ビュー:

Trend Micro Email Security (TMEmS) では以下のような場合に不正な形式のメッセージと判定し、検索除外「メッセージの形式に不正があります。」の処理設定にしたがってメッセージを処理します。

  • 分割メッセージ
  • メッセージの MIME 構成が MIME の仕様に則していない
  • MIME パートの数が異常に多い
  • ヘッダに指定されているパラメータの数が異常に多い
  • メッセージヘッダのヘッダ数が異常に多い
  • メッセージヘッダのサイズが異常に大きい

  • 「分割メッセージ」とは、メールクライアントが MIME の message/partial を使用して 1通 のメッセージを複数に分けて送信したメッセージです。

  • インターネットメールの仕様や MIME (Multipurpose Internet Mail Extensions) の仕様に違反していればメッセージが必ず不正な形式のメッセージと判定されるというわけではありません。不正な形式のメッセージと判定される場合もあれば判定されない場合もあります。

  • メッセージヘッダサイズなどの上限値にしたがって TMEmS は不正な形式のメッセージと判定しますが、上限値など詳細に関しては内部情報となるため、開示していません。また、ユーザはしきい値を任意に変更できません。

  • 不正な形式かどうかはポリシールールによる検索の最初に判定されるため、不正な形式と判定されたメッセージがウイルスポリシーやスパムメールポリシー、コンテンツフィルタなどのポリシールールで検索されることはありません。

初期設定

検索除外「メッセージの形式に不正があります。」の設定は管理コンソールの 受信保護設定 > ウイルス検索 > 検索除外送信保護設定 > ウイルス検索 > 検索除外 の画面に受信保護と送信保護のトラフィックに分けて用意されています。

初期設定では同検索除外の処理に「削除、通知」が設定されています。

「削除、通知」をクリックすると「メッセージ全体を削除」と「通知送信」が選択されており、さらに「通知メッセージ」をクリックすると指定されている通知設定を確認できます。初期設定では "Non Delivery Report" の通知設定が指定されており、管理 > ポリシーオブジェクト > 通知 の画面でその通知設定の内容を確認できます。

ログの確認方法

「メッセージの形式に不正があります。」の検索除外で検出されて処理されたメッセージは メール追跡 または ポリシーイベント のログから確認できます。

メール追跡のログ

管理コンソールの ログ > メール追跡 の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。

「メッセージの形式に不正があります。」の検索除外で処理された場合には 処理 のセクションにある 評価済みポリシー に以下のように表示されます。

メッセージ削除済み、通知送信済み (Global Malformed)

メール追跡の仕様上、「メッセージの形式に不正があります。」の検索除外で処理された場合にはメッセージサイズに 0 KB と表示されます。

ポリシーイベントのログ

管理コンソールの ログ > ポリシーイベント の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。

脅威の種類 には「検索除外」、サブタイプ には「その他の除外」、そして 詳細 の項目には「メールメッセージの形式が不正です。」と表示されます。

回避策

製品側の回避策 (緩和策) として管理コンソールの 受信保護設定 > ウイルス検索 > 検索除外 または 送信保護設定 > ウイルス検索 > 検索除外 の画面において、検索除外「メッセージの形式に不正があります。」の 処理設定 を変更し、メッセージを 隔離 または バイパス するよう設定します。

検索除外に該当して業務上必要なメッセージが届かない場合の業務への影響と、回避策を実施することで脅威のあるメッセージが配送される可能性があることは常にトレードオフの関係にあります。業務への影響と脅威のあるメッセージが通過する可能性を考慮して回避策を実施してください。

メッセージを隔離する

検索除外「メッセージの形式に不正があります。」の処理設定を「メッセージ全体を削除」から「隔離」に変更し、「通知送信」のチェックを外して設定を保存します。

同検索除外により検出されたメッセージは削除されず隔離されるようになり、管理コンソールの 隔離 > クエリ の画面で検索されます。隔離されたメッセージの 理由 には「検索の除外」と表示され、管理者は必要に応じて [配信] ボタンから隔離されたメッセージを配信できます。

また、エンドユーザコンソールまたは隔離通知の機能を利用している環境では管理者は エンドユーザコンソールと隔離通知の管理対象となるメッセージ を選択できます。

そのため、管理コンソールの 隔離 > エンドユーザメール隔離設定 において「検索除外」の隔離理由に対して 表示処理を適用 を有効化することで、受信者であるエンドユーザは検索除外として検出された隔離メッセージを配信することが可能となり、管理者の負担を軽減できます。

  • メッセージの隔離時に管理者などに通知したいのであれば、任意の通知設定を作成した上で「通知送信」を有効化してください。

  • 隔離理由が「検索除外」のメッセージをエンドユーザコンソールと隔離通知の管理対象に設定した場合、検索除外として隔離されたメッセージすべてが管理対象となります。

  • エンドユーザコンソールと隔離通知の機能は受信保護のみに実装されており、送信保護では検索除外として検出されたメッセージを管理できません。

メッセージをバイパスする

検索除外「メッセージの形式に不正があります。」の処理設定を「メッセージ全体を削除」から「メッセージをインターセプトしない」に変更し、「通知送信」のチェックを外して設定を保存します。

これによって不正な形式のメッセージと判定されてもメッセージは配送先のメールサーバに配送されます。

キーワード: Trend Micro Email Security TMEmS