送信者評価

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2006-09-18

送信者評価は、Microsoft Exchange Server 2007 エッジ トランスポート サーバーの役割がインストールされたコンピュータで有効になるスパム対策機能で、送信者のさまざまな特徴に従ってメッセージをブロックします。送信者評価は、送信者に関して保持されているデータに基づいて、受信メッセージに対して行う処理がある場合にどの処理を行うかを判断します。

エッジ トランスポート サーバーでスパム対策エージェントを構成すると、エージェントはメッセージに対して累積的に処理を実行し、迷惑なメッセージが組織に入る数を減らします。スパム対策エージェントの計画と展開を行う方法の詳細については、「スパム対策およびウイルス対策向けの機能」を参照してください。

送信者評価レベルの計算

送信者評価レベル (SRL) は、以下の統計情報に基づいて計算されます。

  • HELO/EHLO 分析   HELO コマンドおよび EHLO SMTP コマンドは、送信側 SMTP サーバーの、Contoso.com などのドメイン名や IP アドレスを受信側 SMTP サーバーに提供するためのコマンドです。悪意のあるユーザー、つまりスパム発信者は多くの場合、さまざまな方法で HELO/EHLO ステートメントを偽造します。たとえば、スパム発信者は、接続の発信元である IP アドレスとは一致しない IP アドレスを入力します。また、スパム発信者は、ドメインが組織内にあるかのように見せかけるために、受信側サーバーでローカルにサポートされていると認識されているドメインを HELO ステートメントに設定します。その他の場合としては、スパム発信者が HELO ステートメントで渡されたドメインを変更します。正当なユーザーの典型的な動作は、HELO ステートメントのさまざまだが比較的一定した、一連のドメインを使用することです。
    したがって、HELO/EHLO ステートメントを送信者ごとに分析することによって、送信者がスパム発信者の可能性が高いことを示すことができます。たとえば、特定の時間に多くの異なる一意の HELO/EHLO ステートメントを提供する送信者はスパム発信者である可能性が高くなります。接続フィルタ エージェントによって決定される発信元の IP アドレスと一致しない HELO ステートメントの IP アドレスを絶えず送り続ける送信者の場合も、HELO ステートメントに、エッジ トランスポート サーバーと同じ組織内にあるローカル ドメイン名を一貫して提供するリモート送信者なので、スパム発信者である可能性が高くなります。
  • DNS 逆引き参照   送信者評価は、送信者がメッセージを転送した発信元 IP アドレスが、送信者が HELO コマンドまたは EHLO SMTP コマンドで発信した登録済みのドメイン名と一致するかどうかも確認します。
    送信者評価は、発信元 IP アドレスを DNS に発信することによって、DNS 逆引きクエリを実行します。DNS によって返される結果は、その IP アドレスのドメイン名前付け機関を使用して登録されたドメイン名です。送信者評価は、DNS によって返されたドメイン名と、送信者が HELO/EHLO SMTP コマンドで発信したドメイン名を比較します。ドメイン名が一致しない場合は、送信者はスパム発信者である可能性が高く、その送信者の全体的な SRL レベルの評価は上方に調整されます。
    Sender ID エージェントも同じようなタスクを実行しますが、Sender ID エージェントのタスクが成功するかどうかは、正当な送信者が DNS インフラストラクチャを更新して組織内の電子メール送信側 SMTP サーバーをすべて識別できるようにすることに依存しています。DNS 逆引き参照を実行することによって、潜在的なスパム発信者を特定することができます。
  • 特定の送信者からのメッセージに対する SCL レベルの分析   コンテンツ フィルタ エージェントがメッセージを処理する場合、メッセージに対して SCL (Spam Confidence Level) レベルが割り当てられます。SCL レベルは 0 ~ 9 の数値です。SCL レベルが高いほど、メッセージがスパムである可能性が高いことを示します。各送信者およびそのメッセージに付けられた SCL レベルに関するデータは、送信者評価による分析用に保持されます。送信者評価は、その送信者からこれまでに届いたすべてのメッセージについて、低 SCL レベルのすべてのメッセージと高 SCL レベルのすべてのメッセージとの比率に従って、送信者に関する統計情報を計算します。さらに、その送信者が最終日に送信した高 SCL レベルのメッセージの数も全体的な SRL に適用されます。
  • 送信者オープン プロキシ テスト   オープン プロキシは、任意の場所であらゆるユーザーの接続要求を受け付け、そのトラフィックをローカル ホストから発信されたトラフィックと同じように転送するプロキシ サーバーです。プロキシ サーバーは、ファイアウォール ホスト経由で TCP トラフィックを中継して、ユーザー アプリケーションがファイアウォール経由で透過的にアクセスできるようにします。プロキシ プロトコルはライトウェイトでユーザー アプリケーションのプロトコルには依存しないので、さまざまなサービスでプロキシを使用することができます。プロキシは、複数のホストが単一のインターネット接続を共有するために使用することもできます。プロキシは通常、ファイアウォールの内側の信頼されたホストのみがプロキシを通過できるようにセットアップされます。
    オープン プロキシは、次のいずれかの条件のときに存在し得ます。
    • 意図しない構成の誤り
    • 悪意のあるトロイの木馬プログラム。トロイの木馬プログラムは、情報を受け取ろうとする別の一般的なプログラムになりすましたプログラムです。
      多くの場合、不十分なログとあいまって、オープン プロキシは悪意のあるユーザーに、別人になりすまして、サービス拒否 (DoS) 攻撃を開始したり、スパムを送信したりするための恰好の手段を提供します。"既定でオープン" に構成されるプロキシ サーバーが多くなっているので、オープン プロキシはより一般的になっています。さらに、悪意のあるユーザーは、複数のオープン プロキシを使用して、送信者の発信元 IP アドレスを隠すこともできます。
      送信者評価がオープン プロキシ テストを実行するときは、オープン プロキシからエッジ トランスポート サーバーに接続し直す試みで SMTP 要求の形式を設定することにより実行されます。

