ビュー:

TMEmS/V1ECS では 送信者IP照合ルール (送信者IP照合設定) を設定することで From ヘッダ を偽装する なりすましメール を検出できます。

送信者IP照合の機能はエンベロープの送信者のドメインとそのドメインの SPF レコードに基づいて接続元IPアドレスを認証する SPF ルール と類似した なりすましメール対策 となります。SPF ルールがインターネット標準の送信ドメイン認証の技術を利用した機能である一方、送信者IP照合ルールは製品独自の機能であり、以下の違いがあります。

 送信者IP照合ルールSPF ルール
参照する送信者From ヘッダエンベロープ
検証対象の送信者ドメイン送信者IP照合の設定で手動で指定するすべてのドメイン
許可するIPアドレスのリスト送信者IP照合の設定で手動で指定するDNS の SPF レコードを参照する
検証対象のIPアドレス接続元IPアドレス接続元IPアドレス

標的型攻撃など攻撃者が送信する多くのスパムメールでは送信者が偽装されている場合があります。エンベロープの送信者が偽装されている場合、SPF 認証により容易に攻撃を検出できますが、攻撃者はエンベロープの送信者には攻撃者のドメイン、From ヘッダには偽装した第三者や攻撃先のドメインを指定して SPF 認証を回避しようとします。

送信者IP照合の機能はそのような From ヘッダを管理ドメインのメールアドレスに偽装したスパムメールに有効です。

  • 送信者IP照合は受信保護のトラフィック (外部から内部宛) のみに用意されており、送信保護のトラフィック (内部から外部宛) は対象外です。

  • 送信者IP照合を利用している環境では送信者IP照合のIPアドレスリストを手動でメンテナンスする必要があります。例えば、管理ドメインを送信者とするメッセージが新たに外部メールサービスを利用して送信されることがあれば、SPF レコードの追加に加え、送信者IP照合のIPアドレスリストに手動で外部メールサービスのIPアドレスを追加する必要があります。

  • 送信者IP照合ルールによって検出されなかったメッセージは SPF ルールのチェックから除外されます。また、DMARC ルールにおける SPF チェックからも除外されます。

  • InterScan Messaging Security Suite (InterScan MSS) 9.1 Linux版 または InterScan Messaging Security Virtual Appliance (IMSVA) では なりすましメール対策 として検索条件「スプーフィングされた内部メッセージ」が用意されていますが、TMEmS/V1ECS には同検索条件は実装されていません。そのため、IMSVA から TMEmS/V1ECS に移行する環境で、 TMEmS/V1ECS において同等のなりすましメール対策を実現するためには、「SPF ルールとコンテンツフィルタを組み合わせた検出」を参考に SPF ルールの有効化と、送信者IP照合ルールを有効化してください。

送信者IP照合ルールの有効化

送信者IP照合ルールは初期設定では無効化されているため、送信者IP照合の機能を有効化するには管理コンソールの 受信保護設定 > ドメインベース認証 > 送信者IP照合 の画面で送信者IP照合ルール (送信者IP照合設定) を有効化します。

冒頭の SPF ルールとの違い にあるように、SPF 認証と異なり送信者IP照合では検証対象となる送信者ドメインとそのドメインに対して許可するIPアドレスのリストを手動で登録する必要があります。管理ドメイン以外の多数のドメインを手動で設定することは困難なことから、実質、送信者IP照合ルールは送信者を管理ドメイン (内部ドメイン) のメールアドレスに偽装した なりすましメール を検出するために使用されます。

そのため、ここでは管理ドメインに対する なりすましメール対策 として送信者IP照合ルールの有効化手順を説明します。

  1. まず、From ヘッダに管理ドメインのメールアドレスが指定された正当なメッセージが外部から内部宛に送信されることがあれば、そのメッセージを送信する外部のメールサーバやメールサービスのIPアドレスをすべて確認し、メモしてください。

    • こちら の 製品Q&A の冒頭に記載されているように、通常 TMEmS では内部から内部宛のメッセージは取り扱わないため、ユーザのメールサーバのIPアドレスは除外します。

    • InterScan MSS または IMSVA において スプーフィングされた内部メッセージのフィルタ の機能を利用している場合、「信頼する内部IPリスト」に登録したIPアドレスが該当します。

  2. すべてのIPアドレスが確認できたら、管理コンソールの 受信保護設定 > ドメインベース認証 > 送信者IP照合 の画面を開きます。

    初期設定では管理対象ドメイン (宛先ドメイン) が「初期設定 (ドメインが未指定の場合)」となる送信者IP照合ルールが用意されていますので、クリックして設定画面を開きます。管理ドメインとして複数のドメインを登録しており、各管理ドメインごとに設定したい場合には [追加] ボタンから管理対象ドメインを選択し、送信者IP照合ルールを新規に作成してください。

  3. 送信者IP照合ルールの設定画面が表示されますので、まず「送信者IP照合を有効にする」にチェックを入れます。

  4. 次に 送信者のドメインとIPのペア のセクションにおいて、送信者ドメインとそのドメインに対して許可するIPアドレスのリストを登録します。

    「ドメインまたはサブドメインの名前」には管理ドメインを入力します。

    ドメインとサブドメインは別々に登録する必要があります。例えば ドメイン メニューに管理ドメインとしてドメイン example.com とそのサブドメイン sales.example.com を登録している場合、ドメイン example.com とそのIPアドレスのペア、サブドメイン sales.example.com とそのIPアドレスのペアを登録します。複数のサブドメインは *.example.com のようにワイルドカードを使用してまとめて登録できます。

    「IPアドレスまたはCIDRブロック」には 手順1 で確認したIPアドレスを入力し、[追加] ボタンをクリックします。

    例えば許可するIPアドレスが 198.51.100.1 と 198.51.100.2、そして 203.0.113.0/24 の場合、198.51.100.1,198.51.100.2,203.0.113.0/24 のようにコンマ (,) で分けて入力することでIPアドレスをまとめて登録できます。example.com と 198.51.100.1,198.51.100.2,203.0.113.0/24 を入力して [追加] ボタンをクリックすると、ドメインとIPアドレスのペアが以下のように表示されます。

    送信者ドメイン送信者IP 
    example.com198.51.100.1[編集]
    example.com198.51.100.2[編集]
    example.com203.0.113.0/24[編集]

    送信保護のポリシールールで検出された際に内部の送信者に送信されるポリシー通知は受信保護のトラフィックで処理された上でユーザのメールサーバに配送されます。そのため、送信保護を利用している環境では TMEmS/V1ECS のIPアドレスを合わせて追加してください。

    TMEmS/V1ECS がメッセージをリレーする際に接続元となる可能性のあるIPアドレスは TMEmS/V1ECS の SPF レコード に記載されています。TMEmS/V1ECS の SPF レコードが spf.tmes.trendmicro.com の場合、こちら を参考に spf.tmes.trendmicro.com と spfb.tmes.trendmicro.com の SPF レコードに指定されているIPアドレスを抽出します。

    2023/8/15 現在では spf.tmes.trendmicro.com と spfb.tmes.trendmicro.com の SPF レコードには 22個 のIPアドレス (IPアドレスの範囲) が指定されているため、管理ドメインが example.com であれば、「ドメインまたはサブドメインの名前」には example.com、「IPアドレスまたはCIDRブロック」には 18.208.22.64/26,18.208.22.128/25,18.185.115.128/26,18.185.115.0/25,13.238.202.0/25,13.238.202.128/26,18.176.203.128/25,13.213.174.128/25,18.177.156.0/25,13.213.220.0/25,18.188.9.192/26,18.188.239.128/26,34.253.238.128/26,34.253.238.192/26,52.202.71.114,54.145.52.119,35.156.245.132,18.156.0.20,3.74.126.139,3.72.196.143,3.212.20.253,34.225.87.138 を入力して [追加] ボタンをクリックし、まとめてIPアドレスを追加します。

  5. インターセプト のセクションでは送信者IP照合ルールによって検出されたメッセージの処理方法として「メッセージ全体を削除」と「隔離」のいずれかを選択します。

    処理に「隔離」を選択した場合、エンドユーザコンソールまたは隔離通知の機能を利用している環境では管理コンソールの 隔離 > エンドユーザメール隔離設定 において「送信者IP照合」の隔離理由に対して 表示処理を適用 を有効化することで、送信者IP照合ルールによって隔離されたメッセージを エンドユーザコンソールと隔離通知の管理対象 に設定できます。

    また、送信者IP照合ルールによって検出された際、通知を送信するのであれば、管理 > ポリシーオブジェクト > 通知 の画面において任意の通知設定を作成した上で 通知 のセクションにある「通知メッセージ」のリンクをクリックして作成した通知設定を選択し、「通知を送信」にチェックを入れてください。

  6. 設定が完了したら [保存] または [追加] ボタンで設定を保存します。

正当なメッセージが送信者IP照合によって検出される場合、手順4 において 送信者のドメインとIPのペア のセクションに送信者ドメインと許可するIPアドレスのペアをすべて登録したか確認し、状況に応じて接続元IPアドレス (メール追跡のログでは「送信者IP」のフィールドに表示されます) をリストに追加してください。

ログの確認

送信者IP照合ルールが有効な場合に送信者IP照合ルールによって検出されなければ、管理コンソールの ログ > メール追跡 の画面でメッセージを検索し、ログの日時をクリックして表示される 詳細画面 では 処理 のセクションにある 評価済みポリシー に「条件不一致 (送信者IP照合ルール)」と表示されます。

接続元IPアドレスが送信者IP照合ルールの許可するIPアドレスのリストに含まれておらず送信者IP照合ルールにより検出された場合、評価済みポリシー には「隔離済み (送信者IP照合ルール)」のように表示されます。

また、送信者IP照合ルールによって検出されたメッセージは管理コンソールの ログ > ポリシーイベント の画面で検索できます。

ポリシーイベントのログでは 検出理由 として 脅威の種類 に「ドメインベース認証」、サブタイプ に「送信者IP照合ルール」と表示されます。

キーワード: Trend Micro Email Security TMEmS