchange Server 2007のスパム対策機能とウイルス対策機能の種類、適用順序は以下のとおりです。


図5 Exchange Server 2007のスパム対策機能とウイルス対策機能の適用順序

 接続フィルタからコンテンツフィルタまでがスパム対策機能で、添付ファイルフィルタとウイルススキャンがウイルス対策機能です。全体的には、少ないリソースで処理できるフィルタが先に実行され、多くのリソースを必要とするフィルタが後で実行されるようになっています。

 ウイルス対策機能の前にスパム対策機能が実行されるので、受信する必要がないメッセージが最初にフィルタ処理されます。組織に入ってくるメッセージの全体量を大幅に減らすことで、ウイルスの発生やマルウェア(悪意のあるソフトウェア)による攻撃の削減につながります。さらに、最終的に受け取るメッセージに対してだけウイルス対策機能を実行すればよくなるので、とても効率的です。

 また、これらのフィルタ機能はみな、エージェントとして実装されています。エージェントとは、Exchange Server 2007のイベントに応じて、あるタスクを実行する管理されたソフトウェアコンポーネントのことです。Exchange Server 2007のトランスポートエージェントは、スパム対策機能、ウイルス対策機能、トランスポートルールを実行します。Exchange Server 2007で現在実行されているエージェントは、「Get-TransportAgent」という Exchange管理シェルコマンドレットで確認できます。

 以下は、エッジトランスポートサーバでExchange管理シェルを起動し、「Get-TransportAgent」コマンドレットを実行したときの画面イメージです。

図6 Get-TransportAgentコマンドレットの実行(クリックで拡大します)

 それでは、コンテンツフィルタを除くスパム対策機能について見ていきましょう(コンテンツフィルタについては、連載第2回でご紹介します)。

 Exchange Server 2007の接続フィルタ

 「接続フィルタ」とは、Exchange Server 2007の接続フィルタエージェント(Connection Filtering Agent)が実装しているスパム対策機能で、接続しようとしているリモートメールサーバのIPアドレスを使用して、インターネットから受信したメッセージをフィルタ処理します。接続フィルタには、管理者が静的に定義する方法と、プロバイダのサービスを使用する方法があり、以下の順番で処理されます(拒否一覧の前に許可一覧が照合されます)。

  • IP許可一覧 (管理者が手動で定義する)
  • IP拒否一覧 (管理者が手動で定義する)
  • IP許可一覧プロバイダ (ホワイトリストとも呼ばれている、プロバイダのサービスを使用する)
  • IP禁止一覧プロバイダ (RBL:リアルタイムブロックリストとも呼ばれている、プロバイダのサービスを使用する)

 接続フィルタエージェントが有効になっているエッジトランスポートサーバがインターネットからメッセージを受信すると、SMTP接続の送信元IPアドレスをIP許可一覧やIP拒否一覧と照合します。許可一覧と一致した場合はメッセージを受信して、次の「送信者のフィルタ」に処理を移し、拒否一覧と一致した場合はメッセージの受信を拒否します。どちらの場合も、ほかの接続フィルタは適用されません。

 ところで、管理者が手動で構成するIP許可一覧とIP拒否一覧を常に最新の状態に維持することは非常に困難です(実際、不可能な場合がほとんどです)。そのような場合は、プロバイダが提供するサービスを使用すると便利です。IP禁止一覧プロバイダとは、リアルタイムブロックリスト(RBL)とも呼ばれているサービスで、プロバイダと契約することで、過去にスパムの送信元であったコンピュータ、SMTPが第三者中継を許可するように構成されているコンピュータ、ダイヤルアップアクセスをサポートするコンピュータのIPアドレスの一覧を照合できるようになります。

 しかし、ある正当なメールサーバが、誤ってIP禁止一覧プロバイダのリストに登録されてしまう場合もあります。そのときは、明示的にそのメールサーバを[例外]タブで設定してください。そうすることで、その正当なメールサーバからのメッセージをすぐに受信できるようになります。

 以下は、IP拒否一覧とIP禁止一覧プロバイダの設定画面です。Exchange Server 2007から、禁止一覧のエントリに対する有効期限や例外を設定できるようになりました。

図7 IP拒否一覧(左)とIP禁止一覧プロバイダ(右)の設定画面 (クリックで拡大します)

 また、Exchange Server 2007の新機能の1つに「IP 評価サービス」という機能があります。これは一般に公開されているRBLとは異なり、Exchange Server 2007の顧客にのみ提供されるIP禁止一覧です。管理者は、ほかのRBLサービスに加えて、IP評価サービスを使用できます。 IP評価サービスのデータは、Windows Updateサイトからダウンロードできます。

2/4

Index
Exchange Server 2007、4年分の進化を見よ
  Page1
Exchange Server 2007で強化されたポイントに注目せよ
Exchange Server 2003 SP2のスパム対策とウイルス対策
Exchange Server 2007での進化
Page2
強化されたスパムフィルタ
Exchange Server 2007の接続フィルタ
  Page3
送信者のフィルタ設定
受信者のフィルタ設定
  Page4
Exchange Server 2007 のSender IDフィルタ
動的なスパム対策を実現する送信者評価フィルタ


新・Exchangeで作るセキュアなメッセージ環境 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間