Microsoft Exchange Online Protection の概要
スパムとは、電子メールを通じて多数の受信者に一斉に送信される、望まれないメッセージやその他のコンテンツのことです。数年前までは、スパムメッセージは単なる迷惑な広告コンテンツに過ぎませんでした。しかし今日では、スパムは単なる迷惑な広告以上のものとなっており、脅威となり得ます。スパム送信者は、電子メールによるスパム送信に高度な手法を用いています。彼らはメッセージにスパイウェア、マルウェア、またはランサムウェアを添付したり、XSSインジェクションやウイルスへのリンクを利用したりすることがあります。 不注意なユーザーは、こうした危険なメッセージを見分けることができません。このような悪意のあるソフトウェアに感染すると、ハードウェアの故障、データ漏洩、データの損失(破損)を引き起こす可能性があるため、個人ユーザーだけでなく企業全体にとっても脅威となります。
幸いなことに、Exchange Online Protectionなどの最新のソフトウェアソリューションを活用することで、メールアカウントをスパムから保護する方法があります。このブログ記事では、Exchange Online Protectionとは何か、そしてExchange Onlineアカウントを保護するためにどのように利用できるかについて解説します。では、Exchange Online Protectionの性能はどの程度なのでしょうか?
Exchange Online Protection とは何ですか?
Exchange Online Protection(EOP)は、マイクロソフトが提供するクラウドベースのメールフィルタリングサービスです。このサービスは、スパムやマルウェアからメールユーザーおよび組織全体を保護することを目的としています。ユーザーからよく寄せられる質問として、"Microsoft Office 365にはExchange Online Protectionが含まれていますか?"というものがあります。 はい、Exchange Online Protectionは、組織向けのMicrosoft Office 365サブスクリプションに含まれるソフトウェアコンポーネントです。EOPはMicrosoft Exchange Onlineの一部です。企業がMicrosoft Office 365のメールサービスの利用を開始する際は、アカウントをスパムから保護する方法を最優先事項として検討すべきです。そのため、クラウドベースのメール保護サービスを選択することは非常に理にかなっています。Exchange Online Protectionは、以下のいくつかの導入シナリオに対応しています:
スタンドアロン展開. 物理マシンまたは仮想マシン上で稼働しているオンプレミスのExchangeサーバーをクラウドベースで保護するために、Exchange Online Protectionをご利用いただけます。
クラウド限定の利用Office 365 のメール サービスをご利用の場合は、クラウド上でホストされている Exchange Online およびユーザーのメールボックスを保護するために、標準の Exchange Online Protection をご利用ください。
ハイブリッド展開. クラウド上のExchange Online Protectionを設定することで、クラウド上のExchange Onlineだけでなく、オフィスやデータセンター内の物理サーバーや仮想マシン上で稼働しているオンプレミスのExchangeサーバーも保護できます。
Exchange Protectionプランは、Exchange Onlineおよび関連するメールサービスを含むすべてのMicrosoft Office 365サブスクリプションプランに含まれています。EOPは個別に購入することも可能です。Exchange Online Protectionは、Microsoft以外のメールサービスとも連携して動作します。
以下の方法についてもご参照ください PowerShell を使用して Exchange Online に接続する.
Exchange Online Protectionにはどのような機能がありますか?
Exchange Online Protection は、送受信される電子メールメッセージをフィルタリングし、さまざまな脅威をチェックします。受信メールのフィルタリングは、送信者のレピュテーション、IP アドレス、メールアドレス、ドメインアドレス、キーワード、および Microsoft の高度な分析アルゴリズムに基づいたルールとポリシーを使用して行われます。危険と分類された電子メールメッセージは拒否され、削除されます。
送信メールのフィルタリングは、社内のユーザーが他者にスパムを送信してしまう事態を防ぐために必要です。 このようなメッセージをフィルタリングしないと、貴社のドメインやIPアドレスが他組織によってブラックリストに登録されてしまいます。スパマーとしてブラックリストに登録されることは損害をもたらし、貴社組織のユーザーが送信するメールの配信に支障をきたす可能性があります。ブラックリストからドメインを除外しようとするよりも、送信メールのフィルタリングを設定する方がはるかに簡単です。送信フィルタリングを使用するもう一つのケースは、誰かがユーザーアカウントをハッキングし、その侵害されたアカウントを使用してスパムを送信する場合です。
動作原理
社外の誰かが組織内のユーザーにメールを送信すると、そのメールは、ドメインに設定されたMXレコードに従って、一連のルーターやメールサーバーを経由して、組織のメールサーバーへと転送されます。Microsoft 365の一部としてExchange Onlineを使用している場合、仮想メールサーバーはMicrosoftクラウド内のデータセンターに分散して配置されています。 多くのスパムメールは、Exchange Onlineのメールサーバーに到達する前に排除されます。メールメッセージが組織で使用しているExchangeデータセンターに配信されると、Exchange Online Protectionが動作を開始します。
Exchange Online Protectionは、送信者のレピュテーション、IPアドレス、ドメイン名、および件名や本文内のキーワードをチェックします。その後、そのデータをフィルタ設定と比較します。 "許可"条件(たとえば、ブラックリストに登録されたフレーズ、IP アドレス、メールアドレス、ドメインが含まれていないことなど)が満たされている場合、メールはユーザーのメールボックスに配信されます。送信者の IP アドレス(メールアカウント名またはドメイン)がホワイトリストに登録されている場合、メッセージはフィルタリングされません。また、メッセージはマルウェアの有無についても検査されます。
メールメッセージが条件を満たさない場合、迷惑メールとして拒否されるか(ユーザーはこのメッセージを"迷惑メール"フォルダーで確認できます)、または隔離フォルダーに保存され、受信者には配信されません(設定によって異なります)。 マイクロソフトは多くのスパマーのアドレスを把握しており、機械学習アルゴリズムを活用して迅速に対応し、新しいスパマーをブラックリストに追加しています。また、マイクロソフトはスパム対策に取り組む他社と提携することで、高水準のメール保護を実現しています。これが、物理的なメールサーバーの保護機能をゼロから構築する場合と比較して、クラウドベースのExchange Online Protectionソリューションを利用するメリットです。ほとんどの場合、必要な作業はExchange Online Protectionの設定を微調整することだけです。
スパム判定の信頼度
Exchange Online Protectionのスパムフィルターを通過した電子メールメッセージには、スパムスコアが割り当てられます。このスコアは"スパム信頼度レベル(SCL)"と呼ばれ、電子メールメッセージのX-ヘッダーに記録することができます。SCLが高いほど、その電子メールメッセージがスパムである可能性が高くなります。
スパム信頼度レベル:
-1これは、ホワイトリストに登録された信頼できる送信元(IPアドレス、送信者名、ドメイン名などに基づく)からのスパムではないメッセージです。このメッセージは、受信者の"受信トレイ"フォルダに配信されます。0 - 1これらの値は、スパムではないメールメッセージに割り当てられます。メッセージは受信者の受信トレイに配信されます。5, 6そのメールはスパムと判定され、"迷惑メール"フォルダに移動されます。7, 8, 9これらのメールは"高確率のスパム"と判定され、受信者の迷惑メールフォルダに移動されます。
メールメッセージがスパムとしてマークされた後に実行できる操作の完全な一覧:
- そのメールを迷惑メールフォルダに移動する. このオプションはデフォルトで使用されます。
- Xヘッダーを追加する トランスポートルールを使用して、メールメッセージの処理を続行します。
