送信者評価とプロトコル分析エージェントSender reputation and the Protocol Analysis agent

送信者評価は、Exchange のスパム対策機能の一部であり、送信者の多くの特徴に従ってメッセージをブロックします。送信者評価では、送信者に関して保持されたデータを使用して、受信メッセージに対して行う処理を決定します。プロトコル分析エージェントは、送信者評価機能の基礎となるエージェントです。Sender reputation is part of the Exchange antispam functionality that blocks messages according to many characteristics of the sender. Sender reputation relies on persisted data about the sender to determine the action to take on inbound messages. The Protocol Analysis agent is the underlying agent for sender reputation functionality.

送信者評価とプロトコル分析エージェントを構成する方法の詳細については、「送信者評価の手順」を参照してください。For more information about how to configure sender reputation and the Protocol Analysis agent, see Sender reputation procedures.

既定では、エッジ トランスポート サーバーでプロトコル分析エージェントが有効になりますが、メールボックス サーバーで有効にすることもできます。詳細については、「メールボックス サーバーのスパム対策機能を有効にする」を参照してください。By default, the Protocol Analysis agent is enabled on Edge Transport servers, but you can enable it on Mailbox servers. For more information, see Enable antispam functionality on Mailbox servers.

送信者評価レベル (SRL) の計算Calculating the sender reputation level (SRL)

送信者評価レベル (SRL) は、以下の統計情報に基づいて計算されます。A sender reputation level (SRL) is calculated from the following statistics:

  • Helo/ehlo analysis: HELO および ehlo SMTP コマンドは、Contoso.com のようなドメイン名、または送信側の smtp サーバーの IP アドレスを受信側の smtp サーバーに提供することを目的としています。HELO/EHLO analysis: The HELO and EHLO SMTP commands are intended to provide the domain name, such as Contoso.com, or IP address of the sending SMTP server to the receiving SMTP server. 悪意のあるユーザー、つまりスパム発信者は多くの場合、さまざまな方法で HELO/EHLO ステートメントを偽造します。Malicious users, or spammers, frequently forge the HELO/EHLO statement in various ways. たとえば、スパム発信者は、接続の発信元である IP アドレスとは一致しない IP アドレスを入力します。For example, they type an IP address that doesn't match the IP address from which the connection originated. また、スパム発信者は、ドメインが組織内にあるかのように見せかけるために、受信側サーバーでローカルにサポートされていると認識されているドメインを HELO ステートメントに設定します。Spammers also put domains that are known to be locally supported at the receiving server in the HELO statement in an attempt to appear as if the domains are in the organization. その他の場合は、スパム発信者が HELO ステートメントで渡されたドメインを変更します。In other cases, spammers change the domain that's passed in the HELO statement. 正当なユーザーの典型的な動作では、さまざまではあっても比較的一定している、HELO ステートメントの一連のドメインが使用されます。The typical behavior of a legitimate user may be to use a different, but relatively constant, set of domains in their HELO statements.

    したがって、HELO/EHLO ステートメントを送信者ごとに分析することによって、送信者がスパム送信者の可能性が高いことを示すことができます。たとえば、特定の時間に多くの異なる一意の HELO/EHLO ステートメントを提供する送信者はスパム送信者である可能性が高くなります。HELO ステートメント内に IP アドレスが繰り返し表示され、それが接続フィルター エージェントにより決定される発信元 IP アドレスと一致しない送信者は、スパム送信者である可能性が高くなります。HELO ステートメント内にローカル ドメイン名が繰り返し表示され、それが Exchange サーバーと同じ組織内であるリモート送信者は、スパム送信者である可能性が高くなります。Therefore, analysis of the HELO/EHLO statement on a persender basis may indicate that the sender is likely to be a spammer. For example, a sender that provides many different unique HELO/EHLO statements in a specific time period is more likely to be a spammer. Senders who consistently provide an IP address in the HELO statement that doesn't match the originating IP address as determined by the Connection Filtering agent are also more likely to be spammers. Remote senders who consistently provide a local domain name in the HELO statement that's in the same organization as the Exchange server are also more likely to be spammers.

  • DNS 逆引き参照: 送信者評価は、送信者がメッセージを送信した発信元 IP アドレスが、HELO または EHLO SMTP コマンドで送信した登録済みドメイン名と一致していることも確認します。Reverse DNS lookup: Sender reputation also verifies that the originating IP address from which the sender transmitted the message matches the registered domain name that the sender submits in the HELO or EHLO SMTP command.

    送信者評価は、発信元 IP アドレスを DNS に発信することによって、DNS 逆引きクエリを実行します。DNS によって返される結果は、その IP アドレスのドメイン名前付け機関を使用して登録されたドメイン名です。送信者評価は、DNS によって返されたドメイン名と、送信者が HELO/EHLO SMTP コマンドで発信したドメイン名を比較します。ドメイン名が一致しない場合は、送信者はスパム発信者である可能性が高く、その送信者の全体的な SRL レベルの評価が上昇します。Sender reputation performs a reverse DNS query by submitting the originating IP address to DNS. The result that's returned by DNS is the domain name that's registered by using the domain naming authority for that IP address. Sender reputation compares the domain name that's returned by DNS to the domain name that the sender submitted in the HELO/EHLO SMTP command. If the domain names don't match, the sender is likely to be a spammer, and the overall SRL rating for the sender is increased.

    Sender ID エージェントも同じようなタスクを実行しますが、Sender ID エージェントのタスクが成功するかどうかは、正当な送信者が DNS インフラストラクチャを更新して組織内のメール送信側 SMTP サーバーをすべて識別できるようにすることに依存しています。DNS 逆引き参照を実行することによって、潜在的なスパム発信者を特定することができます。The Sender ID agent performs a similar task, but the success of the Sender ID agent relies on legitimate senders to update their DNS infrastructure to identify all the email-sending SMTP servers in their organization. By performing a reverse DNS lookup, you can help identify potential spammers.

  • 特定の送信者からのメッセージに対する SCL レベルの分析: コンテンツフィルターエージェントがメッセージを処理すると、メッセージにスパム信頼レベル (SCL) 評価が割り当てられます。Analysis of SCL ratings on messages from a particular sender: When the Content Filter agent processes a message, it assigns a spam confidence level (SCL) rating to the message. SCL レベルは 0 ~ 9 の数値です。The SCL rating is a number from 0 through 9. SCL レベルが高いほど、メッセージがスパムである可能性が高いことを示します。A higher SCL rating indicates that a message is more likely to be spam. 各送信者とそのメッセージに付けられた SCL レベルに関するデータは、送信者評価による分析用に保持されます。Data about each sender and the SCL ratings that their messages yield is persisted for analysis by sender reputation. 送信者評価は、その送信者からこれまでに届いたすべてのメッセージについて、低 SCL レベルのすべてのメッセージと高 SCL レベルのすべてのメッセージとの比率に従って、送信者に関する統計情報を計算します。Sender reputation calculates statistics about a sender according to the ratio between all messages from that sender that had a low SCL rating in the past and all messages from that sender that had a high SCL rating in the past. さらに、その送信者が最終日に送信した高 SCL レベルのメッセージの数も全体的な SRL に適用されます。Additionally, the number of messages that have a high SCL rating that the sender has sent in the last day is applied to the overall SRL.

  • 送信者のオープンプロキシテスト:オープンプロキシは、任意の場所のすべてのユーザーからの接続要求を受け付け、そのトラフィックをローカルホストから発信された場合と同様に転送するプロキシサーバーです。Sender open proxy test: An open proxy is a proxy server that accepts connection requests from anyone anywhere and forwards the traffic as if it originated from the local hosts. プロキシ サーバーは、ファイアウォール ホスト経由で TCP トラフィックを中継して、ユーザー アプリケーションがファイアウォール経由で透過的にアクセスできるようにします。Proxy servers relay TCP traffic through firewall hosts to provide user applications transparent access across the firewall. プロキシ プロトコルはライトウェイトでユーザー アプリケーションのプロトコルには依存しないので、さまざまなサービスでプロキシを使用することができます。Because proxy protocols are lightweight and independent of user application protocols, proxies can be used by many different services. プロキシは、複数のホストが単一のインターネット接続を共有するために使用することもできます。Proxies can also be used to share a single Internet connection by multiple hosts. プロキシは通常、ファイアウォールの内側の信頼されたホストのみがプロキシを通過できるようにセットアップされます。Proxies are usually set up so that only trusted hosts inside the firewall can cross through the proxies. 意図しない構成エラーやマルウェアによって、正当な送信者がオープン プロキシとなる場合があります。A legitimate sender may be an open proxy because of an unintentional misconfiguration or malware.

    オープン プロキシは、悪意のあるユーザーが別人になりすましてサービス拒否攻撃 (DoS) を開始したり、スパムを送信したりするための恰好の手段を提供します。既定でオープンに構成されるプロキシ サーバーが多くなっているので、オープン プロキシはより一般的になってきています。さらに、悪意のあるユーザーは、複数のオープン プロキシを使用して、送信者の発信元 IP アドレスを隠すこともできます。Open proxies provide an ideal way for malicious users to hide their true identities and launch denial of service attacks (DoS) or send spam. As more proxy servers are configured to be open by default, open proxies have become more common. Additionally, malicious users can use multiple open proxies together to hide the sender's originating IP address.