送信者評価は、これらの統計情報をそれぞれ比較検討し、各送信者の SRL を計算します。SRL は、0 ~ 9 までの数字で、特定の送信者がスパム発信者または悪意のあるユーザーである確率を予測したものです。値 0 は、送信者がスパムの発信者である可能性が低いことを示します。値 9 は、送信者がスパムの発信者である可能性が高いことを示します。

送信者評価が送信者フィルタ エージェントに対して要求を発行する際に使用する、0 ~ 9 のブロックしきい値を構成して、組織に届く送信者からのメッセージをブロックすることができます。送信者がブロックされると、構成可能な期間はその送信者は受信拒否リストに追加されます。受信拒否されたメッセージの処理方法は、送信者フィルタ エージェントの構成によって異なります。受信拒否されたメッセージを処理するオプションは次のとおりです。

  • [拒否]
  • [削除およびアーカイブ]
  • [受信拒否リストとして承諾し、マークする]

送信者が Microsoft 禁止一覧または IP 評価サービスに含まれている場合、送信者評価は送信者フィルタ エージェントに直ちに要求を発行して送信者をブロックします。この機能を活用するには、Microsoft スパム対策自動更新を有効にして構成しておく必要があります。

既定では、エッジ トランスポート サーバーでは分析されていない送信者のレベルは 0 に設定されます。送信者が 20 通以上のメッセージを送信した後で、送信者評価は、このトピックで前に説明した統計情報に基づき SRL を計算します。

SRL の使用

送信者評価は、次の SMTP セッションの 2 段階の間にメッセージに対して処理を行います。

  • SMTP の MAIL FROM: コマンド中   送信者評価がメッセージを処理するのは、そのメッセージがブロックされた場合だけで、ブロックされなければ、接続フィルタ エージェント、送信者フィルタ エージェント、受信者フィルタ エージェント、または Sender ID エージェントがそのメッセージを処理します。メッセージがブロックされた場合、送信者評価は、エッジ トランスポート データベースに保持されている送信者プロファイルからその送信者に関する現在の SRL レベルを取得します。このレベルを取得して評価した後は、エッジ トランスポート サーバーの構成によって、ブロックしきい値に従って特定の接続で行われる動作が決まります。
  • SMTP の "データの終了" コマンド後   実際のメッセージ データがすべて送信されると、データ転送の終了 (_EOD) SMTP コマンドが実行されます。SMTP セッションのこの時点で、多くのスパム対策エージェントがメッセージを処理しています。スパム対策処理の副産物として、送信者評価が依存する統計情報が更新されます。その結果、送信者評価は、送信者の SRL レベルを計算したり再計算したりできるデータが得られます。

詳細については、「送信者評価の構成」を参照してください。

詳細情報

Outlook 2007 のスパム対策機能の詳細については、以下のトピックを参照してください。

送信者評価を構成する方法の詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。