エッジ トランスポート サーバー上での受信者フィルター処理

  • [アーティクル]

製品: Exchange Server 2013

受信者フィルターは、Microsoft Exchange Server 2013 のスパム対策機能で、RCPT TO SMTP ヘッダーに基づいて、受信メッセージに対して行う処理がある場合にどの処理を行うかを判断します。 受信者フィルターは、受信者フィルター エージェントによって実行されます。

受信者フィルター エージェントは、組織内の対象受信者の特性に従ってメッセージをブロックします。 受信者フィルター エージェントは、以下のシナリオでメッセージの受信を阻止できます。

  • 存在しない受信者: 組織のアドレス帳に含まれていない受信者への配信を禁止できます。 たとえば、 や support@contoso.comなどadministrator@contoso.com、頻繁に誤用されるアカウント名への配信を停止できます。

  • 制限付き配布リスト: 内部ユーザーのみが使用する配布リストへのインターネット メールの配信を禁止できます。

  • インターネットからメッセージを受信してはならないメールボックス: ヘルプデスクなど、組織内で通常使用される特定のメールボックスまたはエイリアスへのインターネット メールの配信を防ぐことができます。

受信者フィルター エージェントは、以下のデータ ソースの一方または両方に登録されている受信者に影響を及ぼします。

  • 受信者ブロックリスト: インターネットからメッセージを受信してはならない受信者の管理者定義のリスト。

  • 受信者参照: Active Directory にクエリを実行して、受信者が組織内に存在することを確認します。 エッジ トランスポート サーバーでは、受信者参照に EdgeSync によって Active Directory Lightweight Directory Services (AD LDS) のローカル インスタンスに提供された Active Directory 情報へのアクセスが必要です。

受信者フィルター エージェントを有効にすると、受信者の特性に従って、以下のいずれかの処理が受信メッセージに対して行われます。 これらの受信者は、RCPT TO ヘッダーで指定されます。

  • 受信メッセージに受信者ブロックリストにある受信者が含まれている場合、Exchange サーバーは SMTP セッション エラーを 550 5.1.1 User unknown 送信サーバーに送信します。

  • 受信メッセージに受信者参照の受信者と一致しない受信者が含まれている場合、Exchange サーバーは SMTP セッション エラーを 550 5.1.1 User unknown 送信サーバーに送信します。

  • 受信者が [受信者ブロック] リストに含まれていない場合、受信者が受信者参照内にある場合、Exchange サーバーは送信サーバーに SMTP 応答を送信 250 2.1.5 Recipient OK し、チェーン内の次のスパム対策エージェントがメッセージを処理します。

受信者参照の構成

スパムを削減するための最も効果的な方法の 1 つは、インターネットからの受信メッセージを受け付ける前に受信者を検証することです。 Exchange 管理シェルの Set-RecipientFilterConfig コマンドレットを使用して、Exchange 組織に存在しない受信者に送信されたメッセージのブロック、および特定の受信者のブロックを有効にします。 詳細については、「 エッジ トランスポート サーバーでの受信者フィルターの管理」を参照してください。

エッジ トランスポート サーバーが境界ネットワークにインストールされている場合は、Active Directory と同期するように、エッジ トランスポート サーバーで実行されている AD LDS インスタンスを構成することをお勧めします。 既定では、AD LDS はエッジ トランスポート サーバーにインストールされ構成されています。 ただし、組織でエッジ トランスポート サーバーを購読して、Active Directory ドメインに参加しているグローバル カタログと通信できるように AD LDS を構成する必要があります。 詳細については、「 Exchange 2010 または 2007 Edge Transport サーバーを Exchange 2013 で使用する」を参照してください。

タールピット機能

受信者参照機能により、送信側サーバーで電子メール アドレスが有効か無効かを判別することができます。 前述のように、受信メッセージの受信者が既知の受信者である場合、Exchange サーバーは SMTP 応答を 250 2.1.5 Recipient OK 送信サーバーに送信します。 この機能により、ディレクトリ獲得攻撃に備えた理想的な環境が実現します。

ディレクトリハーベスト攻撃は、スパム データベースに電子メール アドレスを追加できるように、特定の組織から有効なメール アドレスを収集しようとする試みです。 すべてのスパム収入は、ユーザーが電子メール メッセージを開こうとすることに依存しているため、アクティブであることが知られているアドレスは、悪意のあるユーザーや スパム送信者が支払う商品です。 SMTP プロトコルを使用すると、既知の送信者と不明な送信者に関するフィードバックが提供されるため、スパム発信者は、一般的な名前や辞書に記載されている用語を使用して、特定のドメインに宛てた電子メール アドレスを構成する自動プログラムを作成できます。 プログラムは、SMTP 応答を返すすべての電子メール アドレスを 250 2.1.5 Recipient OK 収集し、SMTP セッション エラーを返すすべての電子メール アドレスを 550 5.1.1 User unknown 破棄します。 スパム発信者は、有効な電子メール アドレスを売ったり、迷惑メールの受信者として使用する可能性があります。

ディレクトリ獲得攻撃を防止するために、Exchange 2013 にはタールピット機能が搭載されています。 Tarpitting は、大量のスパムやその他の好ましくないメッセージを示す特定の SMTP 通信パターンに対するサーバー応答を人為的に遅延させる方法です。 タールピットの目的は、このような電子メール トラフィックの通信処理速度を低下させ、スパムを送信している個人または組織のスパム送信コストを増大させることにあります。 タールピットによって、ディレクトリ獲得攻撃には非常にコストがかかるようになり、効率的な自動化が不可能になります。

tarpitting が構成されていない場合、受信者が受信者参照に存在しない場合、Exchange サーバーはすぐに SMTP セッション エラーを送信者に返 550 5.1.1 User unknown します。 または、tarpitting が構成されている場合、SMTP は指定した秒数待機してからエラーを 550 5.1.1 User unknown 返します。 このように SMTP セッションで一時停止期間を設けることにより、ディレクトリ獲得攻撃の自動化はさらに困難になり、スパム発信者にとっての費用対効果が低下します。 既定では、タールピットは受信コネクタで 5 秒に構成されています。

SMTP がエラーを返す550 5.1.1 User unknown前に遅延を構成するには、Set-ReceiveConnector コマンドレットの TarpitInterval パラメーターを使用して tarpitting 間隔を設定します。 構文は次のようになります。

Set-ReceiveConnector <Receive Connector> -TarpitInterval <00:00:00 to 00:10:00>

既定値は 00:00:05 5 秒です。 エッジ トランスポート サーバーの既定の受信コネクタの名前は です Default internal receive connector <server name>

タールピット間隔を変更する場合は注意が必要です。 この間隔が長すぎると通常のメール フローが中断する場合がありますが、短すぎるとディレクトリ獲得攻撃を効果的に防ぐことができない可能性があります。 タールピット間隔の値を変更する場合は、少しずつ変更して、結果を確認してください。 たとえば、5 秒間が効果的でないときは、間隔を 10 秒間に変更してみます。

複数の名前空間

受信者フィルター エージェントは権限のあるドメインに対してのみ受信者参照を実行します。 組織が内部の中継ドメインまたは外部の中継ドメインとして構成された別のドメインの代わりにメッセージを受け取って転送している場合、受信者フィルター エージェントはそれらのドメインの受信者に対する受信者参照を実行しません。 ただし、受信者が受信者禁止一覧に登録されていても、受信者は受信者フィルター エージェントにブロックされます。

承認済みドメインはエッジ トランスポート サーバーでローカルに構成することもできます。 ドメインが内部の中継ドメインまたは外部の中継ドメインとして構成されている場合、エッジ トランスポート サーバーの受信者フィルター エージェントもそれらのドメインの受信者に受信者参照は実行しません。