1つ上へ
  ヘルプの目次
 印刷
  FirstClassでのスパム対策  
        

※このドキュメントは、開発元であるOpen Text社のテクニカルサポート情報を翻訳したものです。現在のバージョンと整合性の取れていない場合がございますので、十分ご検証いただいた上でご適用くださいますようお願いいたします。



※FirstClass 7.1に関する記述ですので、適宜読み替えてください。
Tech Note: FirstClassメールサーバでのスパム対策

FirstClass 7.1では、迷惑メール(SPAM)の問題に管理者とエンドユーザが対処することを手助けする新機能がいくつか備わっています。すべての機能を併用することで、管理者レベルからエンドユーザレベルまでのとても強力で柔軟なスパム対策を講じることができます。以下のドキュメントは、各機能についてFirstClassサーバで実行される順に示したもので、各機能がFirstClassのメールボックスに届くスパムの量をどのように減らしていくのかについて記述されています。設定やカスタマイズに関する詳細な情報については、ヘルプの情報をご参照ください。

112802_34155_5.png






 Filter ドキュメント - フィルタドキュメントに基づく接続拒否
防御策としては、Internet Services>Basic Internet Setup>迷惑メール/スパムタブにある、「Filtersフォルダの設定に基づいて接続を拒否」オプションとともにFiltersドキュメントを使用することが、まず最初に挙げられます。

5252003_111839_9.png

もしこのオプションを有効にしていて、FiltersフォルダにIPアドレスのリストを保存していた場合、それらのIPアドレスからの接続がFirstClassによって拒否されます。このオプションはスパムメッセージに対してなすべき対策がいりませんので大変効果的です。スパムを送信するサーバがFirstClassサーバに接続すれば、その接続元IPアドレスはすぐにわかりますので、Filterドキュメントを検索し一致していれば接続を終了させることが可能です。
この機能を利用するには、スパムメール送信元のIPアドレスが必要になります。送信元のIPアドレスは、メールを選択し、メニュー>表示>「インターネットヘッダの表示」を選択します。最初の「Received:」の部分に、メッセージがどこから来たのかを示すIPアドレスが表示されるでしょう。以下の例は、157.156.176.106というIPアドレスから送信されたスパムの例です。FiltersドキュメントにこのIPアドレスを追加すれば、このスパムをブロックすることができます。Filtersフォルダの内容を変更した後は、Internet Monitorにて設定の再読み込みを行ってください。

Received: from mdoqh ([157.156.176.106])
        by mail.centrinity.com (FirstClass Mail Server v7.1) with ESMTP
        (Sender: Amparobqvo@online-shop-exchange.com)
        transient id 19406; Sat, 24 May 2003 17:18:46 -0400

注意:  
1.) この方法は、他のメールサーバを経由してFirstClassサーバでメールを受信するのではなく、直接外部とSMTP通信しているような場合にのみ有効です。もしFirstClassサーバで受信する前に他のメールサーバでメールを受信しているのであれば、当然そのIPアドレスから常に受信しているように見えてしまいます。
2.) すでにH/Wファイアウォールを構築済みであれば、リソースを割かなくても済みますので、そちらの方を利用してFCISを保護してください。ただし不正なアドレスの早急なブロックやファイアウォールが実行できない場合については、この機能は有効です。




        Reverse DNS Lookup - 不明なドメイン名の拒否
次の防御策としては、Internet Services>Basic Internet Setup>迷惑メール/スパムタブにある、「不明なドメイン名を拒否する」のオプションが挙げられます。

5252003_111753_7.png

このオプションでは、サーバに接続してくる不明なIPアドレスからのメッセージを拒否します。有効にすると、FirstClassサーバにメールを送信してくるSMTPサーバやPOP3クライアントのIPアドレスをDNSへ問い合わせるようになります。もしDNSサーバでヒットせずドメイン名が判明しなければ、メールを拒否します。この動作はreverse DNS lookupとして知られています。
注意:
1.) このオプションを有効にすると、正当なサイトからのメールを拒否してしまう場合があることに注意してください。正当なサイトのIPアドレスが、参照しているDNSでドメイン名に解決できなければ、接続が拒否されることになります。
2.) このオプションは内向きSMTP接続が発生するたびにDNSサーバへキューを投げかけますので、パフォーマンスに影響を与えないよう、ご利用中のDNSサーバが十分に機能していることをご確認ください。





        RBL (Realtime Blackhole List) lookup - RBLホストに基づく拒否
次の防衛策は、Internet Services>Basic Internet Setup>迷惑メール/スパムタブにある、RBLのオプションです。

5252003_111822_8.png   

このオプションは、RBLサーバに登録されているIPアドレスからの接続を拒否するというものです。
RBLホスト名のフィールドは、ご利用中のRBLサービスのURLを設定してください。
注意
積極性の異なるRBLサービスがいくつか存在しています。以下のサイトではRBLサーバをいくつか紹介しており、リンクもされています。

1つあるいは2つの、積極的過ぎないRBLサービスを選択することをお勧めいたします。RBLに関するより詳細な情報や設定方法については、オンラインヘルプをご参照ください。たとえば、「RBLに存在していましたので配信されませんでした。rbl.spamcop.orgにて詳細を確認してください。」などのように、なぜ接続が拒否されてしまったのか、あるいは送信者がアクセスして適切に対処できるためのRBLサイトへのリンクなどを記述した、送信者宛のメッセージを設定することも可能です。

○X-RBL-Warning header instead of Nondelivery Notice (NDN)
5252003_111911_10.png

このオプションが無効になっている場合、FirstClassサーバは、送信者のIPアドレスが登録されているRBLホストの設定欄の、「不達メッセージ文」に設定されている文章を添えて、NDNメッセージを送信します。
もし有効になっている場合、NDNメッセージを送信する代わりに「X-RBL-Warning」ヘッダをメッセージのインターネットヘッダに挿入し、RBLリスト上に送信者のIPアドレスが見つかったことをユーザに知らせます。受信したユーザは、個人のメールルールを使って、以降この送信者から受信したメールをどのように処理するか、定義することができます。
注意:X-RBL-Headerを使用したい場合は、「RBLを参照する(Reject based on RBL host(s))」のチェックも同様に有効にする必要があります。

これは任意ですが、迷惑メール/スパムタブでは、RBLホストを3つまで登録することが可能です。送信者のIPアドレスが1番目のRBLホストでヒットしなければ、同様に2番目以降でも検索します。3つすべてのホストでIPアドレスが確認できないか、すべてのサーバから反応がなければ、異常のないものとしてメッセージが処理されます。





※FirstClass 7.1に関する記述ですので、適宜読み替えてください。
        SMTP rules - rules.MailRules ドキュメント

次の機能はFiltersフォルダに存在しているrules.MailRulesです。このドキュメントを利用すると、管理者がスクリプト言語を利用してFirstClassへのSMTPメール処理をカスタマイズすることが可能です。この章では、初期状態のrules.mailrulesではどのような処理が行われているのかについて解説しています。
rules.mailrulesドキュメントを変更するためのより詳細な情報については、以下のリンク先をご参照ください。

rules.mailrulesスクリプトは、内向きメッセージを受け入れるかどうか判断するのに、点数制を利用しています。さまざまな検証がメッセージに対して実施され、多くの点数がメッセージのスパムレベルに加算されていきます。最終的なルールが実行された後、受信メールのスパムレベル点数に基づいて、受け入れるかどうかを判断します。

初期の設定値:

  $CrosspostLimit=15 AND $CrosspostIncr=5
  $XpostSpamlevel=20 AND $XpostIncrSpamlevel=5
内向きメッセージを受信した場合、そのメッセージが15より多い宛先へクロスポスト( CrosspostLimit=15)されていた場合、スパムレベル20を加点し( XpostSpamlevel=20)、15を超過したメールアドレスが5を超過する毎( CrosspostIncr=5)に、スパムレベル5を加点( XpostIncrSpamlevel=5)します。
例: 20名宛のメッセージはスパムレベル25点と評価され、30名宛のメッセージは、35点と評価されます。

  $XtremeCausesNDN=0
初期状態では、どんなにスパムレベルが高得点でも、拒否して不達メッセージを送信することはありません。

 $LowSpamMin=10 AND $LowSpamMax=25
初期状態では、10~25点のメッセージはスパムレベル低と認識されます。

  $MedSpamMax=50
初期状態では、25~50点のメッセージはスパムレベル中と認識されます。

 $HighSpamMax=100
初期状態では、50~100点のメッセージはスパムレベル高と認識されます。
初期状態では、100点以上のメッセージはスパムレベル最高と認識されます。

初期のRules.MailRules:

信用するアドレス:
○メッセージ送信者のメールアドレスが、フィルタドキュメントのどこかで信用されているかチェックします。もし信用されていれば(たとえば+TestUser@domainname.comあるいは+domainname.comのような記述があれば)、メッセージにはどのメールルールも適用されません。

FirstClass 8.x以降では、Rules.Mailrulesで以下の行のコメントアウトを解除し、アドレスやドメインへの機能を有効にする必要があります。


# The MAIL FROM address is easily spoofed, so less trustworthy
#
#^: IF (@IsTrustedAddress($Sender)) DONE
#
# The From header is easily spoofed, so less trustworthy
#
#From: IF (@IsTrustedAddress($From)) DONE

○送信元のIPアドレスが、フィルタドキュメントのどこかで信用されているかチェックします。もし信用されていれば(たとえば+199.198.197.196あるいは+199.198.197.*のような記述があれば)、メッセージにはどのメールルールも適用されません。


スパム業者のアドレス:
○送信元のIPアドレスがスパム業者として登録されているか確認します。スパム業者として登録されていれば(たとえば+199.198.197.196あるいは+199.198.197.*のような記述があれば)、FirstClassはNDNメッセージを生成しメールルールの実行を停止します。

件名ルール:
○メッセージの件名に、Filtersフォルダのrules.subjectblockというドキュメントに登録された語句やフレーズが含まれていないかチェックします。初期状態では、 rules.subjectblockには「XXX」「Hot teen」「ADV:」という語句が含まれています。一致すればスパムレベルに100点加算され、「SUBJECTBLOCK」テストを通過できなかった旨が記録されます。
○6以上の連続した空白(スペース)が件名に含まれていないか確認します(たとえば、「こんにちは      virus.exe」など)。6文字以上の空白がヒットすれば、スパムレベルに50点加算され、「 SUBJECT_HAS_SPACES」テストを通過できなかった旨が記録されます。
○件名が大文字だけでないか確認します。もしそうなら、スパムレベルに25点加算され、「SUBJECT_ALL_CAPS」テストを通過できなかった旨が記録されます。

-ERRORS_TO;」ルール:
○インターネットヘッダに、「-ERRORS_TO;」という文字列が含まれていないか確認します。もし含まれていた場合、スパムというよりもエラーメッセージが返信されているものと解釈します。スパムレベルから20点減算し、「-ERRORS_TO;」テストを通過できなかった旨が記録されます。

Fromルール:
○グループ文字+グループ番号+グループ文字+グループ番号(例:「 ghhgf432gvfgf455@spammersareus.com」など)のようなアドレスがFrom欄に含まれているかどうかを確認します。このような形式のアドレスがFrom欄に見つかった場合は、スパムレベルに25点加算し、「 FROM_SUSPICIOUS」テストを通過できなかった旨が記録されます。
○Filterにスパム業者として登録された文字列がFrom欄にないか確認します(たとえばTestUser@spammersareus.comあるいは@spammersareus.comなど)。ヒットすれば、スパムレベルに101点加算され、「 FROM_IN_SPAM_FILTERS」テストを通過できなかった旨が記録されます。

Message-IDルール:
○「Message-ID」のエントリがヘッダに存在している場合、「@」記号が含まれているかどうか確認します。Message-IDにこの記号が含まれなければ、51点加点され、「 INVALID_MSGID」テストを通過できなかった旨が記録されます。
○「Message-ID」のエントリがヘッダに存在している場合、その他疑わしい記号が含まれているかどうか確認します。もし見つかれば51点加点され、「 INVALID_MSGID_2」テストを通過できなかった旨が記録されます。


クロスポスティングルール:
○To、CC、BCCを含むアドレスの総数がクロスポスティング制限の初期値15と等しいまたは超過しているかどうかを確認します。もし超過していれば20点加点され、15を超過した分は5アドレスごとに5点加算されます。「 CROSSPOST_EXCEEDE」テストを通過できなかった旨が記録されます。

ジャンクメールルール:
○「X-Mailer」エントリがヘッダに存在している場合、「Extractor」「Floodgate」「Group Mail」「Millennium Mailer」「AutoMail」などの文字列が含まれていないか確認します。含まれている場合、75点加算され、「 X-MAILER」テストを通過できなかった旨が記録されます。
○BCC欄のみにアドレスが入力されているかどうか確認します。BCCのみであれば75点が加算され、「NO_RECIPIENTS」テストを通過できなかった旨が記録されます。
○Message-IDがヘッダに存在しているかを確認し、存在していなければ51点加算され、「NO_MESSAGE_ID」テストを通過できなかった旨が記録されます。
注意:RFCによるとMessage-IDヘッダはメッセージのヘッダに存在すべきとのことですが、多くのメールサーバ・SMTPクライアントがこのルールから逸脱していますので、これらからのメールについては、初期状態ではテスト失敗のジャンクメールとして扱うことにします。

スパムレベルに応じた初期ルール:
上記のルールが適用された後、計上されたスパムレベルの総得点によって、メッセージがどのように処理されるか決まります。
○スパムレベルが高のレベルを超えていた場合(初期値では100)、かつ$XtremeCausesNDNの値が1に設定されていた場合、メッセージは拒否され、次のような不達メッセージが返信されます「 NDN 550 'Sorry, your message has triggered a SPAM block, please contact the postmaster」。NDN送信後はメールルール処理を停止します。
○スパムレベルが高のレベルを超えていた場合(初期値では100)、メッセージヘッダに「 X-SPAM-Warning: EXTREME」が挿入されます。
○スパムレベルが中~高のレベルである場合(初期値では50~100)、メッセージヘッダに「 X-SPAM-Warning: HIGH」が挿入されます。
○スパムレベルが低(最大)~中のレベルである場合(初期値では25~50)、メッセージヘッダに「 X-SPAM-Warning: MEDIUM」が挿入されます。
○スパムレベルが低(最小)~低(最大)のレベルである場合(初期値では10~25)、メッセージヘッダに「 X-SPAM-Warning: LOW」が挿入されます。
○スパムレベルが中より大きい場合(初期値では50)、重要度に「ジャンク」が設定され、件名に「ジャンク:」という文字が挿入されるようになります。ユーザが基本設定の「ジャンクメールの処理」で「受信直後に削除する」を選択していた場合は、このメッセージを受信箱で見なくても済みます。
○スパムレベルが低(最小)より大きい場合(初期値では10)、メッセージヘッダに「 X-SPAM-Warning:(点数)」が挿入されます。
○スパムレベルが低(最小)より大きい場合(初期値では10)、メッセージヘッダに「 X-SPAM-Tests:(どのフィルタを通過できなかったか)」が挿入されます。

エンドユーザは、メッセージのスパムレベルを視覚的に確認することができます。

・スパムレベルが中より大きい場合(初期値では50)、スパムレベル高のアイコン(23048)がセットされます。5242003_100126_1.png  
・スパムレベルが低(最大)~中のレベルである場合(初期値では25~50)、スパムレベル中のアイコン(23049)がセットされます。 5242003_100142_2.png 
・スパムレベルが低(最小)~低(最大)のレベルである場合(初期値では10~25)、スパムレベル低のアイコン(23050)がセットされます。 5242003_100157_3.png 

上記のアイコンを確認した際は、インターネットヘッダを表示させることでスパムレベルが何点でなぜスパムとして認識されたのかを確認することが可能です。





Spam の記録
内向きインターネットメールのうち、一部届いてほしいメールがスパム対策機能のためブロックされてしまう、ということが時折発生します。エンドユーザはなぜ特定の送信元からメールが受信できないか疑問に思うことでしょう。この場合なぜ特定のメールが受信できなかったかを追跡するよい方法があります。スパムロギングを利用すると、受信できなかったメールの情報についてトラッキングすることが可能です。
「迷惑メール/スパム」タブで設定したインターネットサービスのルールが実行され、ユーザへの内向きインターネットメールをブロックする際は、常に統計値ログに記録されます。以下は記録例です。

