ビジネスサポートポータルアカウントでログイン
スプーフィングされた内部メッセージのフィルタ  

スプーフィングされた内部メッセージのフィルタ

    • 更新日:
    • 30 May 2019
    • 製品/バージョン:
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 8.0
    • InterScan Messaging Security Virtual Appliance 8.2
    • InterScan Messaging Security Virtual Appliance 8.5
    • InterScan Messaging Security Virtual Appliance 9.0
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Linux すべて
    • Virtual Appliance すべて
概要
InterScan Messaging Security Suite (InterScan MSS) や InerScan Messaging Security Virtual Appliance (IMSVA) に実装されている「スプーフィングされた内部メッセージ」フィルタの機能について教えてください。
詳細
Public

InterScan MSS 9.1 Linux版 と IMSVA にはポリシールールの検索条件に「スプーフィングされた内部メッセージ」が用意されており、この検索条件を指定したポリシールールを新たに作成することで、送信者を内部ドメインに詐称した、なりすましメール (スプーフィングメール) を検出できます。

Received ヘッダを基に接続元のIPアドレスを割り出すため、直接インターネットからメッセージを受信する場所 (メールゲートウェイ) に配置されていない環境でも、検出できます。

通常、内部から外部宛に送信するメッセージは内部のメールサーバ (プライベートIPアドレス) を経由して送信されることから、送信者が内部ドメインであり、かつ、外部のメールサーバ (グローバルIPアドレス) を経由したメッセージは送信者を詐称していると判定し検出するのが「スプーフィングされた内部メッセージ」です。

一方、メールシステムの構成は各環境によって異なり、内部間のやり取りであったとしても配送経路上、グローバルIPアドレスのメールサーバを経由する場合があります。また、別の拠点で特定のサービスを運用しており、そのサービスから内部宛にメッセージが配送される場合もあります。こうしたインターネット上にある正当なメールサーバからのメッセージを検出から除外するため、「スプーフィングされた内部メッセージ」のフィルタでは検索条件に「信頼する内部IPリスト」が用意されています。

フィルタの検出条件

次の (a) および (b) の条件が合致した場合、なりすましメールとして検出します。

  1. メッセージの送信者 (エンベロープまたはメッセージヘッダ) のドメインと受信者 (エンベロープ) のドメインが同一である。
  2. すべての Received ヘッダのなかで、「信頼する内部IPリスト」に登録されていないグローバルIPアドレスがひとつでも存在する

ポリシー > 内部アドレス に登録されている内部ドメインの組み合わせでは検出されません。例えば、内部アドレスに example.com と sales.example.com が登録されているとします。メッセージの送信者が example.com、受信者が sales.example.com で送信者のメールアドレスが詐称であったとしても、送信者と受信者が同一のドメインでないため、検出されません。

ポリシールール作成例

次のような新しいポリシールールを作成します。

受信者と送信者

「受信メッセージ」を選択します。宛先をクリックして ポリシー > 内部アドレス に登録されたドメインを登録します。

検索条件

「スプーフィングされた内部メッセージ」を選択します。「スプーフィングされた内部メッセージ」をクリックし、「信頼する内部IPリスト」に除外するグローバルIPアドレスをすべて登録します。

信頼する内部IPリスト

処理

例えばメッセージを隔離するのであれば「次の場所に隔離」、メッセージを削除するのであれば「メッセージ全体を削除」を選択します。

メッセージを隔離したり、削除する場合、設定当初は「メッセージをインターセプトしない」を設定して、検出状況をログで確認した上で最終的に設定することを推奨します。なお、ポリシールールによって検出されたかどうかは ログ > ログクエリ 画面で検索して確認できます。

Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1311780
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド