ビュー:

トレンドマイクロではメールマガジンやニュースレターといった、企業やWebサービスから登録者に送信されるメッセージ等を グレーメール と定義し、スパムメールと区別しています。

Trend Micro Email Security (TMEmS) 管理コンソールの 受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールールでは、検索条件「グレーメール」を選択することでそのようなグレーメールを検出できます。

初期設定 では 受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールール "Spam or Phish" と "Newsletter or spam-like" には「マーケティングメッセージとニュースレター」のカテゴリのみが選択された「グレーメール」の検索条件が設定されており、いずれのポリシールールも有効化されています。

検出の仕組み

まず、ポリシールールの検索条件の設定において「グレーメール」をクリックすると、「グレーメール」の検索条件の設定画面が表示されます。その検索条件の画面では以下のカテゴリが選択できるようになっています。

  • マーケティングメッセージとニュースレター
  • ソーシャルネットワーク通知
  • フォーラム通知
  • バルクメールメッセージ

一方、トレンドマイクロではカテゴリ別にグレーメールを送信するIPアドレスのリストを保持しており、TMEmS は「グレーメール」の検索条件でメッセージを検索する際、接続元IPアドレス (メール追跡のログで「送信者IP」の項目に表示されるIPアドレス) がそのIPアドレスのリストに登録されていないかをチェックします。

もし接続元IPアドレスがグレーメールのIPアドレスリストに登録されており、そのカテゴリが「グレーメール」の検索条件の設定画面で選択されていれば、TMEmS はグレーメールと判定し、メッセージを検出します。

グレーメールの各カテゴリの詳細については開示していません。

また、グレーメールのIPアドレスのリストについても公開しておらず、特定のIPアドレスがリストに登録されているか、確認することはできません。

検出されたメッセージの確認方法

初期設定で用意されているポリシールールも含め、通常ポリシールールの処理設定に「隔離」が選択されているため、「グレーメール」の検索条件で検出された場合、メッセージは隔離されます。

また、ポリシールールによって検出されたメッセージはポリシーイベントのログから検出理由を確認できます。

このセクションでは隔離のクエリ画面とポリシーイベントのログで確認する方法を説明します。

隔離のクエリ

隔離されたメッセージは 管理コンソールの 隔離 > クエリ の画面で検索できます。グレーメールの検索条件でメッセージが検出された場合、検索された隔離メッセージの 理由 には「グレーメール」と表示されます。

管理者は検索されたメッセージを必要に応じて [配信] ボタンから配信できます。

一方、TMEmS には管理者の負担を軽減するために各エンドユーザが隔離された自身宛のメッセージを管理できるよう エンドユーザコンソールと隔離通知 の機能が用意されています。受信保護のトラフィックに関してはこの機能を利用することでエンドユーザはみずから隔離メッセージを確認して配信できるため、管理者の負担を軽減できます。

ポリシーイベント

管理コンソールの ログ > ポリシーイベント の画面ではポリシールールで検出されたメッセージを検索できます。「グレーメール」の検索条件で検出された場合、検索されたログの 脅威の種類 に「グレーメール」、サブタイプ に「マーケティングメッセージとニュースレター」などのカテゴリが表示されます。

グレーメールの検出から除外する方法

特定の接続元IPアドレスまたは送信者でグレーメールの検出から除外するには以下の方法があります。

接続元IPアドレスをグレーメールの除外リストに登録

特定の接続元からのメッセージがグレーメールと検出されないよう回避するには、まず、管理コンソールの 受信保護設定 > スパムメールフィルタ > スパムメールポリシー で「グレーメール」の検索条件で検出したポリシールールをクリックし、検索条件の画面を開きます。

次に「グレーメール」をクリックしてグレーメールの検索条件の設定を開きます。グレーメールの除外リスト のセクションにある「グレーメールの除外リストを有効にする」にチェックを入れた上で接続元IPアドレスを入力し、[追加] ボタンで除外リストに登録します。

最後に [保存] ボタンをクリックして設定を保存します。

この方法ではグレーメールの除外リストに登録されている接続元IPアドレスからのメッセージは検索条件「グレーメール」の検索から除外されるため、グレーメールと検出されません。

接続元IPアドレスをIPレピュテーションの承認済みIPアドレスに登録

特定の接続元からのメッセージがグレーメールと検出されないよう回避する方法として、前述の「接続元IPアドレスをグレーメールの除外リストに登録」の方法とは別に、接続元IPアドレスを IPレピュテーション の 承認済みIPアドレス に登録する方法があります。

この方法では、管理コンソールの 受信保護設定 > 送受信フィルタ > IPレピュテーション承認済みIPアドレス に接続元IPアドレスを登録し、「承認済みIPアドレスに対してスパムメールの検出をバイパス」のオプションを有効化します。

「承認済みIPアドレスに対してスパムメールの検出をバイパス」のオプションを有効化した場合、承認済み送信者のリストに登録されているIPアドレスからのメッセージはIPレピュテーションのチェックに加え、受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールールの検索からも除外されるため、「グレーメール」の検索条件で検出されることも回避できます。

送信者を送信者フィルタの承認済み送信者に登録

特定の送信者からのメッセージがグレーメールと検出されないよう回避するには、管理コンソールの 受信保護設定 > 送受信フィルタ > 送信者フィルタ承認済み送信者 に送信者のメールアドレスを登録します。

こちら で説明されているように、メッセージの送信者が承認済み送信者のリストに登録されている場合、受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールールの検索から除外されるため、「グレーメール」の検索条件で検出されることも回避できます。

キーワード: Trend Micro Email Security TMEmS