ビュー:

管理コンソールの 受信保護設定 > スパムメールフィルタ > スパムメールポリシー または 送信保護設定 > スパムメールフィルタ の画面にはメッセージをスパムメールとして検出するポリシールールが配置されます。

初期設定 では 受信保護設定 > スパムメールフィルタ > スパムメールポリシー に「スパムメール」の検索条件が選択された "Spam or Phish" (レベル「中低」) と "Newsletter or spam-like" (レベル「中高」) のポリシールールがそれぞれ用意されており、有効化されています。

また、送信保護設定 > スパムメールフィルタ には "Global Outbound Policy (Spam or Phish)" (レベル「最高」) と "Outbound - Spam or Phish" (レベル「中低」) が用意されています。

"Global Outbound Policy (Spam or Phish)" のポリシールールはスパムメールの送信などで TMEmS/V1ECS のメールサーバが他社のブロックリストに登録されることを防止するため、常に有効化されており、ユーザはレベルを変更するなど設定を変更することは一切できません。ただし、処理設定には「メッセージをインターセプトしない」が設定されているため、同ポリシールールにより検出されたとしても他のポリシールールにより隔離されたり削除されない限りメッセージは宛先に配送されます。

なお、"Outbound - Spam or Phish" のポリシールールは初期設定では無効化されています。

ここではスパムメールの検索条件がメッセージを検出する仕組みや対処策 (回避策) について説明します。

検出の仕組み

スパムメールの検出条件ではスパムメール検索エンジンとスパムメールパターンファイルを用いてメッセージヘッダや本文の内容を解析し、ヘッダや本文の文字列、URL などの各要素に対してスコアを付加した上で最終的にスパムメール判定のスコアの合計値を算出します。スコアが大きいほどスパムメールである可能性は高くなります。

  • スコアの算出方法に関しては内部情報であるため、詳細について開示していません。
  • スパムメールパターンファイルのバージョンやメッセージ内容によりスコアは変動します。

もしそのスコアが以下の「レベル」に設定されたスコアのしきい値を超えていればスパムメールと検出します。

最低 (最も控えめ): 10.0
: 8.0
中低: 7.0
中高: 5.0
: 4.5
最高 (最も強力): 4.0

例えばレベルに「中低」が設定されている場合、メッセージに対するスパムメール判定のスコアが 7.0 を超えていればスパムメールと検出し、ポリシールールの処理設定にしたがってメッセージを処理します。

検出レベルを引き上げる (レベルのしきい値を引き下げる) ほど、多くのスパムメールが検出されますが、正当なメッセージがスパムメールと検出される可能性も高くなります。

一方、検出レベルを引き下げる (レベルのしきい値を引き上げる) ほど、正当なメッセージがスパムメールと検出される可能性は低くなりますが、検出されるスパムメールは減少し、本来検出されていたスパムメールが通過する可能性があります。

前述の注意事項 にあるとおり、スコアの算出方法に関して詳細は開示していないため、レベルの引き上げまたは引き下げを検討する場合、一般的には現在の検出状況を基に判断してください。

例えばスパムメールが多く通過するのであれば、現行の設定からレベルをひとつ引き上げてみてください。また、正当なメッセージがスパムメールと検出されるケースが多いのであれば、現行の設定からレベルをひとつ引き下げてみてください。

スパムメール検索エンジンとスパムメールパターンファイルのバージョン確認方法

管理コンソールの ログ > メール追跡 の画面でメッセージを検索し、日時をクリックして 詳細画面 を開くと、スパムメールフィルタのポリシールールによって検索された場合、処理 のセクションに「スパムメール対策エンジンの検索の詳細」というリンクが用意されます。

このリンクをクリックすると、「エンジンバージョン (X-TMASE-Version)」の項目に以下のようにスパムメール検索エンジンとスパムメールパターンファイルのバージョンが表示され、この場合、スパムメール検索エンジンのバージョンが 9.1.0.1011、スパムメールパターンファイルのバージョンが 27706004 であったことがわかります。

9.1.0.1011;27706004

なお、最新のスパムメール検索エンジンとスパムメールパターンファイルのバージョンは、TMEmSであれば ヘルプ > バージョン情報 から確認できます。

スパムメール判定スコアの確認方法

スパムメール検索エンジンとスパムメールパターンファイルのバージョンと同様、メッセージ検索時に算出されたスパムメール判定スコアは「スパムメール対策エンジンの検索の詳細」のリンクをクリックし、「検索結果 (X-TMASE-Result)」の項目から確認できます。

例えば「検索結果 (X-TMASE-Result)」の項目に以下のように表示されていた場合、判定スコアが「-25.725700」 (スコアがマイナスの数値である場合もあります)、レベルのしきい値が「7.000000」 (レベル「中低」) であったことがわかります。この場合、判定スコアがレベルのしきい値を超えていないため、メッセージはスパムメールと検出されません。

