スパム対策保護Anti-spam protection

製品: Exchange Server 2013Applies to: Exchange Server 2013

スパム発信者または悪意のある送信者は、さまざまな手法を使用して組織に迷惑メールを送信します。Spammers, or malicious senders, use a variety of techniques to send unwanted email into your organization. 単一のツールやプロセスですべてのスパムを排除することは不可能です。No single tool or process can eliminate all spam. ただし、Microsoft Exchange Server 2013 には、これらの不要なメッセージを減らすための階層化された複数の multifaceted アプローチが用意されています。However, Microsoft Exchange Server 2013 provides a layered, multipronged, and multifaceted approach to reducing these unwanted messages. Exchange は、トランスポートエージェントを使用してスパム対策保護を提供し、Exchange 2013 で使用可能な組み込みエージェントは、Microsoft Exchange Server 2010 から変更されません。Exchange uses transport agents to provide anti-spam protection, and the built-in agents that are available in Exchange 2013 are relatively unchanged from Microsoft Exchange Server 2010.

スパム対策の機能をさらに強化し、管理を容易にするために、Microsoft Exchange Online Protection (EOP) を購入することもできます。For more anti-spam features and easier management, you can elect to purchase Microsoft Exchange Online Protection (EOP). EOP と Exchange 2013 の機能の比較については、「exchange Server 2013 経由の Exchange Online Protection のスパム対策機能のメリット」を参照してください。For a comparison of EOP and Exchange 2013 features, see Benefits of anti-spam features in Exchange Online Protection over Exchange Server 2013. Office 365 スパム対策保護の詳細については、「 office 365 電子メールのスパム対策保護」を参照してください。To learn more about Office 365 anti-spam protection, see Office 365 Email Anti-Spam Protection.

Exchange 2013 の組み込みのマルウェア対策機能の詳細については、「マルウェア対策保護」を参照してください。For information about the built-in anti-malware capabilities in Exchange 2013, see Anti-malware protection.

メールボックスサーバーのスパム対策エージェントAnti-spam agents on Mailbox servers

通常、組織にエッジトランスポートサーバーがない場合、または受信メッセージを受け入れる前に以前のスパム対策フィルター処理を行わない場合は、メールボックスサーバーでスパム対策エージェントを有効にします。Typically, you would enable the anti-spam agents on a mailbox server if your organization doesn't have an Edge Transport server, or doesn't do any prior anti-spam filtering before accepting incoming messages. 詳細については、「メールボックス サーバーのスパム対策機能を有効にする」を参照してください。For more information, see Enable anti-spam functionality on Mailbox servers.

すべてのトランスポートエージェントと同様に、各スパム対策エージェントには優先度の値が割り当てられます。Like all transport agents, each anti-spam agent is assigned a priority value. 低い値は、優先度が高いことを示します。通常、優先度1のスパム対策エージェントは、優先度9のスパム対策エージェントの前にメッセージに対して処理を実行します。A lower value indicates a higher priority, so typically, an anti-spam agent with priority 1 will act on a message before an anti-spam agent with priority 9. ただし、スパム対策エージェントが登録されている SMTP イベントは、スパム対策エージェントがメッセージに対して実行する順序を決定する際にも非常に重要です。However, the SMTP event where the anti-spam agent is registered is also very important in determining the order that anti-spam agents act on messages. トランスポートパイプラインの初期段階で SMTP イベントに登録されている優先度の低いスパム対策エージェントは、SMTP イベントに登録されている優先度の高いスパム対策エージェントがトランスポートパイプラインの後にあると、メッセージに対して実行されます。A low priority anti-spam agent that's registered on an SMTP event early in the transport pipeline will act on a message before a high priority anti-spam agent that's registered on an SMTP event later in the transport pipeline.

スパム対策エージェントの既定の優先度の値、およびスパム対策エージェントが登録されているトランスポートパイプラインの SMTP イベントに基づいて、次の一覧では、メールボックスサーバー上のメッセージに適用されるエージェントと既定の順序について説明します。Based on the default priority value of the anti-spam agent, and the SMTP event in the transport pipeline where the anti-spam agent is registered, the following list describes the agents and the default order in which they are applied to messages on a Mailbox server:

  1. 送信者フィルターエージェント: 送信者フィルターは、組織へのメッセージ送信が禁止されている送信者または送信者ドメインの管理者が定義したリストに対して、どのような操作が行われているかを判断するために、メールの送信元と SMTP コマンドの送信者を比較します。受信メッセージ。Sender Filter agent: Sender filtering compares the sender on the MAIL FROM: SMTP command to an administrator-defined list of senders or sender domains who are prohibited from sending messages to the organization to determine what action, if any, to take on an inbound message. 詳細については、「 送信者フィルター」を参照してください。For more information, see Sender filtering.

  2. SENDER id エージェント: sender id は、送信側サーバーの IP アドレスと送信者の Purported 責任アドレス (PRA) に依存して、送信者がスプーフィングされているかどうかを判断します。Sender ID agent: Sender ID relies on the IP address of the sending server and the Purported Responsible Address (PRA) of the sender to determine whether the sender is spoofed or not. 詳細については、「 Sender ID」を参照してください。For more information, see Sender ID.

  3. コンテンツフィルターエージェント: コンテンツフィルターは、メッセージの内容を評価します。Content Filter agent: Content filtering assesses the contents of a message. 詳細については、「コンテンツ フィルター」を参照してください。For more information, see Content filtering.

    スパム検疫は、スパムとして誤って分類される正当なメッセージを失うリスクを減らすためのコンテンツフィルターエージェントの機能です。Spam quarantine is a feature of the Content Filter agent that reduces the risk of losing legitimate messages that are incorrectly classified as spam. スパム検疫は、スパムと識別され、組織内のユーザーのメールボックスに配信されないようにする必要があるメッセージの一時的な格納場所を提供します。Spam quarantine provides a temporary storage location for messages that are identified as spam and that shouldn't be delivered to a user mailbox inside the organization. 詳しくは、「スパム検疫」をご覧ください。For more information, see Spam quarantine.

    コンテンツフィルターは、セーフリスト集約機能でも動作します。Content filtering also acts on the safelist aggregation feature. セーフリスト集約は、Microsoft Outlook および Outlook Web App ユーザーが構成し、このデータをコンテンツフィルターエージェントが使用できるようにするスパム対策セーフリストからのデータを収集します。Safelist aggregation collects data from the anti-spam safe lists that Microsoft Outlook and Outlook Web App users configure and makes this data available to the Content Filter agent. 詳細については、「 セーフリスト集約機能」を参照してください。For more information, see Safelist Aggregation.

  4. プロトコル分析エージェント: プロトコル分析エージェントは、送信者評価機能を実装する基礎となるエージェントです。Protocol Analysis agent: The Protocol Analysis agent is the underlying agent that implements the sender reputation functionality. 送信者評価は、送信側サーバーの IP アドレスに関する永続的なデータに依存して、受信メッセージに対して行う処理を決定します。Sender reputation relies on persisted data about the IP address of the sending server to determine what action, if any, to take on an inbound message. 送信者評価レベル (SRL) は、メッセージ分析および外部テストから派生した複数の送信者特性から計算されます。A sender reputation level (SRL) is calculated from several sender characteristics that are derived from message analysis and external tests. 詳細については、「送信者評価とプロトコル分析エージェント」をご覧ください。For more information, see Sender reputation and the Protocol Analysis agent.

エッジトランスポートサーバーのスパム対策エージェントAnti-spam agents on Edge Transport servers

境界ネットワークにエッジトランスポートサーバーがインストールされている組織では、メールボックスサーバーで使用可能なスパム対策エージェントはすべて、エッジトランスポートサーバー上に既定でインストールされ、有効になっています。If your organization has an Edge Transport server installed in the perimeter network, all of the anti-spam agents that are available on a Mailbox server are installed and enabled by default on the Edge Transport server. ただし、次のスパム対策エージェントは、エッジトランスポートサーバーでのみ使用できます。However, the following anti-spam agents are only available on an Edge Transport server:

  • 接続フィルターエージェント: 接続フィルターは、メッセージを送信しようとしているリモートサーバーの IP アドレスを調べて、受信メッセージに対して行う処理がある場合にどの処理を行うかを決定します。Connection Filtering agent: Connection filtering inspects the IP address of the remote server that's trying to send messages to determine what action, if any, to take on an inbound message. 接続フィルターは、IP 禁止一覧、IP 許可一覧、IP 禁止一覧プロバイダーサービス、および IP 許可一覧プロバイダーサービスを使用して、接続 IP をブロックまたは許可するかどうかを決定します。Connection filtering uses an IP Block list, IP Allow list, IP Block List provider services and IP Allow List provider services to determine whether the connection IP should be blocked or allowed. 詳細については、「 エッジ トランスポート サーバー上での接続フィルター処理」を参照してください。For more information, see Connection Filtering on Edge Transport Servers.

  • 受信者フィルターエージェント: 受信者フィルターは、RCPT TO: SMTP コマンドのメッセージの受信者を管理者が定義した受信者禁止一覧と比較します。Recipient Filter agent: Recipient filtering compares the message recipients on the RCPT TO: SMTP command to an administrator-defined Recipient Block list. 一致が見つかった場合、メッセージは組織に入ることが許可されません。If a match is found, the message isn't permitted to enter the organization. 受信者フィルターは、受信メッセージの受信者をローカルの受信者ディレクトリと比較して、メッセージが有効な受信者に宛てられているかどうかを判断します。The recipient filter also compares recipients on inbound messages to the local recipient directory to determine whether the message is addressed to valid recipients. メッセージが有効な受信者にアドレス指定されていない場合、メッセージは拒否されます。When a message isn't addressed to valid recipients, the message is rejected. 詳細については、「 エッジ トランスポート サーバー上での受信者フィルター処理」を参照してください。For more information, see Recipient filtering on Edge Transport servers.

    注意

    メールボックス サーバー上で受信者フィルター エージェントを利用することは可能ですが、それは設定しないようにしてください。Although the Recipient Filter agent is available on Mailbox servers, you shouldn't configure it. メールボックス サーバー上の受信者フィルターによってメッセージ中に無効な、またはブロックされている受信者が検出された場合、他の有効な受信者がそのメッセージに含まれていても、メッセージは拒否されます。When recipient filtering on a Mailbox server detects one invalid or blocked recipient in a message that contains other valid recipients, the message is rejected. メールボックス サーバー上にスパム対策エージェントをインストールすると、既定の動作として受信者フィルター エージェントが有効になります。If you install the anti-spam agents on a Mailbox server, the Recipient Filter agent is enabled by default. しかし、その時点ではどの受信者も禁止しない構成になっています。However, it isn't configured to block any recipients.

  • 添付ファイルフィルターエージェント: 添付ファイルフィルターは、添付ファイル名、ファイル名拡張子、またはファイル MIME コンテンツタイプに基づいてメッセージをブロックします。Attachment Filtering agent: Attachment filtering blocks messages based on attachment file name, file name extension, or file MIME content type. 添付ファイルフィルターを構成して、メッセージとその添付ファイルをブロックしたり、添付ファイルを削除したり、メッセージの通過を許可したり、メッセージとその添付ファイルを黙って削除したりすることができます。You can configure attachment filtering to block a message and its attachment, to strip the attachment and allow the message to pass through, or to silently delete the message and its attachment. 詳細については、「エッジトランスポートサーバーでの添付ファイルフィルター」を参照してください。For more information, see Attachment filtering on Edge Transport servers.

スパム対策エージェントの既定の優先度の値、およびスパム対策エージェントが登録されているトランスポートパイプラインの SMTP イベントに基づいて、これは、エッジトランスポートサーバーでスパム対策エージェントが適用される既定の順序です。Based on the default priority value of the anti-spam agent, and the SMTP event in the transport pipeline where the anti-spam agent is registered, this is the default order in which the anti-spam agents are applied on an Edge Transport server:

  1. 接続フィルター エージェントConnection Filtering agent

  2. 送信者フィルター エージェントSender Filter agent

  3. 受信者フィルター エージェントRecipient Filter agent

  4. Sender ID エージェントSender ID agent

  5. コンテンツ フィルター エージェントContent Filter agent

  6. 送信者評価用のプロトコル分析エージェントProtocol Analysis agent for sender reputation

  7. 添付ファイル フィルター エージェントAttachment Filtering agent

スパム対策スタンプAnti-spam stamps

スパム対策スタンプは、診断メタデータまたはスタンプ (送信者固有の情報、パズル検証結果、コンテンツフィルターの結果など) をメッセージに適用することにより、スパムに関連する問題を診断するのに役立ちます。インターネットからの受信メッセージにフィルターを適用します。Anti-spam stamps help you diagnose spam-related problems by applying diagnostic metadata, or stamps, such as sender-specific information, puzzle validation results, and content filtering results, to messages as they pass through the anti-spam features that filter inbound messages from the Internet. 詳細については、「スパム対策スタンプ」を参照してください。For more information, see Anti-spam stamps.

スパム対策アプローチの戦略Strategy for anti-spam approach

スパム対策機能を構成し、スパム対策エージェント設定の aggressiveness を確立する方法については、慎重に計画して計算する必要があります。Your strategy for how to configure the anti-spam features and establish the aggressiveness of your anti-spam agent settings requires that you plan and calculate carefully. すべてのスパム対策フィルターを最も厳しいレベルに設定し、すべての不審なメッセージを拒否するようにすべてのスパム対策機能を構成すると、スパムではないメッセージを拒否する可能性が高くなります。If you set all anti-spam filters to their most aggressive levels and configure all anti-spam features to reject all suspicious messages, you're more likely to reject messages that aren't spam. 一方、スパム対策フィルターを十分に積極的なレベルで設定せず、スパム信頼レベル (SCL) のしきい値を十分に低く設定していない場合は、組織に入ってくるスパムが減少することはほとんどありません。On the other hand, if you don't set the anti-spam filters at a sufficiently aggressive level and don't set the spam confidence level (SCL) threshold low enough, you probably won't see a reduction in the spam that enters your organization.

Exchange が接続フィルターエージェント、受信者フィルターエージェント、または送信者フィルターエージェントを使用して、無効なメッセージを検出したときに、メッセージを拒否することをお勧めします。It's a best practice to reject a message when Exchange detects a bad message through the Connection Filtering agent, Recipient Filter agent, or Sender Filter agent. この方法は、このようなメッセージを検疫したり、スパム対策スタンプなどのメタデータをそのようなメッセージに割り当てるよりも優れています。This approach is better than quarantining such messages or assigning metadata, such as anti-spam stamps, to such messages. 接続フィルターエージェントと受信者フィルターエージェントは、それぞれのフィルターによって識別されたメッセージを自動的にブロックします。The Connection Filtering agent and Recipient Filter agent automatically block messages that are identified by the respective filters. 送信者フィルターエージェントを構成できます。The Sender Filter agent is configurable.

このベストプラクティスは、接続フィルター、受信者フィルター、または送信者フィルターの基礎となる SCL が比較的高いために推奨されます。This best practice is recommended because the SCL that underlies connection filtering, recipient filtering, or sender filtering is relatively high. たとえば、送信者フィルターでは、管理者が特定の送信者をブロックするように構成している場合、送信者のフィルターデータをそのようなメッセージに割り当てて処理を続行する理由はありません。For example, with sender filtering, where the administrator has configured specific senders to block, there's no reason to assign the sender filtering data to such messages and to continue to process them. ほとんどの組織では、ブロックされたメッセージを拒否する必要があります。In most organizations, blocked messages should be rejected. (メッセージを拒否していない場合は、受信拒否リストに登録されていない可能性があります)。(If you didn't want the messages rejected, you wouldn't have put them on the Blocked Senders List.)

同じロジックは、リアルタイムブロックリストサービスおよび受信者フィルターに適用されますが、基礎となる信頼度は IP 禁止一覧ほど高くありません。The same logic applies to real-time block list services and recipient filtering, although the underlying confidence isn't as high as the IP Block list. メールフローパスがメッセージを移動するにつれて、スパム対策機能によって多くの変数が評価されるため、誤検知の可能性が高くなることに注意する必要があります。You should be aware that the further along the mail flow path a message travels, the greater the probability of false positives, because the anti-spam features are evaluating more variables. そのため、スパム対策チェーンの最初のいくつかのスパム対策機能をより積極的に構成すると、スパムの大部分を減らすことができます。Therefore, you may find that if you configure the first several anti-spam features in the anti-spam chain more aggressively, you can reduce the bulk of your spam. その結果、処理、帯域幅、ディスクリソースが節約され、よりあいまいなメッセージを処理できるようになります。As a result, you'll save processing, bandwidth, and disk resources so that you can process more ambiguous messages.

最終的には、スパム対策機能の全体的な有効性を監視する計画を立てる必要があります。Ultimately, you must plan to monitor the overall effectiveness of the anti-spam features. 慎重に監視している場合は、引き続きスパム対策機能を調整して、環境に合わせて適切に動作させることができます。If you monitor carefully, you can continue to adjust the anti-spam features to work well together for your environment. この方法では、を開始するときに、スパム対策機能を非常に厳しくない構成を計画する必要があります。With this approach, you should plan on a fairly non-aggressive configuration of the anti-spam features when you start. この方法を使用すると、誤検知の数を最小限に抑えることができます。This approach lets you minimize the number of false positives. スパム対策機能を監視および調整する際には、組織が経験するスパムとスパムの攻撃の種類についてさらに厳しくなる可能性があります。As you monitor and adjust the anti-spam features, you can become more aggressive about the type of spam and spam attacks that your organization experiences.

関連項目See Also

Office 365 の電子メールのスパム対策保護Office 365 Email Anti-Spam Protection