この度は多大なるご不便をお掛けし、申し訳ございません。以下に各製品毎の確認方法について記載いたします。
大変恐れ入りますが、以下の方法は「グレーメールと判定されたメール」を確認する方法となり、実際のグレーメールも含まれることになります。
誤検出されたことを製品で検索することはできかねます。ご不便をお掛けいたしますが、誤検出状況につきましては、実際のメールの内容をご確認いただきますようお願いいたします。

今回のグレーメール誤検出事象が発生したビルドはそれぞれ以下の通りです。該当するビルドをご利用でない場合は事象への影響はありません。

・InterScan Messaging Security Virtual Appliance 9.1 ビルド 2082以降
・InterScan Messaging Security Suite 9.1 ビルド 1426以降
・Deep Discovery Email Inspector 5.1 (すべてのビルド)

InterScan MSS/IMSVAのビルド番号は、[管理] > [アップデート] > [システムとアプリケーション]の"現在のステータス"欄の"アプリケーションのバージョン"から確認できます。値が"9.1.0.1516"の場合、"バージョン 9.1 ビルド 1516"であることを意味します。
 

1. InterScan MSS 9.1/IMSVA 9.1

1.1 メールの確認方法

InterScan MSS 9.1/IMSVA 9.1管理コンソールの[ログ] > [ログクエリ]にて、"種類:"を"ポリシーイベント""グレーメール"に設定し、"日付:"に障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ～ 2024/6/7 21:00)を指定して、"ログ表示"を押下します。

※画面はInterScan MSS 9.1のものです。[隔離]タブの表示内容はIMSVA 9.1も同じです。

グレーメールと誤検出されたメールへの影響は、グレーメール判定を行ったポリシールールの処理に依存いたします。実際の設定内容につきましては、管理コンソールの[ポリシー] > [ポリシーリスト]から当該ポリシーの設定内容をご確認ください。グレーメール検出は、"その他"ポリシーの「グレーメール検出設定」が有効な場合にのみ動作いたします。


■処理の"インターセプト"が"メッセージ全体を削除"である場合
メールが削除されます。削除されたメールの復元につきましては大変恐れ入りますが不可能となります。
"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されて削除が行われます。
■処理の"インターセプト"が"次の場所に隔離"である場合
メールが隔離されます。隔離されたメールの再送につきましては1.2の項をご参照ください。
"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されます。
■処理のインターセプトが"次の受信者に変更"である場合
指定した受信者にエンベロープ受信者が変更され、そのまま後続のポリシールールが適用されます。
"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されて後続のポリシールールの評価が行われます。
■処理のインターセプトが"中継"である場合
指定した中継先メールサーバへメールが配送されます。"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されて配送が行われます。
■処理のインターセプトが"メッセージをインターセプトしない"である場合
そのまま後続のポリシールールが適用されます。"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されて後続のポリシールールの評価が行われます。

1.2 グレーメールと判定されて隔離されたメールの再送方法

InterScan MSS/IMSVA管理コンソールの[メール領域とキュー] > [クエリ] > [隔離]タブにて、"検索:"を"すべての隔離"/"グレーメール"/"すべての製品"に設定し、"日付:"に障害発生時刻を含む期間(以下の例では2024/6/7 19:00 ～ 2024/6/7 21:00)を指定して、"ログ表示"を押下します。
メールの内容をご確認いただき、再送対象のメールをチェックボックスから選択(複数選択可)し、"再処理"を押下します。
これにより、隔離が動作したポリシールールの後続のポリシールールのチェックが行われた後、後段メールサーバへメールが配送されます。

※画面はInterScab MSS 9.1のものです。[隔離]タブの表示内容はIMSVA 9.1も同じです。
 

2. DDEI 5.1

2.1 メールの確認方法

DDEI管理コンソールの[検出] > [検出されたメッセージ]にて、"脅威の種類:"を"スパムメール/グレーメール"、"リスクレベル:"を"すべて"、"処理:"を"すべて"に設定しし、"期間:"を"カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ～ 2024/6/7 21:00)を指定します。
これにより、自動的に指定の条件で検索が行われます。

グレーメールと誤検出されたメールへの影響は、グレーメール判定を行ったスパムメール対策ポリシールールの処理に依存いたします。実際の設定内容につきましては、管理コンソールの[ポリシー] > [ポリシー管理]から当該ポリシーの設定内容をご確認ください。グレーメール検出は、スパムメール対策ポリシーの「グレーメール」が有効な場合にのみ動作いたします。



■処理が"メッセージの削除"である場合
メールが削除されます。削除されたメールの復元につきましては大変恐れ入りますが不可能となります。
他の「通知の送信」等の処理を実施している場合、そちらも適用されて削除が行われます。
■処理が"ブロックして隔離"である場合
メールが隔離されます。隔離されたメールの再送につきましては2.2の項をご参照ください。
他の「挿入スタンプ」等の処理も実施している場合、そちらも適用されます。
■処理が"次の受信者に変更"である場合
指定した受信者にエンベロープ受信者が変更され、そのまま後続のポリシールールが適用されます。
他の「挿入スタンプ」等の処理も実施している場合、そちらも適用されて後続のポリシールールの評価が行われます。
■処理が"直接配信"である場合
指定した配信先メールサーバへメールが配送されます。
他の「挿入スタンプ」等の処理も実施している場合、そちらも適用されて配送が行われます。
■処理が"放置およびタグ付け"である場合
そのまま後続のポリシールールが適用されます。他の「挿入スタンプ」等の処理も実施している場合、そちらも適用されて後続のポリシールールの評価が行われます。

2.2 グレーメールと判定されて隔離されたメールの再送方法

DDEI管理コンソールの[検出] > [隔離]にて、"脅威の種類:"を"スパムメール/グレーメール"、"リスクレベル:"を"すべて"、"隔離の理由:"を”すべて”に設定し、"期間:"を"カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ～ 2024/6/7 21:00)を指定します。これにより、自動的に指定の条件で検索が行われます。
メールの内容をご確認いただき、再送対象のメールをチェックボックスから選択(複数選択可)し、"プロセスの再開"を押下します。
これにより、隔離が動作したポリシールールの後続のポリシールールのチェックが行われた後、後段メールサーバへメールが配送されます。