    送信者評価によるオープン プロキシ テストは、オープン プロキシから Exchange サーバーに接続し直すために SMTP 要求の形式を設定することにより、実行されます。プロキシから SMTP 要求を受信した場合は、送信者評価により、プロキシがオープン プロキシであることが確認され、その送信者のオープン プロキシ テストの統計情報が更新されます。When sender reputation performs an open proxy test, it does so by formatting an SMTP request in an attempt to connect back to the Exchange server from the open proxy. If an SMTP request is received from the proxy, sender reputation verifies that the proxy is an open proxy and updates the open proxy test statistic for that sender.

送信者評価は、これらの統計情報をそれぞれ比較検討し、各送信者の SRL を計算します。SRL は、0 ~ 9 までの数字で、特定の送信者がスパム発信者または悪意のあるユーザーである確率を予測したものです。値 0 は、送信者がスパムの発信者である可能性が低いことを示します。値 9 は、送信者がスパムの発信者である可能性が高いことを示します。Sender reputation weighs each of these statistics and calculates an SRL for each sender. The SRL is a number from 0 through 9 that predicts the probability that a specific sender is a spammer or otherwise malicious user. A value of 0 indicates that the sender isn't likely to be a spammer; a value of 9 indicates that the sender is likely to be a spammer.

送信者評価が送信者フィルター エージェントに対して要求を発行する際に使用する、0 から 9 の禁止のしきい値を構成して、組織に届く送信者からのメッセージをブロックすることができます。送信者がブロックされると、一定期間その送信者は受信拒否リストに追加されます (期間は構成可能です)。受信拒否されたメッセージの処理方法は、送信者フィルター エージェントの構成によって異なります。受信拒否されたメッセージを処理するオプションは次のとおりです。You can configure a block threshold from 0 through 9 at which sender reputation issues a request to the Sender Filter agent, and, therefore, blocks the sender from sending a message into the organization. When a sender is blocked, the sender is added to the Blocked Senders list for a configurable time period. How blocked messages are handled depends on the configuration of the Sender Filter agent. The following actions are the options for handling blocked messages:

  • Reject: 配信不能レポート (NDR、配信状態通知、DSN、バウンスメッセージとも呼ばれる) でメッセージが返されます。Reject: Messages are returned in a non-delivery report (also known as an NDR, delivery status notification, DSN, or bounce message)

  • 削除: メッセージは NDR なしに警告なしに削除されます。Delete: Messages are silently deleted without an NDR.

  • Accept: メッセージは受け付けられ、ブロックされた送信者からの受信としてマークされます。Accept: Messages are accepted and marked as coming from a blocked sender

送信者フィルター エージェントの詳細については、「送信者フィルター」を参照してください。For more information about the Sender Filter agent, see Sender filtering.

送信者が IP 禁止一覧や Microsoft IP 評価サービスに含まれている場合、送信者評価は送信者フィルター エージェントに直ちに要求を発行して送信者をブロックします。この機能を活用するには、Microsoft Exchange Anti-spam Update サービスを有効にして構成しておく必要があります。If a sender is included in the IP Block list or Microsoft IP Reputation Service, sender reputation issues an immediate request to the Sender Filter agent to block the sender. To take advantage of this functionality, you need to enable and configure the Microsoft Exchange Antispam Update Service.

既定では、送信者評価では分析されていない送信者のレベルは 0 に設定されます。送信者が 20 通以上のメッセージを送信した後で、送信者評価は、このトピックで前に説明した統計情報に基づき SRL を計算します。By default, sender reputation sets a rating of 0 for senders that haven't been analyzed. After a sender has sent 20 or more messages, sender reputation calculates an SRL that's based on the statistics described earlier in this topic.

SRL を使用する場合When to use the SRL

送信者評価は、次の SMTP セッションの 2 段階の間にメッセージに対して処理を行います。Sender reputation acts on messages during two phases of the SMTP session:

  • [送信元: SMTP] コマンド: 送信者評価は、メッセージがブロックされた場合、または、接続フィルターエージェント、送信者フィルターエージェント、受信者フィルターエージェント、または sender ID エージェントによって実行された場合にのみ、メッセージに対して動作します。At the MAIL FROM: SMTP command: Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filtering agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. メッセージがブロックされた場合、送信者評価は、Exchange サーバーに保持されている送信者プロファイルからその送信者に関する現在の SRL レベルを取得します。In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that's persisted about that sender on the Exchange server. このレベルを取得して評価した後は、Exchange サーバーの構成によって、禁止のしきい値に従って特定の接続で行われる動作が決まります。After this rating is retrieved and evaluated, the Exchange server configuration dictates the behavior that occurs at a particular connection according to the block threshold.

  • "データの終了" smtp コマンドの後に、すべての実際のメッセージデータが送信されるときに、データの最後の転送 (EOD) smtp コマンドが実行されます。After the "end of data" SMTP command: The end of data transfer (EOD) SMTP command is given when all the actual message data is sent. SMTP セッションのこの時点では、多くのスパム対策エージェントがメッセージを処理しています。At this point in the SMTP session, many of the antispam agents have processed the message. スパム対策処理の副産物として、送信者評価が依存する統計情報が更新されます。As a by-product of antispam processing, the statistics that sender reputation relies on are updated. その結果、送信者評価は、送信者の SRL レベルを計算したり再計算したりすることができるデータを得られます。Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.

オープン プロキシ サーバーの検出の構成Configuring the detection of open proxy servers

送信者評価では、SRL を計算するときに、SOCKS4、SOCKS5、HTTP、Telnet、Cisco、Wingate などさまざまな一般的なプロキシ プロトコルを使用して、送信者の発信元 IP アドレスに接続しようとします。プロトコル固有の要求の形式を設定し、SMTP 要求を使用してオープン プロキシ サーバーから Exchange サーバーへの接続を試みます。プロキシ サーバーから SMTP 要求を受信した場合は、プロキシ サーバーがオープン プロキシ サーバーであることを確認し、この結果に従って SRL レベルを調整します。既定では、オープン プロキシ サーバーの検出は、送信者評価で有効になっています。When sender reputation calculates an SRL, sender reputation tries to connect to the sender's originating IP address by using a variety of common proxy protocols, such as SOCKS4, SOCKS5, HTTP, Telnet, Cisco, and Wingate. Sender reputation formats a protocol-specific request in an attempt to connect back to the Exchange server from the open proxy server by using an SMTP request. If an SMTP request is received from the proxy server, sender reputation verifies that the proxy server is an open proxy server and adjusts the SRL rating according to this result. By default, the detection of open proxy servers is enabled in sender reputation.

オープンプロキシサーバーの検出を構成する方法の詳細については、「送信者評価手順」を参照してください。For more information about how to configure the detection of open proxy servers, see Sender reputation procedures.

SRL による禁止のしきい値の設定Setting the SRL block threshold

SRL は、0 から 9 までの数字で、特定の送信者がスパム送信者または悪意のあるユーザーである確率を予測したものです。送信者評価が送信者をブロックするように SRL の値を指定するには、送信者をブロックする SRL のしきい値を設定する必要があります。既定では、SRL の禁止のしきい値は 7 であり、これは SRL が 7、8、9 の送信者がブロックされることを意味します。送信者評価と既定のレベルのプロトコル分析エージェントの有効性を監視する必要があります。The SRL is a number from 0 through 9 that predicts the probability that a specific sender is a spammer or otherwise malicious user. You need to set an SRL threshold for sender blocking to specify the SRL value that causes sender reputation to block a sender. By default, the SRL block threshold is 7, which means senders that have an SRL of 7, 8 or 9 are blocked.. You should monitor the effectiveness of sender reputation and the Protocol Analysis agent at the default level.

エッジ トランスポート サーバーでは、特定の送信者が SRL による禁止のしきい値に達した、またはそれを超えた場合、その送信者を接続フィルター エージェントの IP 禁止一覧に追加します。スパム送信者は、単一の送信者からスパムのバッチを送信することがあります。このシナリオでは、送信者評価で計算した SRL が SRL の禁止のしきい値を超えた場合、送信者は一定期間、送信者禁止一覧に追加されます。この期間は構成可能です。既定の期間は 24 時間です。24 時間が経過すると、送信者は送信者禁止一覧から削除され、メッセージを再送信できます。On an Edge Transport server, if the SRL block threshold is met or exceeded by a particular sender, sender reputation adds the sender to the IP Block list on the Connection Filtering agent. Sometimes, spammers send batches of spam from a single sender. In this scenario, if sender reputation calculates an SRL that exceeds the SRL block threshold, the sender is added to the Sender Block List for a configurable duration of time. The default duration is 24 hours. After 24 hours, the sender is removed from the Sender Block List and can send messages again.

送信者評価では、送信者が IP 禁止一覧に追加されたときに、その送信者のプロファイルを削除します。プロファイルを削除するのは、受信拒否リストに含まれる送信者の既存のプロファイルで、その送信者の SRL が SRL による禁止のしきい値を超えていることを示しているためです。そのままでは、送信者の拒否期間の終了後すぐに、受信拒否リストに含まれる送信者が IP 禁止一覧に再び追加されてしまいます。When a sender is added to the IP Block list, sender reputation deletes the profile for the sender. Sender reputation deletes the profile because the blocked sender's existing profile indicates that the sender's SRL exceeds the SRL block threshold. This would cause the blocked sender to be added to the IP Block list again as soon as the duration for sender blocking ends.

送信者のブロックを構成する方法の詳細については、「送信者評価の手順」を参照してください。For more information about how to configure sender blocking, see Sender reputation procedures.