10--25.725700-7.000000

一方、「検索結果 (X-TMASE-Result)」の項目に次のように表示されていた場合には、判定スコアが「100.242000」、レベルのしきい値が「7.000000」 (レベル「中低」) であったことがわかります。この場合、判定スコアがレベルのしきい値を超えているため、スパムメールと検出されます。

11-100.242000-7.000000

スパムメールの検索条件でスパムメールと検出された場合、ポリシーイベントのログの詳細画面においても「スパムメール対策エンジンの検索の詳細」の項目でスコアを確認できます。

検出されたメッセージの確認方法

初期設定で用意されているポリシールールも含め、通常ポリシールールの処理設定に「隔離」が選択されているため、スパムメールの検索条件で検出された場合、メッセージは隔離されます。

また、ポリシールールによって検出されたメッセージはポリシーイベントのログから検出理由を確認できますので、このセクションでは隔離のクエリ画面とポリシーイベントのログで確認する方法を説明します。

隔離のクエリ

隔離されたメッセージは 管理コンソールの 隔離 > クエリ の画面で検索できます。スパムメールの検索条件でメッセージが検出された場合、検索された隔離メッセージの 理由 には「スパムメール」と表示されます。

管理者は検索されたメッセージを必要に応じて [配信] ボタンから配信できます。

一方、TMEmS/V1ECS には管理者の負担を軽減するために各エンドユーザが隔離された自身宛のメッセージを管理できるよう エンドユーザコンソールと隔離通知 の機能が用意されています。受信保護のトラフィックに関してはこの機能を利用することでエンドユーザはみずから隔離メッセージを確認して配信できるため、管理者の負担を軽減できます。

ポリシーイベント

管理コンソールの ログ > ポリシーイベント の画面ではポリシールールで検出されたメッセージを検索できます。スパムメールの検索条件で検出された場合、検索されたログの 脅威の種類 に「スパムメール」と表示されます。

スパムメールが検出されず通過する場合の対処策

検索時に算出されたスパムメール判定スコア によってはスパムメールであったとしてもスパムメールと検出されない場合があります。

TMEmS ではスパムメールの検索条件だけでなく IPレピュテーションSPF ルール、Webレピュテーションなど、多彩な防御機能を組み合わせることで脅威を検出して保護します。

そのため、スパムメールの検索条件で検出されない場合には、例えば通過するスパムメールの送信者が同じであれば管理コンソールの 受信保護設定 > 送受信フィルタ > 送信者フィルタブロック済み送信者 に送信者のメールアドレスを登録することを検討してください。

また、通過するスパムメールの接続元IPアドレスが同じであれば管理コンソールの 受信保護設定 > 送受信フィルタ > IPレピュテーションブロック済みIPアドレス に接続元IPアドレスを登録することを検討してください。

ビジネスサポートポータルまたはパートナーポータルから種別に「脅威」、カテゴリに「スパムメール解析依頼」を選択してメールデータをアップロードすることで、スパムメールと検出するよう 依頼 することができます。

正当なメッセージがスパムメールと検出される場合の回避策

前述 のとおり、スパムメールパターンファイルのバージョンやメッセージ内容によりスコアは変動します。例えば、特定のスパムメールが流行しており、そのスパムメールにメッセージの内容や構成が類似している場合、スパムメールパターンファイルのバージョンによっては スパムメール判定スコア が引き上げられ、以前までスパムメールと検出されていなかった正当なメッセージがスパムメールと検出される可能性があります。

受信保護のトラフィックで検出される場合には一般的に以下の回避策があります。

送信者に基づく回避策

特定の送信者からのメッセージがスパムメールと検出されないよう回避するには、管理コンソールの 受信保護設定 > 送受信フィルタ > 送信者フィルタ承認済み送信者 に送信者のメールアドレスを登録してください。

こちら で説明されているように、メッセージの送信者が承認済み送信者のリストに登録されている場合、受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールールの検索から除外されるため、その送信者からのメッセージがスパムメールと検出されることを回避できます。

接続元IPアドレスに基づく回避策

特定の接続元からのメッセージがスパムメールと検出されないよう回避するには、管理コンソールの 受信保護設定 > 送受信フィルタ > IPレピュテーション承認済みIPアドレス に「承認済みIPアドレスに対してスパムメールの検出をバイパス」のオプションを有効化した上で接続元IPアドレスを登録してください。

こちら で説明されているように、「承認済みIPアドレスに対してスパムメールの検出をバイパス」のオプションを有効化した場合、承認済み送信者のリストに登録されているIPアドレスからのメッセージはIPレピュテーションのチェックに加え、受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールールの検索からも除外されるため、スパムメールと検出されることを回避できます。

ビジネスサポートポータルまたはパートナーポータルから種別に「脅威」、カテゴリに「誤警告疑いのスパムメール解析依頼」を選択してメールデータをアップロードすることで、スパムメールと検出されないよう 依頼 することができます。

なお、依頼する際にカテゴリに誤って「誤警告疑いのファイル解析依頼」を選択しないよう注意してください。

キーワード: Trend Micro Email Security TMEmS