ビジネスサポートポータルアカウントでログイン
 

メールレピュテーション (Email Reputation Services) 機能

    • 更新日:
    • 25 Jun 2020
    • 製品/バージョン:
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Linux
    • Virtual Appliance
概要

InterScan Messaging Security Suite (InterScan MSS) 9.1 Linux版 または InterScan Messaging Security Virtual Appliance (IMSVA) 9.1 において送信者フィルタを構成するメールレピュテーション (Email Reputation Services, ERS) 機能について説明します。

詳細
Public

まず、InterScan MSS 9.1 Linux版 と IMSVA 9.1 では送信者フィルタが有効な場合、一般的にメッセージは以下の経路でやり取りされます。この構成を前提として説明します。

InterScan MSS
SMTP クライアント → 送信者フィルタ:25 → Postfix:2500 → 検索サービス:10025 → Postfix:10026 → SMTP サーバ
IMSVA
SMTP クライアント → Postfix:25 → 送信者フィルタ:10020 → Postfix:10021 → 検索サービス:10025 → Postfix:10026 → SMTP サーバ
  • SMTP クライアントは送信元のメールサーバやメールクライアントを指します。
  • SMTP サーバは配送先のメールサーバを指します。
  • Postfix は InterScan MSS または IMSVA のローカルにインストールされている Postfix を指します。
  • InterScan MSS では検索サービスのアップストリーム・ダウンストリームに配置する MTA は任意に選択できるため、Postfix の代わりに sendmail などの MTA が使用されている可能性があります。IMSVA では Postfix が製品内部にインストールされています。

メールレピュテーションは DNSBL (DNS Blackhole List) の仕組みを利用し、接続元メールサーバ (SMTP クライアント) のIPアドレスがスパムメールの送信元として ERS のデータベースに登録されていれば、SMTP 接続を恒久的に、または一時的に拒否する機能です。

メールレピュテーションでは DNS クエリで送信元が ERS データベースに登録されているかをチェックするため、インターネットに対して名前の解決ができる環境であることが必須となります。

サポートする ERS データベース

InterScan MSS 9.1 Linux版 および IMSVA 9.1 がサポートする ERS のデータベース は以下のとおりです。

  • RBL (Realtime Blackhole List)
  • DUL (Dynamic User List)
  • QIL (Quick IP Lookup)

RBL と DUL は Standard (標準) のデータベースとなり、QIL は Advanced (詳細) のデータベースとなります。

IPアドレスが ERS のデータベースに登録されているかどうかは ERS のルックアップページ から検索して確認できます。

RBL や DUL、QIL のデータベースに登録されていれば以下のように「レピュテーション」に悪いと表示され、「以下に記載」に登録されているデータベースの名前が表示されます。

IP:
レピュテーション: 悪い
以下に記載: QIL
フィードバック: グローバルブロック済みリストから削除するようリクエストする。

DNS クエリと応答

メールレピュテーションでは、まず InterScan MSS または IMSVA のサーバに設定された DNS に次のクエリを送信します。

(標準)
<送信元IPアドレスを逆引きしたIPアドレス>.<アクティベーションコード>.r.mail-abuse.com
(詳細)
<送信元IPアドレスを逆引きしたIPアドレス>.<アクティベーションコード>.q.mail-abuse.com

アクティベーションコードからハイフンは除きます。

ERS の DNS はそのクエリに対して応答を返します。

どの ERS のデータベースにもIPアドレスが登録されていなければ ERS の DNS は NXDOMAIN を返します。

もしIPアドレスが RBL データベースに登録されていれば 127.1.0.1、DUL に登録されていれば 127.1.0.2、そして QIL に登録されていれば 127.0.0.32 が返されます。

 

NXDOMAIN が返された場合

DNS クエリに対して NXDOMAIN が返された場合、InterScan MSS または IMSVA は SMTP 接続をブロックせず、メッセージを検索サービスに渡します。

127.1.0.1 や 127.1.0.2 が返された場合 (RBL や DUL)

DNS クエリに対して 127.1.0.1 (RBL) または 127.1.0.2 (DUL) が返されれば、初期設定で接続元のメールサーバに 550 の以下の応答を返し、SMTP 接続を恒久的に拒否します。

(既知のホスト機能が無効な場合)
550 Service unavailable; Client Host [<IPアドレス>] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=<IPアドレス>
(既知のホスト機能が有効な場合)
550 Service unavailable; Received Header [<IPアドレス>] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=<IPアドレス>

そのため、接続元のメールサーバは即座にメッセージをバウンスし、送信者に配信不能通知 (バウンスメール) を送信します。

127.0.0.32 が返された場合 (QIL)

DNS クエリに対して 127.0.0.32 (QIL) が返されれば、初期設定で接続元のメールサーバに 450 の以下の応答を返し、SMTP 接続を一時的に拒否します。

(既知のホスト機能が無効な場合)
450 Service temporarily unavailable; Client Host [<IPアドレス>] blocked using Trend Micro Email Reputation Service. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=<IPアドレス>
(既知のホスト機能が有効な場合)
450 Service unavailable; Received Header [<IPアドレス>] blocked using Trend Micro Email Reputation Service. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=<IPアドレス>

接続元のメールサーバはメッセージをいったんキューに保存し、そのメールサーバの再送設定にしたがって再送を試みます。

再送時に QIL データベースには登録されておらず DNS クエリに対して NXDOMAIN が返されれば、メッセージは検索サービスに渡されます。

再送時にふたたび 127.0.0.32 が返されて引き続き QIL データベースに登録されていれば、接続元のメールサーバに 450 の応答を返し、SMTP 接続を一時的に拒否します。接続元のメールサーバはメッセージを再度キューに保存し、次の再送を試みます。

MTA では通常キューの保存期間が決まっており、最終的にその保存期間を超えて配送できなければ接続元のメールサーバはメッセージをバウンスし、送信者にバウンスメールを送信します。

InterScan MSS 9.1 Linux版 では SMTP 接続が暗号化されている場合既知のホスト機能を使用してメールレピュテーションでブロックすることはできません。

メールレピュテーションの設定

メールレピュテーションの有効化

メールレピュテーションを有効にするには管理コンソールの 送信者フィルタ > メールレピュテーション を開き、「メールレピュテーションを有効にする」にチェックを入れて [保存] ボタンで設定を保存します。

  • メールレピュテーションを有効化した場合、送信者フィルタ (TmFoxProxy) のサービスが再起動します。

  • InterScan MSS 9.1 Linux版 では IPプロファイラとメールレピュテーションはいずれも有効化されておらず、送信者フィルタ自体が無効な状況で「メールレピュテーションを有効にする」にチェックを入れて設定を保存したとしても正しく動作しません。

    こちら の「インストール後に送信者フィルタを有効にする」の手順にそって送信者フィルタを有効化する必要があります。

メールレピュテーションの無効化

メールレピュテーションを無効にするには管理コンソールの 送信者フィルタ > メールレピュテーション を開き、「メールレピュテーションを有効にする」のチェックを外して [保存] ボタンで設定を保存します。

  • メールレピュテーションを無効化した場合、送信者フィルタ (TmFoxProxy) のサービスが再起動します。

  • InterScan MSS 9.1 Linux版 ではIPプロファイラも無効であれば送信者フィルタ自体を無効化する必要があります。

    こちら の「送信者フィルタを無効にする」の手順にそって送信者フィルタを無効化してください。

サービスレベルの設定

サービスレベルには初期設定では「詳細」および「初期設定の推奨処理」が選択されています。これは標準 (RBL, DUL) と詳細 (QIL) のクエリが有効となっていることを示します。

QIL のデータベースはチェックせず、RBL と DUL のデータベースのみをチェックするのであれば「標準」および「初期設定の推奨処理」を選択して設定を保存します。

