Exchange Serverでの送信者の評判とプロトコル分析エージェント
送信者評価は、Exchange のスパム対策機能の一部であり、送信者の多くの特徴に従ってメッセージをブロックします。 送信者評価では、送信者に関して保持されたデータを使用して、受信メッセージに対して行う処理を決定します。 プロトコル分析エージェントは、送信者評価機能の基礎となるエージェントです。
送信者の評判とプロトコル分析エージェントを構成する方法の詳細については、「 送信者の評判手順」を参照してください。
既定では、エッジ トランスポート サーバーでプロトコル分析エージェントが有効になりますが、メールボックス サーバーで有効にすることもできます。 詳細については、「メールボックス サーバーのスパム対策機能を有効にする」を参照してください。
送信者評価レベル (SRL) の計算
送信者評価レベル (SRL) は、以下の統計情報に基づいて計算されます。
HELO/EHLO 分析: HELO および EHLO SMTP コマンドは、受信 SMTP サーバーへの送信 SMTP サーバーの Contoso.com や IP アドレスなどのドメイン名を指定することを目的としています。 悪意のあるユーザー、つまりスパム発信者は多くの場合、さまざまな方法で HELO/EHLO ステートメントを偽造します。 たとえば、スパム発信者は、接続の発信元である IP アドレスとは一致しない IP アドレスを入力します。 また、スパム発信者は、ドメインが組織内にあるかのように見せかけるために、受信側サーバーでローカルにサポートされていると認識されているドメインを HELO ステートメントに設定します。 その他の場合は、スパム発信者が HELO ステートメントで渡されたドメインを変更します。 正当なユーザーの典型的な動作では、さまざまではあっても比較的一定している、HELO ステートメントの一連のドメインが使用されます。
したがって、HELO/EHLO ステートメントを送信者ごとに分析することによって、送信者がスパム送信者の可能性が高いことを示すことができます。 たとえば、特定の時間に多くの異なる一意の HELO/EHLO ステートメントを提供する送信者はスパム送信者である可能性が高くなります。 HELO ステートメント内に IP アドレスが繰り返し表示され、それが接続フィルター エージェントにより決定される発信元 IP アドレスと一致しない送信者は、スパム送信者である可能性が高くなります。 HELO ステートメント内にローカル ドメイン名が繰り返し表示され、それが Exchange サーバーと同じ組織内であるリモート送信者は、スパム送信者である可能性が高くなります。
逆引き DNS 参照: 送信者の評判は、送信者がメッセージを送信した送信元 IP アドレスが、送信者が HELO または EHLO SMTP コマンドで送信した登録済みドメイン名と一致することも確認します。
送信者評価は、発信元 IP アドレスを DNS に発信することによって、DNS 逆引きクエリを実行します。 DNS によって返される結果は、その IP アドレスのドメイン名前付け機関を使用して登録されたドメイン名です。 送信者評価は、DNS によって返されたドメイン名と、送信者が HELO/EHLO SMTP コマンドで発信したドメイン名を比較します。 ドメイン名が一致しない場合は、送信者はスパム発信者である可能性が高く、その送信者の全体的な SRL レベルの評価が上昇します。
Sender ID エージェントも同じようなタスクを実行しますが、Sender ID エージェントのタスクが成功するかどうかは、正当な送信者が DNS インフラストラクチャを更新して組織内のメール送信側 SMTP サーバーをすべて識別できるようにすることに依存しています。 DNS 逆引き参照を実行することによって、潜在的なスパム発信者を特定することができます。
特定の送信者からのメッセージに対する SCL 評価の分析: コンテンツ フィルター エージェントがメッセージを処理すると、スパム信頼レベル (SCL) の評価がメッセージに割り当てられます。 SCL レベルは 0 ~ 9 の数値です。 SCL レベルが高いほど、メッセージがスパムである可能性が高いことを示します。 各送信者とそのメッセージに付けられた SCL レベルに関するデータは、送信者評価による分析用に保持されます。 送信者評価は、その送信者からこれまでに届いたすべてのメッセージについて、低 SCL レベルのすべてのメッセージと高 SCL レベルのすべてのメッセージとの比率に従って、送信者に関する統計情報を計算します。 さらに、その送信者が最終日に送信した高 SCL レベルのメッセージの数も全体的な SRL に適用されます。
送信者のオープン プロキシ テスト: オープン プロキシ は、どこからでも接続要求を受け入れ、ローカル ホストから送信されたかのようにトラフィックを転送するプロキシ サーバーです。 プロキシ サーバーは、ファイアウォール ホスト経由で TCP トラフィックを中継して、ユーザー アプリケーションがファイアウォール経由で透過的にアクセスできるようにします。 プロキシ プロトコルはライトウェイトでユーザー アプリケーションのプロトコルには依存しないので、さまざまなサービスでプロキシを使用することができます。 プロキシは、複数のホストが単一のインターネット接続を共有するために使用することもできます。 プロキシは通常、ファイアウォールの内側の信頼されたホストのみがプロキシを通過できるようにセットアップされます。 意図しない構成エラーやマルウェアによって、正当な送信者がオープン プロキシとなる場合があります。
オープン プロキシは、悪意のあるユーザーが別人になりすましてサービス拒否攻撃 (DoS) を開始したり、スパムを送信したりするための恰好の手段を提供します。 既定でオープンに構成されるプロキシ サーバーが多くなっているので、オープン プロキシはより一般的になってきています。 さらに、悪意のあるユーザーは、複数のオープン プロキシを使用して、送信者の発信元 IP アドレスを隠すこともできます。
送信者評価によるオープン プロキシ テストは、オープン プロキシから Exchange サーバーに接続し直すために SMTP 要求の形式を設定することにより、実行されます。 プロキシから SMTP 要求を受信した場合は、送信者評価により、プロキシがオープン プロキシであることが確認され、その送信者のオープン プロキシ テストの統計情報が更新されます。
送信者の評判は、これらの各統計情報の重み付けを行い、送信者ごとに SRL を計算します。 SRL は、0 から 9 までの数字で、特定の送信者がスパム送信者または悪意のあるユーザーである確率を予測したものです。 値 0 は、送信者がスパム送信者ではない可能性があることを示します。値 9 は、送信者がスパム送信者である可能性があることを示します。
送信者評価が送信者フィルター エージェントに対して要求を発行する際に使用する、0 から 9 の禁止のしきい値を構成して、組織に届く送信者からのメッセージをブロックすることができます。 送信者がブロックされると、一定期間その送信者は受信拒否リストに追加されます (期間は構成可能です)。 受信拒否されたメッセージの処理方法は、送信者フィルター エージェントの構成によって異なります。 受信拒否されたメッセージを処理するオプションは次のとおりです。
拒否: メッセージは配信不能レポート (NDR、配信状態通知、DSN、またはバウンス メッセージとも呼ばれます) で返されます。
削除: メッセージは、NDR なしで自動的に削除されます。
受け入れ: メッセージは受け入れられ、ブロックされた送信者からのメッセージとしてマークされます
送信者フィルター エージェントの詳細については、「送信者フィルター」を参照してください。
送信者が IP 禁止一覧や Microsoft IP 評価サービスに含まれている場合、送信者評価は送信者フィルター エージェントに直ちに要求を発行して送信者をブロックします。 この機能を活用するには、Microsoft Exchange Anti-spam Update サービスを有効にして構成しておく必要があります。
既定では、送信者評価では分析されていない送信者のレベルは 0 に設定されます。 送信者が 20 通以上のメッセージを送信した後で、送信者評価は、このトピックで前に説明した統計情報に基づき SRL を計算します。
SRL を使用する場合
送信者評価は、次の SMTP セッションの 2 段階の間にメッセージに対して処理を行います。
MAIL FROM: SMTP コマンド: 送信者の評判は、メッセージがブロックされた場合、または接続フィルター エージェント、送信者フィルター エージェント、受信者フィルター エージェント、または送信者 ID エージェントによって処理された場合にのみ、メッセージに対して動作します。 メッセージがブロックされた場合、送信者評価は、Exchange サーバーに保持されている送信者プロファイルからその送信者に関する現在の SRL レベルを取得します。 このレベルを取得して評価した後は、Exchange サーバーの構成によって、禁止のしきい値に従って特定の接続で行われる動作が決まります。
"データの終了" SMTP コマンドの後: すべての実際のメッセージ データが送信されると、データ転送 (EOD) SMTP コマンドの終了が指定されます。 SMTP セッションのこの時点では、多くのスパム対策エージェントがメッセージを処理しています。 スパム対策処理の副産物として、送信者評価が依存する統計情報が更新されます。 その結果、送信者評価は、送信者の SRL レベルを計算したり再計算したりすることができるデータを得られます。
オープン プロキシ サーバーの検出の構成
送信者評価では、SRL を計算するときに、SOCKS4、SOCKS5、HTTP、Telnet、Cisco、Wingate などさまざまな一般的なプロキシ プロトコルを使用して、送信者の発信元 IP アドレスに接続しようとします。 プロトコル固有の要求の形式を設定し、SMTP 要求を使用してオープン プロキシ サーバーから Exchange サーバーへの接続を試みます。 プロキシ サーバーから SMTP 要求を受信した場合は、プロキシ サーバーがオープン プロキシ サーバーであることを確認し、この結果に従って SRL レベルを調整します。 既定では、オープン プロキシ サーバーの検出は、送信者評価で有効になっています。
開いているプロキシ サーバーの検出を構成する方法の詳細については、「 送信者の評判手順」を参照してください。
SRL による禁止のしきい値の設定
SRL は、0 から 9 までの数字で、特定の送信者がスパム送信者または悪意のあるユーザーである確率を予測したものです。 送信者評価が送信者をブロックするように SRL の値を指定するには、送信者をブロックする SRL のしきい値を設定する必要があります。 既定では、SRL の禁止のしきい値は 7 であり、これは SRL が 7、8、9 の送信者がブロックされることを意味します。 送信者評価と既定のレベルのプロトコル分析エージェントの有効性を監視する必要があります。
エッジ トランスポート サーバーで、SRL ブロックのしきい値が特定の送信者によって満たされているか、超えた場合、送信者評判は接続フィルター エージェントの IP ブロック リストに送信者を追加します。 スパム送信者は、1 人の送信者からスパムのバッチを送信することがあります。 このシナリオでは、送信者の評判が SRL ブロックのしきい値を超える SRL を計算すると、送信者は構成可能な期間、送信者ブロック リストに追加されます。 既定の期間は 24 時間です。 24 時間後、送信者は送信者ブロック リストから削除され、メッセージを再度送信できます。
送信者評価では、送信者が IP 禁止一覧に追加されたときに、その送信者のプロファイルを削除します。 プロファイルを削除するのは、受信拒否リストに含まれる送信者の既存のプロファイルで、その送信者の SRL が SRL による禁止のしきい値を超えていることを示しているためです。 そのままでは、送信者の拒否期間の終了後すぐに、受信拒否リストに含まれる送信者が IP 禁止一覧に再び追加されてしまいます。
送信者のブロックを構成する方法の詳細については、「 送信者の評判手順」を参照してください。