ビジネスサポートポータルアカウントでログイン
スプーフィングされた内部メッセージのフィルタ  

スプーフィングされた内部メッセージのフィルタ

    • 更新日:
    • 15 Mar 2020
    • 製品/バージョン:
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 8.0
    • InterScan Messaging Security Virtual Appliance 8.2
    • InterScan Messaging Security Virtual Appliance 8.5
    • InterScan Messaging Security Virtual Appliance 9.0
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Linux すべて
    • Virtual Appliance すべて
概要
InterScan Messaging Security Suite (InterScan MSS) や InerScan Messaging Security Virtual Appliance (IMSVA) に実装されている「スプーフィングされた内部メッセージ」フィルタの機能について教えてください。
詳細
Public

InterScan MSS 9.1 Linux版 と IMSVA にはポリシールールの検索条件に「スプーフィングされた内部メッセージ」が用意されており、この検索条件を指定したポリシールールを新たに作成することで送信者を内部ドメインに詐称した、なりすましメール (スプーフィングメール) を検出できます。

Received ヘッダを基に接続元のIPアドレスを割り出すため、直接インターネットからメッセージを受信する場所 (メールゲートウェイ) に配置されていない環境でも検出できます。

通常、内部から外部宛に送信するメッセージは内部のメールサーバ (プライベートIPアドレス) を経由して送信されることから、送信者が内部ドメインであり、かつ、外部のメールサーバ (グローバルIPアドレス) を経由したメッセージは送信者を詐称していると判定し検出するのが「スプーフィングされた内部メッセージ」です。

一方、メールシステムの構成は各環境によって異なり、内部間のやり取りであったとしても配送経路上、グローバルIPアドレスのメールサーバを経由する場合があります。また、別の拠点で特定のサービスを運用しており、そのサービスから内部宛にメッセージが配送される場合もあります。こうしたインターネット上にある正当なメールサーバからのメッセージを検出から除外するため、「スプーフィングされた内部メッセージ」のフィルタでは検索条件に「信頼する内部IPリスト」が用意されています。

フィルタの検出条件

次の (a) および (b) の条件が合致した場合、なりすましメールとして検出します。

条件:
(a) メッセージの送信者 (エンベロープまたはメッセージヘッダ) のドメインと受信者 (エンベロープ) のドメインが同一である
(b) すべての Received ヘッダのなかで「信頼する内部IPリスト」に登録されていないグローバルIPアドレスがひとつでも存在する

ポリシー > 内部アドレス に登録されている内部ドメインの組み合わせでは検出されません。例えば内部アドレスに example.com と sales.example.com が登録されているとします。メッセージの送信者が example.com、受信者が sales.example.com で送信者のメールアドレスが詐称されていたとしても、送信者と受信者が同一ドメインではないため、検出されません。

ポリシールール作成例

次のような新しいポリシールールを作成します。

受信者と送信者

「受信メッセージ」を選択します。宛先をクリックして ポリシー > 内部アドレス に登録されたドメインを登録します。

検索条件

「スプーフィングされた内部メッセージ」を選択します。「スプーフィングされた内部メッセージ」をクリックし、「信頼する内部IPリスト」に除外するグローバルIPアドレスをすべて登録します。

信頼する内部IPリスト
  • プライベートIPアドレスを登録する必要はありません。

  • IPv6 のIPアドレスを登録することはできません。しかし、IMSVA 9.1 では Patch 2 (b1830) 以降、InterScan MSS 9.1 Linux版 では Patch 1 (b1335) 以降、IPv6 のアドレスは検出から除外されます。

  • 「信頼する内部IPリスト」に登録可能なIPアドレスの数は 500 です。

    IMSVA 9.1 では Patch 2 (b1830) 以降、InterScan MSS 9.1 Linux版 であれば Patch 1 (b1335) のビルド以降でその上限値を引き上げることが可能です。例えば上限値を 1000 に引き上げる場合、まず IMSVA または InterScan MSS のサーバに root でログインして、ファイル imssDefine.properties を vi で開き、以下のように変更してファイルを上書きで保存します (InterScan MSS のインストールディレクトリは初期設定では /opt/trend/imss ですが、インストール時にインストールディレクトリを変更している場合には /opt/trend/imss を置き換えて作業を実施してください。)。

    /opt/trend/imss/UI/adminUI/ROOT/WEB-INF/classes/imssDefine.properties:
    # Antispoof trusted IP list size limit
    #policyAntiSpoof.TrustedIPList.sizeLimit=500
    policyAntiSpoof.TrustedIPList.sizeLimit=1000
    

    設定ファイル変更後、以下のコマンドで管理コンソールを再起動してください。

    # /opt/trend/imss/script/S99ADMINUI restart
    

処理

例えばメッセージを隔離するのであれば「次の場所に隔離」、メッセージを削除するのであれば「メッセージ全体を削除」を選択します。

メッセージを隔離したり、削除する場合、設定当初は「メッセージをインターセプトしない」を設定し、検出状況をログで確認した上で最終的に設定することを推奨します。なお、ポリシールールによって検出されたかどうかは ログ > ログクエリ 画面で検索して確認できます。

Premium
Internal
Partner
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1311780
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド