ビジネスサポートポータルアカウントでログイン
 

IPプロファイラ機能

    • 更新日:
    • 25 Jun 2020
    • 製品/バージョン:
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Linux
    • Virtual Appliance
概要

InterScan Messaging Security Suite (InterScan MSS) 9.1 Linux版 または InterScan Messaging Security Virtual Appliance (IMSVA) 9.1 において送信者フィルタを構成するIPプロファイラ機能について説明します。

詳細
Public

まず、InterScan MSS 9.1 Linux版 と IMSVA 9.1 では送信者フィルタが有効な場合、一般的にメッセージは以下の経路でやり取りされます。この構成を前提として説明します。

InterScan MSS
SMTP クライアント → 送信者フィルタ:25 → Postfix:2500 → 検索サービス:10025 → Postfix:10026 → SMTP サーバ
IMSVA
SMTP クライアント → Postfix:25 → 送信者フィルタ:10020 → Postfix:10021 → 検索サービス:10025 → Postfix:10026 → SMTP サーバ
  • SMTP クライアントは送信元のメールサーバやメールクライアントを指します。
  • SMTP サーバは配送先のメールサーバを指します。
  • Postfix は InterScan MSS または IMSVA のローカルにインストールされている Postfix を指します。
  • InterScan MSS では検索サービスのアップストリーム・ダウンストリームに配置する MTA は任意に選択できるため、Postfix の代わりに sendmail などの MTA が使用されている可能性があります。IMSVA では Postfix が製品内部にインストールされています。

IPプロファイラは メールレピュテーション (Email Reputation Services, ERS) と同様、DNSBL (DNS Blackhole List) の仕組みを利用し、ブロックリストに登録されたIPアドレスからのSMTP 接続を恒久的に、または一時的に拒否する機能です。

IPプロファイラとメールレピュテーションで異なるのは、メールレピュテーションではグローバルに公開されている ERS のデータベースを参照するのに対し、IPプロファイラではユーザ環境独自のデータベース (ブロックリスト) を参照します。

InterScan MSS 9.1 Linux版 ではIPプロファイラ専用の DNS サーバ として付属の BIND がインストールされます。InterScan MSS のサーバを DNS サーバとして運用する環境では製品インストール後、こちら の作業を実施してください。

IPプロファイラの有効化と無効化

IPプロファイラの有効化

IPプロファイラを有効にするには管理コンソールの 送信者フィルタ > 概要 の画面を開き、「IPプロファイラ」にチェックを入れて [保存] ボタンで設定を保存します。

その上で ブロックリスト に手動でIPアドレスを登録したり、ルールを設定してください。

  • IPプロファイラを有効化した場合、送信者フィルタ (TmFoxProxy) のサービスが再起動します。

  • InterScan MSS 9.1 Linux版 ではIPプロファイラとメールレピュテーションはいずれも有効化されておらず、送信者フィルタ自体が無効な状況で「IPプロファイラ」にチェックを入れて設定を保存したとしても正しく動作しません。

    こちら の「インストール後に送信者フィルタを有効にする」の手順にそって送信者フィルタを有効化する必要があります。

  • InterScan MSS 9.1 Linux版 では SMTP 接続が暗号化されている場合既知のホスト機能を使用してIPプロファイラでブロックすることはできません。

IPプロファイラの無効化

IPプロファイラを無効にするには管理コンソールの 送信者フィルタ > 概要 の画面を開き、「IPプロファイラ」にチェックを外して [保存] ボタンで設定を保存します。

  • IPプロファイラを無効化した場合、送信者フィルタ (TmFoxProxy) のサービスが再起動します。

  • InterScan MSS 9.1 Linux版 ではメールレピュテーションも無効であれば送信者フィルタ自体を無効化する必要があります。

    こちら の「送信者フィルタを無効にする」の手順にそって送信者フィルタを無効化してください。

ブロックリスト

管理コンソールの 送信者フィルタ > ブロックリスト には手動 (ユーザ指定) で追加したIPアドレスやIPアドレスの範囲、および 送信者フィルタ > ルール の各ルールの設定にしたがって自動的に追加されたIPアドレスが登録されます。

ブロックリスト

処理とブロック期間

手動でIPアドレスを追加する場合やルールの設定には「処理」の項目があります。

常にブロック

処理に「常にブロック」を指定した場合、IPアドレスはブロックリストに恒久的に登録されます。もしそのIPアドレスから SMTP 接続があれば送信者フィルタは SMTP クライアントに "554 Transaction failed" の応答を返し、SMTP 接続を恒久的に拒否します。

したがって、SMTP クライアント (接続元メールサーバ) は即座にメッセージをバウンスし、送信者に配信不能通知 (バウンスメール) を送信します。

一時的にブロック

処理に「一時的にブロック」を指定した場合、ブロック期間 (30分など) のあいだ、IPアドレスはブロックリストに一時的に登録されます。ブロック期間が経過すると、IPアドレスはブロックリストから削除されます。

もしそのIPアドレスから SMTP 接続があれば送信者フィルタは SMTP クライアントに "421 Service not available,closing transmission channel" の応答を返し、SMTP 接続を一時的に拒否します。

したがって、SMTP クライアント (接続元メールサーバ) はメッセージをいったんキューに保存し、そのメールサーバの再送設定にしたがって再送を試みます。

再送時にIPアドレスがブロックリストに登録されていなければ、メッセージは検索サービスに渡されます。

再送時にIPアドレスがブロックリストに登録されていれば、送信者フィルタは再度 SMTP クライアントに 450 の応答を返し、SMTP 接続を一時的に拒否します。SMTP クライアント (接続元メールサーバ) はメッセージを再度キューに保存し、次の再送を試みます。

MTA では通常キューの保存期間が決まっており、最終的にその保存期間を超えて配送できなければ接続元のメールサーバはメッセージをバウンスし、送信者にバウンスメールを送信します。

手動によるIPアドレスの登録

特定のIPアドレスまたはIPアドレスの範囲をブロックリストに登録するには、まず [追加] ボタンをクリックします。

手動によるIPアドレスの登録

IPアドレスを登録するのであれば「IPアドレス」を選択した上で除外するIPアドレスを入力します。

IPアドレスの範囲でIPアドレスを登録するのであれば「グループ別の指定」を選択し、サブネットアドレスとサブネットマスクを登録します。例えば CIDR 形式でIPアドレスの範囲が 172.16.0.0/20 と表記されている場合にはサブネットアドレスに 172.16.0.0、サブネットマスクに 255.255.240.0 を入力します。

最後に「処理」を選択し、[保存] ボタンで登録します。

IPアドレスがすでに承認済みリストに登録されている場合、以下のポップアップメッセージが表示され、登録することはできません。

このIPアドレスは承認済みリストにすでに含まれています。ブロックリストに追加するには、まず許可リストから削除してください。

ルールの設定

送信者フィルタ > ルール には「スパムメール」「ウイルス」「DHA攻撃」「バウンスメール」の4つのルールが用意されています。初期設定ではいずれも無効化されているため、以下の説明を参考に各項目の値を任意に変更した上で「有効にする」のチェックを入れて設定を保存し、有効化します。

ルール
  • [既定値に戻す] のボタンをクリックすると各項目の値に初期設定値が設定されます。

  • 「DHA攻撃」と「バウンスメール」では、管理コンソールの 管理 > IMSS設定 > 接続 > LDAP または 管理 > IMSVA設定 > 接続 > LDAP の画面のサーバリストに LDAP サーバを登録し、Active Directory などの LDAP サーバと連携していることが前提となります。

スパムメール

監視期間 (初期設定では 20時間) のあいだにメッセージ総数に指定された数 (初期設定では 1000 通) のメッセージを受信後、「スパムメール検出設定」を検索条件とするポリシールール (「初期設定のスパムメール対策ルール」など) でスパムメールと判定されたメッセージの割合が比率 (初期設定では 80%) を超過した場合、ブロックリストに登録されます。

ウイルス

監視期間 (初期設定では 20時間) のあいだにメッセージ総数に指定された数 (初期設定では 1000 通) のメッセージを受信後、ウイルス検索のポリシールール (「グローバルウイルス対策ルール」など) でマルウェアが検出されたメッセージの割合が比率 (初期設定では 80%) を超過した場合、ブロックリストに登録されます。

DHA攻撃

このルールでは、宛先が存在するかどうかに関係になく大量の宛先を指定したメッセージを送信し、有効なメールアドレスを特定する DHA (Directory Harvest Attack, ディレクトリハーベスト攻撃) に対する防御を提供します。

監視期間 (初期設定では 20時間) のあいだにメッセージ総数に指定された数 (初期設定では 1000 通) のメッセージを受信後、1通のメッセージに送信先数の下限 (初期設定では 100 件) を超える宛先が指定され、かつ、存在しないメールアドレスの数が存在しない受信者数 (初期設定では 0 件) を超えるメッセージの割合が比率 (初期設定では 80%) を超過した場合、ブロックリストに登録されます。

バウンスメール

このルールでは、存在しないメールアドレス宛に送信されたスパムメールによって生成された配信不能通知 (バウンスメール) を送り付けるバックスキャッタ攻撃に対する防御を提供します。

監視期間 (初期設定では 20時間) のあいだにメッセージ総数に指定された数 (初期設定では 1000 通) のメッセージを受信後、存在しないメールアドレスが宛先に指定されているメッセージの割合が比率 (初期設定では 80%) を超過した場合、ブロックリストに登録されます。

不審なIP

送信者フィルタ > 不審なIP の画面では、IPアドレスがルールのしきい値にしたがってブロックリストに登録されていないもののスパムメールと判定されていたり、ウイルスが検出されていれば不正接続としてその回数をカウントして表示します。

例えば「DHA攻撃」「バウンスメール」「ウイルスメール」「スパムメール」のチェックを入れて指定期間で検索して次のように表示された場合、当該のIPアドレスから「スパムメール」と「ウイルス」のルールの対象となる SMTP 接続がそれぞれ1回ずつあったことを示しています。

不審なIP

また、IPアドレスにチェックを入れて [一時的にブロック] または [常にブロック] をクリックすると、そのIPアドレスが手動でブロックリストに登録されます。

[一時的にブロック] をクリックして手動でブロックリストに登録した場合、ブロック期間には 30分 が常に指定されます。

ブロックされたログの確認方法

既知のホスト機能が無効な場合、管理コンソールの ログ > ログクエリ の画面で「送信者フィルタ」を選択して検索するとブロックしたログが以下のように表示されます。

ログクエリ (既知のホスト機能無効)

既知のホスト機能が有効な場合、管理コンソールの ログ > ログクエリ の画面で「送信者フィルタ」を選択して検索するとブロックしたログが以下のように表示されます。

ログクエリ (既知のホスト機能有効)

しかし、「すべて」を選択している場合、メールレピュテーションなどのブロックログも含まれるため、どのような理由でIPプロファイラによってブロックされたかを確認するには個別に指定して検索する必要があります。

手動によるIPアドレスのブロックリストへの登録で SMTP 接続が拒否されたログを検索するには「手動」を選択します。ルールによるIPアドレスのブロックリストへの登録で SMTP 接続が拒否されたログを検索するには「DHA攻撃」「バウンスメール」「ウイルスメール」「スパムメール」のいずれかを選択して検索します。

InterScan MSS 9.1 Linux版 では SMTP 接続が暗号化されている場合、ログのクエリにおいて送信者と受信者のメールアドレスは表示されません。

よくある問い合わせ

Q1: ブロックリストに登録できるIPアドレスの数に上限はありますか。

特に上限はありません。

Q2: ブロックリストに登録されているIPアドレスをエクスポートしたり、インポートすることはできますか。

ブロックリストには登録されているIPアドレスをエクスポートしたり、IPアドレスを記載したテキストファイルをインポートするといった機能は実装されていません。

Q3: ブロックリストにはドメインでも手動で登録できるようですが、ブロックリストの登録手順には言及されていません。なぜでしょうか。

製品仕様上、送信者フィルタのブロックリストに「ドメイン」を選択してIPアドレスを登録することは可能です。

「ドメイン」を選択すると「Aレコード」や「MXレコード」にチェックを入れて送信者のドメインを登録しますが、登録後にチェックが入っているレコードをチェックしてIPアドレスを自動的に登録する仕様となっています。

「予約解決」にチェックを入れた場合、毎日 1:00 に MX または A レコードをチェックして最新の状態にIPアドレスを更新します。

例えば「有効にする」にチェックを入れ、「Aレコード」「MXレコード」ともに有効な状態でドメインに gmail.com を入力し、[保存] ボタンで設定を保存したとします。保存直後には次のように表示されます。

ドメインの登録

しかし数分後、ブロックリストを確認すると次のように MX レコードと A レコードに指定されたIPアドレスが自動的に登録されます。

IPアドレスの自動登録

gmail.com の MX レコードは 5個 あり、各 MX ホストのIPアドレスと、gmail.com の A レコードに指定されたIPアドレス、計 6個 のIPアドレスが自動的に登録されていることがわかります。

gmail.com.              3600    IN      MX      40 alt4.gmail-smtp-in.l.google.com.
gmail.com.              3600    IN      MX      20 alt2.gmail-smtp-in.l.google.com.
gmail.com.              3600    IN      MX      10 alt1.gmail-smtp-in.l.google.com.
gmail.com.              3600    IN      MX      30 alt3.gmail-smtp-in.l.google.com.
gmail.com.              3600    IN      MX      5 gmail-smtp-in.l.google.com.
alt4.gmail-smtp-in.l.google.com. 300 IN A       173.194.77.26
alt2.gmail-smtp-in.l.google.com. 300 IN A       74.125.129.27
alt1.gmail-smtp-in.l.google.com. 300 IN A       108.177.10.26
alt3.gmail-smtp-in.l.google.com. 300 IN A       172.253.112.27
gmail-smtp-in.l.google.com. 300 IN      A       74.125.204.27
gmail.com.              300     IN      A       216.58.197.165

このように取得されるIPアドレスはあくまでも外部からメッセージを受信するメールサーバのIPアドレスです。

同じIPアドレスから内部から外部宛のメッセージが送信されるドメインであればドメインで登録することは非常に効果的です。

しかし、メッセージを受信するIPアドレスと送信するIPアドレスが異なるドメインも多くあります。外部に送信するためのメールサーバのIPアドレスが受信するメールサーバのIPアドレスと異なれば効果がないため、送信元のIPアドレスまたはIPアドレスの範囲で登録することを推奨します。

Premium
Internal
Partner
評価:
カテゴリ:
Configure; SPEC
Solution Id:
000246136
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド