EOP のスパム対策保護
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
注:
このトピックは、管理者を対象としています。 エンド ユーザーのトピックについては、「迷惑メールEmailフィルターの概要」および「迷惑メールとフィッシングについて」を参照してください。
Exchange Online のメールボックスを使用している Microsoft 365 の組織、または Exchange Online のメールボックスを使用せずにスタンドアロンの Exchange Online Protection (EOP) を使用している組織の場合、電子メール メッセージは EOP によって迷惑メールに対して自動的に保護されます。
迷惑メールを減らすのに役立つ EOP には、独自のスパム フィルター処理 (コンテンツ フィルター処理とも呼ばれます) テクノロジを使用して、迷惑メールを特定し、正当なメールから分離 する迷惑メール保護が含まれています。 EOP スパム フィルタリングは、既知のスパムとフィッシングの脅威とコンシューマー プラットフォームからのユーザー フィードバックから学習 Outlook.com。 管理者とユーザーからの継続的なフィードバックは、EOP テクノロジが継続的にトレーニングされ、改善されていることを確認するのに役立ちます。
EOP では、以下の迷惑メール フィルターの判定を使ってメッセージを分類します。
- スパム: メッセージは、5 または 6 の スパム信頼レベル (SCL) を受信しました。
- 高信頼スパム: メッセージは、7、8、または 9 の SCL を受信しました。
- フィッシング
- 高信頼フィッシング: 既定ではセキュリティ保護の一環として、高信頼度フィッシングとして識別されるメッセージは常に検疫され、管理者が構成する使用可能な設定に関係なく、ユーザーは独自の検疫された高信頼フィッシング メッセージを解放できません。
- 一括: メッセージ ソースが、構成された 一括苦情レベル (BCL) のしきい値を満たしているか、超えました。
スパム対策保護の詳細については、「スパム対策の保護に関する FAQ」を参照してください。
既定のスパム対策ポリシーとカスタムスパム対策ポリシーでは、これらの判定に基づいて実行するアクションを構成できます。 Standardと厳密な事前設定されたセキュリティ ポリシーでは、EOP スパム対策ポリシー設定で説明されているように、アクションは既に構成されており、変更できません。
既定のスパム対策ポリシーを構成し、カスタムスパム対策ポリシーを作成、変更、削除するには、「 Microsoft 365 でスパム対策ポリシーを構成する」を参照してください。
ヒント
スパム フィルターの判定に同意しない場合は、メッセージを誤検知 (不適切とマークされた良いメール) または誤検知 (無効なメール許可) として Microsoft に報告できます。 詳細については、以下を参照してください:
- 不審なメールやファイルを Microsoft に報告操作方法。
- Microsoft Defender for Office 365を使用して、正当なメールがブロック (誤検知) されるのを処理する方法
- Microsoft Defender for Office 365を使用して受信者に配信される悪意のあるメール (偽陰性) を処理する方法
スパム対策メッセージ ヘッダーは、メッセージがスパムとしてマークされた理由、またはスパム フィルター処理がスキップされた理由を示します。 詳細については、「スパム対策メッセージ ヘッダー」を参照してください。
Microsoft 365 でスパム フィルター処理を完全にオフにすることはできませんが、Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して、受信メッセージのほとんどのスパム フィルター処理をバイパスできます (たとえば、Microsoft 365 に配信する前にサード パーティの保護サービスまたはデバイスを介してメールをルーティングする場合)。 詳細については、「メール フロー ルールを使用して、メッセージの Spam Confidence Level (SCL) を設定する」を参照してください。
- 信頼度の高いフィッシング メッセージは、引き続きフィルター処理されます。 EOP のその他の機能は影響を受けません (たとえば、メッセージは常にマルウェアをスキャンします)。
- SecOps メールボックスまたはフィッシングシ ミュレーションのスパム フィルター処理をバイパスする必要がある場合は、メール フロー ルールを使用しないでください。 詳細については、「サード パーティのフィッシング シミュレーションをユーザーに配信し、フィルター処理されていないメッセージを SecOps メールボックスに配信するように構成する」を参照してください。
EOP がオンプレミスの Exchange メールボックスを保護するハイブリッド環境では、メッセージに追加された EOP スパム ヘッダーを認識するために、オンプレミスの Exchange organizationで 2 つのメール フロー ルール (トランスポート ルールとも呼ばれます) を構成する必要があります。 詳細については、「迷惑メール フォルダーにスパムを配信するように EOP を構成する」を参照してください。
スパム対策ポリシー
スパム対策ポリシーは、スパム フィルター処理の構成可能な設定を制御します。 スパム対策ポリシーの重要な設定については、次のサブセクションで説明します。
ヒント
既定のポリシーのスパム対策ポリシー設定、Standardの事前設定されたセキュリティ ポリシー、および厳格な事前設定されたセキュリティ ポリシーについては、「EOP スパム対策ポリシー設定」を参照してください。
スパム対策ポリシーの受信者フィルター
受信者フィルターでは、条件と例外を使用して、ポリシーが適用される内部受信者を識別します。 カスタム ポリシーでは、少なくとも 1 つの条件が必要です。 条件と例外は、既定のポリシーでは使用できません (既定のポリシーはすべての受信者に適用されます)。 条件と例外には、次の受信者フィルターを使用できます。
- ユーザー: organization内の 1 つ以上のメールボックス、メール ユーザー、またはメール連絡先。
-
グループ:
- 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
- 指定した Microsoft 365 グループ。
- ドメイン: Microsoft 365 で構成 されている承認済みドメインの 1 つ以上。 受信者のプライマリ メール アドレスは、指定したドメイン内にあります。
条件または例外は 1 回だけ使用できますが、条件または例外には複数の値を含めることができます。
同じ条件または例外の複数の値は、OR ロジック (たとえば、<recipient1> または <recipient2> を使用します)。
- 条件: 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
- 例外: 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。
異なる種類の例外では、OR ロジック (たとえば、<recipient1>または group1 の<メンバー> domain1 の<メンバー) が使用されます>。 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
- ユーザー:
romain@contoso.com
- グループ: エグゼクティブ
ポリシーは、
romain@contoso.com
エグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。- ユーザー:
スパム対策ポリシーの一括苦情しきい値 (BCL)
EOP は、一括苦情レベル (BCL) 値を一括送信者からの受信メッセージに割り当てます。 一括送信者からのメッセージは、 一括メールまたは灰色のメール とも呼 ばれます。
BCL の詳細については、「 EOP での一括苦情レベル (BCL)」を参照してください。
ヒント
既定では、PowerShell の設定 MarkAsSpamBulkMail のみが、Exchange Online PowerShell のスパム対策ポリシーにOn
されます。 この設定は、 一括準拠レベル (BCL) がフィルター処理の判定に達したか、または超過した 結果に大きく影響します。
- MarkAsSpamBulkMail がオン: しきい値以上の BCL は 、スパムのフィルター処理の判定に対応する SCL 6 に変換され、 一括準拠レベル (BCL) が一括準拠レベル (BCL) で満たされたか、または超過した フィルター判定のアクションがメッセージに対して実行されます。
- MarkAsSpamBulkMail がオフ: メッセージに BCL がスタンプされますが、一括準拠レベル (BCL) が満たされているか、フィルター処理の判定を超えた場合はアクションは実行されません。 実際には、BCL のしきい値と 一括準拠レベル (BCL) がフィルター処理の判定アクションを満たしているか、超過した 場合は関係ありません。
スパム対策ポリシーのスパム プロパティ
[テスト モード] 設定、[スパム スコアの増加] 設定、および [スパムとしてマークする] 設定のほとんどは、スパム対策ポリシーの高度なスパム フィルター処理 (ASF) の一部です。
これらの設定は、既定では既定のスパム対策ポリシーや、Standardまたは厳密な事前設定されたセキュリティ ポリシーでは構成されません。
ASF 設定の詳細については、「 EOP の高度なスパム フィルター (ASF) 設定」を参照してください。
このカテゴリで使用できるその他の設定は次のとおりです。
- 特定の言語が含まれています: 指定された言語のメッセージは、自動的にスパムとして識別されます。
- これらの国から: 指定した国からのメッセージは、自動的にスパムとして識別されます。
これらの設定は、既定では既定のスパム対策ポリシーや、Standardまたは厳密な事前設定されたセキュリティ ポリシーでは構成されません。
スパム対策ポリシーでのアクション
カスタムスパム対策ポリシーと既定のスパム対策ポリシーでは、スパム フィルター判定に使用できるアクションを次の表に示します。
- チェック マーク ( ✔ ) は、アクションが使用可能であることを示します (すべてのアクションがすべての評決で使用できるわけではありません)。
- チェック マークの後にアスタリスク ( * ) がある場合、スパム対策フィルター判定の既定のアクションであることを示しています。
アクション スパム 高
信頼度
スパムフィッシング詐欺 高
信頼度
フィッシング詐欺バルク [迷惑メール Email フォルダーにメッセージを移動する]: メッセージはメールボックスに配信され、迷惑メール Email フォルダーに移動されます。¹ ✔* ✔* ✔ ² ✔* X-ヘッダーを追加する: X-ヘッダーをメッセージ ヘッダーに追加し、そのメッセージをメールボックスに配信します。
[この X ヘッダーの 追加] テキスト ボックスに X ヘッダー フィールド名 (値ではなく) を入力します。
迷惑メールと高信頼スパム判定の場合、メッセージは [迷惑メール] Email フォルダーに移動されます。¹ ²✔ ✔ ✔ ✔ 件名行の先頭にテキストを追加する: メッセージの件名行の先頭にテキストを追加します。 メッセージはメールボックスに配信され、[迷惑メール] フォルダーに移動されます。¹ ²
このテキスト ボックスを使用して、使用可能な プレフィックスの件名行にテキストを 入力します。✔ ✔ ✔ ✔ [メッセージをメール アドレスにリダイレクトする]: メッセージを本来の受信者の代わりに他の受信者に送信します。
[ このメール アドレスにリダイレクト する] ボックスで受信者を指定します。✔ ✔ ✔ ✔ ✔ [メッセージの削除]: 添付ファイルすべてを含め、メッセージ全体が確認なしで削除されます。 ✔ ✔ ✔ ✔ [メッセージを隔離する]: メッセージを本来の受信者に送信せず、検疫に送信します。
[検疫ポリシーの選択] ボックスに表示されるスパム フィルター判定の既定の検疫ポリシーを選択または使用します。⁴ 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
[この日数の検疫でスパムを保持する] ボックスで、メッセージを 検疫に保持する期間を 指定します。✔ ✔ ✔* ✔ * ⁵ ✔ アクションなし ✔ ¹ EOP は、メールボックス内の迷惑メール ルールを使用するのではなく、独自のメール フロー配信エージェントを使用して、迷惑メール Email フォルダーにメッセージをルーティングします。 PowerShell の Set-MailboxJunkEmailConfiguration コマンドレットの Enabled パラメーターは、クラウド メールボックスExchange Onlineメール フローに影響します。 詳細については、「Exchange Online のメールボックスの迷惑メール設定を構成する」を参照してください。
² 信頼度の高いフィッシングの場合、メッセージを迷惑メール Email フォルダーに移動するアクションは事実上非推奨です。 [迷惑メール Email フォルダーにメッセージを移動する] アクションを選択できる場合がありますが、信頼度の高いフィッシング メッセージは常に検疫されます (検疫メッセージの選択と同じです)。
² この値をメール フロー ルールの条件として使用して、メッセージをフィルター処理またはルーティングできます。
⁴ スパム フィルター判定で既定でメッセージが検疫される場合 (ページにアクセスしたときに検疫メッセージ が既に選択されている)、[ 検疫ポリシーの選択 ] ボックスに既定の検疫ポリシー名が表示されます。 スパム フィルター判定のアクションを [検疫メッセージ] に変更した場合、既定では [検疫ポリシーの選択] ボックスは空白になります。 空白の値は、その判定の既定の検疫ポリシーが使用されることを意味します。 後でスパム対策ポリシー設定を表示または編集すると、検疫ポリシー名が表示されます。 スパム フィルター判定に既定で使用される検疫ポリシーの詳細については、「 EOP スパム対策ポリシー設定」を参照してください。
⁵ ユーザーは、検疫ポリシーの構成方法に関係なく、高信頼フィッシングとして検疫された独自のメッセージを解放できません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫された信頼度の高いフィッシング メッセージのリリースを 要求 できます。
アクションを実行する組織内メッセージ: スパム フィルター処理と対応する判定アクションを内部メッセージ (organization内のユーザー間で送信されるメッセージ) に適用するかどうかを制御します。 指定されたスパム フィルター判定のポリシーで構成されているアクションは、内部ユーザー間で送信されたメッセージに対して実行されます。 使用できる値は次のとおりです:
- 既定値: 既定値です。 この値は、[ 信頼度の高いフィッシング メッセージ] を選択する場合と同じです。
- なし
- 信頼度の高いフィッシング メッセージ
- フィッシングと信頼度の高いフィッシング メッセージ
- すべてのフィッシングと信頼度の高いスパム メッセージ
- すべてのフィッシングおよびスパム メッセージ
既定のスパム対策ポリシーとStandardおよび厳密な事前設定されたセキュリティ ポリシーで使用される既定値については、EOP スパム対策ポリシー設定のエントリに対してアクションを実行する組織内メッセージに関するページを参照してください。
スパムを指定した日数隔離しておく: スパム対策フィルター判定のアクションとして [メッセージを検疫] を選択した場合に、メッセージを検疫に保持する期間を指定します。 期間の有効期限が切れると、メッセージは削除され、回復できません。 有効な値は 1 日から 30 日です。
既定のスパム対策ポリシーで使用される既定値と、Standardと厳密な事前設定されたセキュリティ ポリシーで使用される既定値については、「EOP スパム対策ポリシー設定のこの多くの日の検疫でスパムを保持する」エントリを参照してください。
ヒント
この設定では、フィッシング対策 ポリシーによって検疫されたメッセージが保持される期間も制御します。 詳細については、「 検疫の保持」を参照してください。
スパム対策ポリシーでの 0 時間自動消去 (ZAP)
フィッシング用の ZAP とスパム用の ZAP は、Exchange Onlineメールボックスに配信された後にメッセージに対して動作できます。 既定では、フィッシング用の ZAP とスパムの ZAP がオンになり、オンのままにしておくことをお勧めします。 詳細については、以下を参照してください:
スパム対策ポリシーの検疫ポリシー
スパム対策ポリシーの判定がメッセージを検疫するように構成されている場合、検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
スパム対策ポリシーでリストを許可およびブロックする
スパム対策ポリシーには、特定の送信者またはドメインを許可またはブロックするための次の一覧が含まれています。
- 許可される送信者の一覧
- 許可されるドメインの一覧
- ブロックされた送信者の一覧
- ブロックされたドメインの一覧
これらの設定は、既定では既定のスパム対策ポリシーや、Standardまたは厳密な事前設定されたセキュリティ ポリシーでは構成されません。
これらのリストの機能は、主に次のように置き換えられました。
ドメインと電子メール アドレスのブロック エントリの作成に関するページの ドメインとメール アドレスのエントリをブロックします。
ブロックされた送信者リストまたはブロックされたドメインリストをスパム対策ポリシーで使用するメイン理由: テナント許可/ブロックリストのブロックエントリは、organizationのユーザーがそれらの電子メール アドレスまたはドメインに電子メールを送信することもできません。
Microsoft Defender ポータルの [申請] ページから Microsoft に適切な電子メールを報告する ([テナント許可/ブロック リスト] に必要な一時的なエントリを作成する、類似の属性を持つ電子メールを許可する] を選択できます)。
重要
許可された送信者リストまたは許可されたドメイン リスト内のエントリからのメッセージは、ほとんどの電子メール保護 (マルウェアと高信頼フィッシングを除く) と 電子メール認証 チェック (SPF、DKIM、DMARC) をバイパスします。 許可された送信者リストまたは許可されたドメイン リスト内のエントリにより、攻撃者が受信トレイにメールを正常に配信するリスクが高くなります。その場合は、フィルター処理されます。 これらのリストは、一時的なテストにのみ最適です。
許可されるドメインの一覧に共通ドメイン (microsoft.com や office.com など) を追加しないでください。 攻撃者は、これらの一般的なドメインからorganizationにスプーフィングされたメッセージを簡単に送信できます。
2022 年 9 月の時点で、許可された送信者、ドメイン、またはサブドメインがorganizationの承認済みドメインにある場合、その送信者、ドメイン、またはサブドメインは、スパム フィルタリングをスキップするために電子メール認証チェックに合格する必要があります。
許可されたドメイン エントリを一覧に長期間保持する場合は、SPF レコードがドメインの電子メール ソースで最新の状態であり、DMARC レコード内のポリシーが
p=reject
に設定されていることを確認するように送信者に指示します。
スパム対策ポリシーの優先順位
オンになっている場合は、カスタムスパム対策ポリシーまたは既定のポリシーの前に、Standardと Strict の事前設定されたセキュリティ ポリシーが適用されます (Strict は常に最初です)。 複数のカスタムスパム対策ポリシーを作成する場合は、適用する順序を指定できます。 ポリシー処理は、最初のポリシーが適用された後に停止します (その受信者の優先度が最も高いポリシー)。
優先順位の順序と複数のポリシーの評価方法の詳細については、「電子メール保護の順序と優先順位」および「事前設定されたセキュリティ ポリシーやその他のポリシーの優先順位」を参照してください。
既定のスパム対策ポリシー
すべてのorganizationには、Default という名前の組み込みのスパム対策ポリシーがあり、次のプロパティがあります。
- ポリシーは既定のポリシー (IsDefault のプロパティが
True
の値になっている) であり、既定のポリシーを削除することはできません。 - ポリシーは、organization内のすべての受信者に自動的に適用され、オフにすることはできません。
- ポリシーは常に最後に適用されます ( [優先度 ] の値は [最低] であり、変更することはできません)。