また、IPアドレスが RBL, DUL ,QIL のいずれのデータベースに該当した場合も 450 の応答コードを返すように設定するのであれば、「詳細」「一致するすべての接続に対して適用する処理」を選択した上で「SMTPエラーコード」に 450、「SMTPエラー文字列」に任意の文字列を英語で入力して設定を保存します。

サービスレベルを変更した場合、送信者フィルタ (TmFoxProxy) のサービスが再起動します。

ブロックされたログの確認方法

既知のホスト機能が無効な場合

管理コンソールの ログ > ログクエリ の画面で「送信者フィルタ」「メールレピュテーション」を選択して検索するとブロックしたログが以下のように表示されます。

ログクエリ (既知のホスト機能無効)

また、IMSVA であれば Postfix のメールログ (/var/log/maillog) に次のようなログが出力されます。

(RBL や DUL の場合)
Jun  2 11:14:51 imsva91 postfix/smtpd[24713]: warning: proxy inet:127.0.0.1:10020 rejected "RCPT TO:<taro@trendmicro.com> ORCPT=rfc822;taro@trendmicro.com": "550 Service unavailable; Client Host [203.0.113.64] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=203.0.113.64"
(QIL の場合)
Jun  2 15:07:03 imsva91 postfix/smtpd[25657]: warning: proxy inet:127.0.0.1:10020 rejected "RCPT TO:<taro@trendmicro.com> ORCPT=rfc822;taro@trendmicro.com": "450 Service temporarily unavailable; Client Host [203.0.113.32] blocked using Trend Micro Email Reputation Service. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=203.0.113.32"

既知のホスト機能が有効な場合

管理コンソールの ログ > ログクエリ の画面で「送信者フィルタ」「メールレピュテーション」を選択して検索するとブロックしたログが以下のように表示されます。

ログクエリ (既知のホスト機能有効)

また、IMSVA であれば Postfix のメールログ (/var/log/maillog) に次のようなログが出力されます。

(RBL や DUL の場合)
Jun  2 12:25:27 imsva91 postfix/smtpd[21399]: proxy-reject: END-OF-MESSAGE: 550 Service unavailable; Received Header [203.0.113.1] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=203.0.113.1 ; from=<john@example.com> to=<taro@trendmicro.com> proto=ESMTP helo=<mail.trendmicro.com>
(QIL の場合)
Jun  2 18:12:44 imsva91 postfix/smtpd[23610]: proxy-reject: END-OF-MESSAGE: 450 Service temporarily unavailable; Received Header [203.0.113.32] blocked using Trend Micro Email Reputation Service. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=203.0.113.32 ; from=<john@example.com> to=<taro@trendmicro.com> proto=ESMTP helo=<mail.trendmicro.com>

InterScan MSS 9.1 Linux版 では以下の制限があります。

  • Postfix のメールログ (/var/log/maillog) にはログは出力されません。
  • SMTP 接続が暗号化されている場合、ログのクエリにおいて送信者と受信者のメールアドレスは表示されません。

よくある問い合わせ

Q1: 送信者フィルタ > ブロックリスト にIPアドレスを登録しましたが、メールレピュテーションでブロックされません。なぜでしょうか。

ブロックリストは IPプロファイラ の機能です。IPプロファイラを有効化しておらずメールレピュテーションのみを有効化した環境ではブロックリストではブロックされません。IPプロファイラを有効にしていないのであれば IPプロファイラを有効にしてください。

Q2: 送信元のIPアドレスが ERS のデータベースに登録されていてメールレピュテーションによってブロックされる場合、IPアドレスが ERS のデータベースから削除するよう対処できますか。

1日1回に限り Webサイトから IPアドレスの解除 を依頼して即座に解除が可能な QIL データベース以外、InterScan MSS/IMSVA の製品ユーザは原則 RBL や DUL のデータベースからIPアドレスを解除できません。

承認済みリスト にIPアドレスを登録して製品側で回避してください。

Premium
Internal
Partner
評価:
カテゴリ:
Configure; SPEC
Solution Id:
000246137
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド