InterScan MSS 9.1 Linux版 と IMSVA にはポリシールールの検索条件に「スプーフィングされた内部メッセージ」が用意されており、この検索条件を指定したポリシールールを新たに作成することで送信者を内部ドメインに詐称した、なりすましメール (スプーフィングメール) を検出できます。
Received ヘッダを基に接続元のIPアドレスを割り出すため、直接インターネットからメッセージを受信する場所 (メールゲートウェイ) に配置されていない環境でも検出できます。
通常、内部から外部宛に送信するメッセージは内部のメールサーバ (プライベートIPアドレス) を経由して送信されることから、送信者が内部ドメインであり、かつ、外部のメールサーバ (グローバルIPアドレス) を経由したメッセージは送信者を詐称していると判定し検出するのが「スプーフィングされた内部メッセージ」です。
一方、メールシステムの構成は各環境によって異なり、内部間のやり取りであったとしても配送経路上、グローバルIPアドレスのメールサーバを経由する場合があります。また、別の拠点で特定のサービスを運用しており、そのサービスから内部宛にメッセージが配送される場合もあります。こうしたインターネット上にある正当なメールサーバからのメッセージを検出から除外するため、「スプーフィングされた内部メッセージ」のフィルタでは検索条件に「信頼する内部IPリスト」が用意されています。
フィルタの検出条件
次の (a) および (b) の条件が合致した場合、なりすましメールとして検出します。
- 条件:
- (a) メッセージの送信者 (エンベロープまたはメッセージヘッダ) のドメインと受信者 (エンベロープ) のドメインが同一である
- (b) すべての Received ヘッダのなかで「信頼する内部IPリスト」に登録されていないグローバルIPアドレスがひとつでも存在する
ポリシー > 内部アドレス に登録されている内部ドメインの組み合わせでは検出されません。例えば内部アドレスに example.com と sales.example.com が登録されているとします。メッセージの送信者が example.com、受信者が sales.example.com で送信者のメールアドレスが詐称されていたとしても、送信者と受信者が同一ドメインではないため、検出されません。
ポリシールール作成例
次のような新しいポリシールールを作成します。
受信者と送信者
「受信メッセージ」を選択します。宛先をクリックして ポリシー > 内部アドレス に登録されたドメインを登録します。
検索条件
「スプーフィングされた内部メッセージ」を選択します。「スプーフィングされた内部メッセージ」をクリックし、「信頼する内部IPリスト」に除外するグローバルIPアドレスをすべて登録します。
-
プライベートIPアドレスを登録する必要はありません。
-
IPv6 のIPアドレスを登録することはできません。しかし、IMSVA 9.1 では Patch 2 (b1830) 以降、InterScan MSS 9.1 Linux版 では Patch 1 (b1335) 以降、IPv6 のアドレスは検出から除外されます。
-
「信頼する内部IPリスト」に登録可能なIPアドレスの数は 500 です。
IMSVA 9.1 では Patch 2 (b1830) 以降、InterScan MSS 9.1 Linux版 であれば Patch 1 (b1335) のビルド以降でその上限値を引き上げることが可能です。例えば上限値を 1000 に引き上げる場合、まず IMSVA または InterScan MSS のサーバに root でログインして、ファイル imssDefine.properties を vi で開き、以下のように変更してファイルを上書きで保存します (InterScan MSS のインストールディレクトリは初期設定では /opt/trend/imss ですが、インストール時にインストールディレクトリを変更している場合には /opt/trend/imss を置き換えて作業を実施してください。)。
/opt/trend/imss/UI/adminUI/ROOT/WEB-INF/classes/imssDefine.properties:# Antispoof trusted IP list size limit #policyAntiSpoof.TrustedIPList.sizeLimit=500 policyAntiSpoof.TrustedIPList.sizeLimit=1000
設定ファイル変更後、以下のコマンドで管理コンソールを再起動してください。
# /opt/trend/imss/script/S99ADMINUI restart
処理
例えばメッセージを隔離するのであれば「次の場所に隔離」、メッセージを削除するのであれば「メッセージ全体を削除」を選択します。
メッセージを隔離したり、削除する場合、設定当初は「メッセージをインターセプトしない」を設定し、検出状況をログで確認した上で最終的に設定することを推奨します。なお、ポリシールールによって検出されたかどうかは ログ > ログクエリ 画面で検索して確認できます。