- 件名の先頭に警告メッセージを追加してください。 このオプションを使用すると、メッセージがスパムとしてマークされ、"迷惑メール"フォルダに移動された場合に、そのメッセージが不審なものであることをユーザーに通知することができます。
- 隔離区域へ移動してください。 このオプションは、誤ってスパムと判定されてしまった(いわゆる"誤検知")正常なメッセージを保存するのに適しています。
- メッセージを指定のメールアドレスに転送する。 このオプションは、どのメッセージがスパムとしてマークされているかを確認したい場合に使用できます。スパムフィルタリングの調整をさらに行いたい際に役立つでしょう。
- そのメールを削除してください。 メールフィルターが正しく設定されていると100%確信している場合は、このオプションを使用してください。
一斉メール
一斉送信メールは通常、スパムではありませんが、組織内では迷惑に感じられたり、望ましくないものと見なされたりすることがあります。一斉送信メールとは、マーケティング資料やニュースレターなどの文書を、 多数のユーザー。大量メールを読むとユーザーの注意が散漫になるほか、業務用メールアカウントを使ってサードパーティのウェブサイトに登録してしまう可能性があり、これはセキュリティポリシー上推奨されない場合があります。Exchange Online Protection では、大量メールのコンプライアンスレベルを設定してスパムとして認識させることで、ユーザーがこの種の迷惑メールを受信するのを防ぐことができます。大量メールコンプライアンスレベル(BCL)は、スパム判定レベル (1 から 9 までの数値を使用)。しきい値を 7 以上に設定すれば、大量メールの心配はなくなります。ユーザーはメール クライアントで [これはスパムです] をクリックして、送信者に対するスパム苦情を登録できます。苦情の件数が多い大量メール サービスは、評判が悪くなります。これは、Exchange Online Protection を含むスパム フィルタリング システムによって検出されます。
こちらもご覧ください Office 365 の SMTP 設定の方法 お使いのメールクライアント用に。
偽陽性
誤検知とは、実際にはスパムではないメールがスパムとして分類されてしまう現象のことです。誤検知とは、スパムや悪意のあるメールがフィルタを通過し、受信者に配信されてしまう現象のことです。 このような事態を完全に防げるシステムは存在しません。スパムフィルターの誤検知(誤検知)や検知漏れ(検知漏れ)については、マイクロソフトに報告することができます。マイクロソフトは、スパム対策およびウイルス対策機能の改善に努めます。誤検知の場合、スパムと判定されたメッセージを即座に完全に削除するように設定していない限り、管理者は隔離されたメッセージを確認することができます。
検疫
隔離ボックスとは、スパムやウイルスに感染したメールとして分類されたメッセージが保存される場所です。これらのメッセージは、管理者が確認するまで、あるいは隔離期間の期限が切れて削除されるまで、隔離ボックスに保存されます。不要なメッセージは、"迷惑メール"フォルダではなく隔離ボックスに保存されるため、ユーザーはそこで不審なメールを復元して開くことができます。もしそのメールがウイルスに感染している場合、ユーザーや組織にとって脅威となります。 そのため、管理者はスパム判定精度の高いメールを、"迷惑メール"フォルダではなく、管理者だけがアクセスできる検疫に保存することを好みます。
スパムフィルタリングルールによって検疫に移動されたメッセージは、デフォルトで15日間保存されます。システム管理者はこの期間を設定できます。
トランスポート(ネットワークフィルタリング)ルールにより隔離フォルダに移動されたメッセージは、7日間隔離フォルダに保存され、管理者はこの期間を変更できません。
管理者は、すべてのユーザーの隔離フォルダおよび隔離されたメッセージを管理できます。ユーザーは、適切な設定が適用されている場合にのみ、自身の隔離フォルダ内のメッセージを確認できます(各ユーザーが自身のアカウントの隔離フォルダを管理できるように、隔離設定を構成することは可能です)。
スパムフィルタリングの設定
Exchangeの保護プランの概要をまとめ、ユーザーや会社を保護するために不可欠なポリシーやルールを選択することができます。
ホワイトリスト これらは"許可リスト"または"安全な送信者リスト"です。特定の企業や取引先を信頼している場合は、その企業が使用するIPアドレスやドメイン名をルールのホワイトリストに追加することで、その相手からの重要なメールが確実に受信できるようにすることができます。
