いくつかの変数はスパムメッセージを検出および管理する方法に影響を与えます。
管理者
電子メールとスパムについて学習する
スパムを制御するには、問題について理解する必要があります。関連するプロトコル、手法、技術について学習します。製品のマニュアルは知識を構築して強化するために最適なリソースです。
「Symantec Messaging Gateway のマニュアル」を参照してください。
Symantec Messaging Gateway アプライアンスは業界をリードするスパム対策技術を提供し、比類ない正確性と効果を実現します。以下のマニュアルは最適な結果を得られるように製品を構成および調整する方法について詳しく説明しています。Symantec Messaging Gateway およびその他の Symantec Mail Security 製品に関連したスパム対策の有効性の問題、ポリシー、手続きの概要についても説明しています。
Messaging Gateway のスパム対策の有効性を参照してください。
製品
スパムを放置しない
Symantec Messaging Gateway アプライアンスは誤検知の確立が 100 万分の 1 未満という精度により、スパム対策ソリューションのゴールドスタンダードとなっています。受信するすべてのメッセージのうちスパムが占める割合は 90% を超える場合があります。いくつかの研究により、スパムの削除にかかる時間が生産性を低下させてコストに最も影響することが明らかになっています。このため、スパム対策ポリシーを設定し、スパムを自動的に削除することをお勧めします。必要ない場合、スパムが検疫されることはありません。
ソフトウェアを最新の状態に保つ
Symantec AntiSpam ソフトウェアを最新の状態に保つことで、スパム対策ソフトウェアの最新技術を活用できます。
可能な場合はすべてのドメインで受信者検証を実装する
ほとんどのスパムは受信者の名前を考慮することなく総当り攻撃で送信されます。これにより、スパマーはディレクトリハーベスト攻撃 (DHA) と呼ばれる手法を使用し、存在する受信者や有効な受信者を特定することもできます。受信者検証によって、有効な受信者宛てのメッセージのみを受け入れ、[無効な受信者を拒否する]を有効にしている場合は無効な受信者宛てのメッセージを拒否できます。これにより、処理するスパムのボリュームを大幅に削減できます。
ディレクトリハーベスト攻撃 (DHA) に拒否で対応する (DDS 設定を行う必要があります)
スパマーはディレクトリハーベスト攻撃を利用して、特定のサイトから有効な電子メールアドレスを入手しようと試みます。ディレクトリハーベスト攻撃は、特定のサイトに対し、存在する可能性のある電子メールアドレスを宛先として大量のメールを送り付ける方法です。無防備なメールサーバーでは無効なアドレスに送信されたメッセージが拒否されます。このため、スパマーは送信したメッセージのリストと拒否されたメッセージのリストを比較することで、有効な電子メールアドレスを見分けることができます。
この機能を構成する方法については、管理者ガイドを参照してください。
送信者認証を有効にする
送信者の SPF 認証と Sender ID 認証はドメインベースで、DKIM 認証はシステム全体で有効にできます。
SMG アプライアンスに含まれている SPF などの送信者認証機能は、送信者のドメインの SPF レコードがどのように作成されているかによっても影響も受けます。正しく構成されていて頻繁に偽装されることがわかっているドメインに対してのみ送信者認証を有効にしてください。
DKIM については、コンテンツフィルタポリシーを作成して DKIM 認証の結果に基づいて処理を適用できます。
http://en.wikipedia.org/wiki/Sender_ID を参照してください。
Sender ID はエンベロープと本文の送信者を比較することにより、SPF 機能の拡張を試みます。妥当と判定される場合、特定の状況下で有効な電子メールが実際に拒否されます。
- 送信者が BATV (下記を参照) を有効にしていて、正しいポリシーが適用された Sender ID レコードが存在しない場合、電子メールは拒否されます
- 一部の内部受信者がメーリングリストに登録されている場合、電子メールは拒否されます
http://en.wikipedia.org/wiki/Sender_Policy_Framework を参照してください。
すべての送信ドメインに反映するためには、SPF を有効にする必要があります。偽装を回避するため、独自の SPF レコードを作成することをお勧めします。SPF はエンベロープにのみ適用されます。
http://en.wikipedia.org/wiki/Dkim を参照してください。
ポリシーレコードを使用して DKIM 署名を強制的に実行する場合は、独自の DKIM レコードも作成することをお勧めします。例:
_domainkey.example.com. IN TXT "o=-"
お使いのドメインから送信され、署名されていないメッセージがすべて拒否されるため、詐称を効率的に防御できます。この場合、会社に代わって電子メールを送信する他のソリューションプロバイダーも、個別のサブドメインから同様の処理を行う必要があります。
可能な場合は「削除」や「遅延」ではなく「拒否」で処理する
この目的は単純です。拒否するほど処理量が減るためです。インバウンドの SMTP トラフィックのほとんどがスパム (75-90%) であることを考えると、有効なメッセージを処理するリソースを大幅に増大できます。「遅延」を使用すると SMG がメッセージの受信を続けるため、不要な処理能力が消費されます。
接続クラスを有効にする
この機能を使用するには、SMG アプライアンスをゲートウェイに配備する必要があります (送信元の IP アドレスから SMTP 接続を受信します)。有効にすると、スパムを送信することが確認されている送信元からの接続に対してサービスの品質が制限されます。
シマンテックグローバルの悪い送信者を使用してスパム送信者を検出する
シマンテックグローバルの悪い送信者のデータを使用して接続時にほとんどのスパムを阻止します。
グローバルの良い送信者の利用を減らす (IP とドメイン)
良い送信者を使用する際は基本的にホワイトリストを使用します。ホワイトリストにより、送信者に対するすべてのフィルタをゲートウェイでスキップできます。シマンテックでは IP アドレスまたはドメインのリストを最小限に減らし、そのリストを特別なシナリオで使用することをお勧めします。「良い送信者リスト」を使用して送信者を受け入れると、その送信者はスパムを含めたあらゆる種類の電子メールを送信できるようになります。
このオプションを有効にすると、リストに含まれている送信者から追加のスパムが送信されることを暗黙的に許可することになります。
アプライアンスによって正当な電子メールが遮断されていると思われる場合は、シマンテックセキュリティレスポンスに誤検知を提出してください。
バウンス攻撃防止 (BATV) を有効にする
バウンス攻撃防止はお使いのシステムをバウンス攻撃から保護します。BATV は偽の配信不能レポート (NDR) を特定し、メッセージの拒否や削除を含め構成した処理によってバックスキャッタ攻撃がネットワークに侵入するのを防止する一方、正当なバウンスメッセージ通知は通常どおり配信します。
BATV を有効にすると、以下の形式の Sender ID レコードが DNS に追加され、Sender ID による電子メールの拒否を回避できます。
IN TXT "spf2.0/mfrom
mx
-all"
上記で説明した、エンベロープと本文の送信者が異なるために BATV 電子メールが拒否される問題はこれによって回避できます。
「バウンス攻撃の防御について」も参照してください。
プローブ参加を有効にする
SMG は無効な受信者の電子メールアドレスを Symantec Probe Network で使用可能なプローブアカウントに変換するためのオプションを提供しています。プローブアカウントはシマンテック社がスパムを追跡して情報を収集するのに役立ちます。シマンテック社がプローブアカウントから取得する情報により、スパムフィルタを管理するルールを継続的に向上させることができます。良いフィルタはネットワークへのスパムの侵入が減少することを意味します。
ニュースレターとマーケティングメールの処置機能を利用する
SMG はニュースレター、マーケティングメール、疑わしい URL に対する一連の処置機能を提供します。シマンテック社ではこれらをスパムとみなしていませんが、この機能はお客様が不要なコンテンツの遮断をより詳細に制御できるように設計されています。「Messaging Gateway の処置判定」を参照してください。
URI レポートを利用する
URI (Uniform Resource Identifier) に基づいてメッセージを遮断するスパムフィルタの改良にご協力ください。URI レポートを有効にすると、Symantec Messaging Gateway はシマンテックセキュリティレスポンスにレポートを送ります。レポートには、Symantec Messaging Gateway がスパムをスキャンしたメッセージに出現する URI が含まれます。
シマンテック社は新しい URI ベースのフィルタを発達させるためにこの情報を使います。更新されたこれらのフィルタはコンジットサービス経由で受信します。
お客様固有のルールを利用する
管理者やエンドユーザーが提出した新しい脅威メッセージに基づいて、組織専用にカスタマイズされたスパムルールを手に入れることができます。この機能が最も効力を発揮するのは、新しい脅威メッセージを「Report Spam」フォルダに移動し、Symantec Email Submission Client を Microsoft Exchange Server に配備することにより、エンドユーザーがこれらの脅威を動的に遮断できる場合です。
「お客様固有のスパム提出のセットアップ」を参照してください。
「お客様固有のスパムルールのためのメッセージ提出について」を参照してください。
URL 評価フィルタを使用する
URL 評価フィルタを有効にして電子メール内の URL をスキャンし、DNS クエリーをシマンテックに送信して評価ルックアップを実行できます。これにより、スパムやフィッシング攻撃を検出して防御する製品の機能が向上します。
注: この機能は DNS サーバーに対する DNS 要求を大幅に増やします。DNS サーバーがトラフィックの増加に対応できることを確認してから、この機能を有効にするようにしてください。
ビデオ「拡張された URL レピュテーションのフィルタ処理」を参照してください。
ネットワークと環境
- インバウンド MTA がインバウンド接続の元の送信元 IP アドレスを「認識」できるようにします。
- SMG アプライアンスで SMTP 接続が行われる際、IP レピュテーションに基づいてスパムメッセージを高い確率で拒否できます。SMG アプライアンスでこの機能を活用するには、インバウンド接続で送信元 IP アドレスが上流ホストによって変更されないようにする必要があります。
- 全二重通信を使用し、オートネゴシエーションをオフにして、インターフェースを可能な限り高速に設定します。
- ネットワーク環境によっては、オートネゴシエーションプロセスによって速度が高速化されません。アプライアンスの NIC とスイッチ間のリンクの二重通信オプションについては、イーサネットインターフェースごとに可能な限り最適な速度と二重通信の組み合わせを手動で選択することをお勧めします。
- エッジ (通常はファイアウォール) で Bogon からの接続を拒否します。
- 必要に応じて、これらの接続は SMG アプライアンスに到達する前に遮断できます。
- ネットワークに侵入するスパムのボリュームを削減します。
- スパムのボリュームを削減する必要がある場合は、SMG で接続クラスを有効にできます。
未検知のスパムを簡単に提出する方法
Microsoft Exchange を使用している場合は、Symantec Email Submission Client (SESC) をダウンロードしてインストールします。製品シリアル番号を使用して http://fileconnect.symantec.com にサインインし、インストーラをダウンロードします。
追加情報
「Symantec Messaging Gateway での送信者認証 (ビデオ)」を参照してください。
「未検出のスパムや誤検知メッセージをシマンテックセキュリティレスポンスに手動で提出する方法」を参照してください。
ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)