Spam 27 10/22/2001 12:27:54 PM localhost         127.0.0.1 terry@127.0.0.1 Sender Extra
Spam:キーワードです。
27:FirstClassのユーザIDです。
10/22/2002:日付です。
12:27:54 PM:時間です。
localhost:ホスト名です。
127.0.0.1:IPアドレスです。
terry@127.0.0.1:メールアドレスです。
Sender:理由です。
理由には、以下の内容が記述されます。
・MailRule
・Sender
・RBL
・ReverseDNS
・Host
・RelayReject
Extra:追加情報です。以下の内容が出力されます。
        ・MailRule type:送信されたNDNテキスト
        ・RelayReject type:リレーされたアドレス

注意:
1)すべてのリレーが禁止されている場合、RerayRejectは記録されません。
2)統計値ログの利用方法に関する詳細はオンラインヘルプをご参照ください。
3)統計値フォルダを保存するパスが正しく指定されていれば、スパムのロギングは有効になります。有効/無効を切り替えるオプションやチェックボックスはありませんので、スパムのログだけを無効にしたり有効にしたりすることはできません。





クライアント側のメールルール設定 (エンドユーザにて設定するルール)

ジャンクメールの処理:
「ジャンクメールの処理」の設定は、メニューの編集>基本設定>メッセージタブにあります。
「受信直後に削除する」が選択されていれば、ジャンク判定されたメッセージはすべて自動的に削除されます。初期状態では、スパムレベルが50点以上(スパムレベル高)のメッセージはすべて削除されてしまいます。
 20090209_102310_0.png 

個人のメールボックスのルール:
このドキュメントでは、個人のメールルールをシステムのrules.mailrulesとどのように連動させるかについて記述しています。メールルールの詳細はオンラインヘルプをご参照ください。
メールルールの設定は、メニューの編集>基本設定>メッセージタブから呼び出せます。
5262003_31743_5.png 
このドキュメントの「SMTP rules - rules.MailRules ドキュメント」 で触れているように、rules.Mailrulesによって定義されているスパムフィルタを通過しなかったメッセージのヘッダには、多くの情報が追加されます。ユーザはスパムメッセージを開いて、メニューの表示>「インターネットヘッダの表示」から、これらのヘッダを確認することができます。
以下の例は、rules.mailrulesのSUBJECTBLOCKに抵触しスパムレベル高と判定された、スパムメッセージのヘッダです。

X-SPAM-Warning: HIGH
X-SPAM-Level: 100
X-SPAM-Tests: SUBJECTBLOCK;
X-FC-Icon-ID: 23048

個人のメールボックスのルールを利用すれば、これらのヘッダを利用してユーザ独自のメールルールを作成することが可能です。以下の例は、挿入されたヘッダ情報を利用したメールルールの例です。スパムレベル中以上のメッセージについて、メッセージを移動して有効期間を1週間にしたり、あるいは単純に受信時に削除したりしています。4つの例はメールルールの柔軟性を表しており、異なる方法でメールボックスからスパムを取り除くという同じ結果を実現することが可能です。

5252003_105104_5.png


5252003_103950_0.png

5252003_104231_1.png

5252003_104353_2.png





SUBJECTBLOCKのようなrules.mailrulesに抵触したスパムメールに対して、以下のようなルールを作成することも可能です。

5252003_104616_4.png






ユーザ自身にスパムを受信させるかどうか決定させる目的で 、管理者がNDNの代わりにX-RBL-Warningヘッダを挿入するよう設定していた場合、以下のようなX-RBL-Warningヘッダがあるかどうか判別するメールルールにより、RBLでスパム判定されたメールを受信するかどうか決定することが可能です。

5252003_104438_3.png






最後になりますが、このドキュメントが、初期状態のFirstClass 7.1サーバのスパム対策機能がどのように動作しているか、あなたの環境でスパム対策の手間とあなたのメールボックスに届くスパムの量を減らすための強力で柔軟な方法を提供するために、すべての機能がどのように結びついて動作しているかについて、意図しているとおりに上手く説明できていることを願います。