ブラックリスト これらはブロックリストです。特定のIPアドレスやドメインから大量のスパムメールが送信されていることに気付いた場合は、これらの送信元情報をブラックリストに登録してください。
IPアドレスによるフィルタリングスパム送信元のIPアドレスをブラックリストに登録して、メールをブロックすることができます。信頼できる送信元のIPアドレスはホワイトリストに登録してください。
言語で絞り込む (国際スパムフィルター)を使用すると、社内で使用されていない言語で書かれたメールを拒否し、受信スパムの量を減らすことができます。例えば、貴社が英語、ドイツ語、フランス語を使用している一方で、取引先が英語とスペイン語を使用している場合、これらの言語をブロックすべきではありません。特定の言語で書かれたメールの受信スパムが大量にあることに気付いた場合は、その言語のメールをブロックすることができます。 また、Exchange Online Protection では、世界の特定の国(地域)にホストされているメールサーバーをブロックすることも可能です。
Exchange Online Protection の構成
主なオプションと機能について説明しましたので、次はExchange Online Protectionの設定にアクセスする方法を見ていきましょう。このセクションでは、"Exchange Online Protectionの設定方法は?"という疑問に対する答えをご紹介します。Exchange Online ProtectionはWebインターフェースから設定できます。Exchange 管理センターにアクセスし、会社のアカウントの管理者としてサインインしてください:
https://outlook.office365.com/ecp/
保護
クリック protection Exchange 管理センターの左ペインに表示されます。Web ページの上部には、マルウェア フィルター、接続フィルター、スパム フィルター、送信スパム、隔離、アクション センター、および DKIM オプションが表示されます。"保護"セクションでは、スパム対策およびマルウェア対策の保護機能を提供します。
Malware filter. このサブセクションでは、マルウェア対策ポリシーを管理できます。ポリシーの追加、編集、有効化、無効化、削除、および優先順位の変更を行うことができます。優先順位の高いポリシーが先に適用されます。
をクリックして + ボタンをクリックして、新しいマルウェア対策ポリシーを追加します。新しいウィンドウに、多数の設定項目が表示されます。
名前: 新しいポリシーの名前を入力してください。
説明: 必要に応じて説明を入力してください。
マルウェアの検知と対応. 組織内の受信者に、マルウェアが添付されたメッセージが隔離されたことを通知したい場合は、"はい"のオプションのいずれかを選択してください。通知文を任意で入力することもできます。
一般的な添付ファイルの種類フィルター (オン/オフ)。このオプションを有効にし、有害な可能性のあるファイル形式を選択してください。.EXE、.BAT、.CMD などのファイル拡張子を選択できます。メールの添付ファイルにこれらのファイル形式が検出された場合、そのメールは拒否されます。
マルウェアのゼロアワー自動削除。これは、メッセージがすでにユーザーのメールボックスに配信されてしまった場合でも、スパム、フィッシング、マルウェアを含むメッセージを検出して無害化する機能です。Microsoftは通常、Exchange Online Protectionのフィルターを更新し、そのアルゴリズムを改善しています。フィルターがマルウェアを検出できるようになる前に悪意のあるメールが配信されてしまった場合でも、マルウェアおよびスパムのシグネチャが更新された後、"ゼロアワー自動削除"機能によって問題を解決できます。この機能を有効にすることをお勧めします。 ユーザーおよび管理者向けの通知オプションを調整できます。
マルウェア対策ポリシーは、ユーザー、グループ、またはドメインに適用できます。
Connection filter. 接続フィルタは、送信元(メール送信者が使用するメールサーバー)のIPアドレスに基づいてメールをブロックすることができます。接続フィルタリングは通常、マルウェアやスパム攻撃が検出された後、悪意のあるメールの送信に使用された送信元IPアドレスに対して適用されます。信頼できる送信者の許可IPアドレスを追加することも可能です。
接続フィルタの管理機能を使用すると、デフォルトのポリシーに許可およびブロックするIPアドレスを追加することができます。
以下の項目を選択できます セーフリストを有効にする Microsoftの信頼済みIPアドレスリストを使用するには、このチェックボックスをオンにしてください。Microsoftは、世界中のメール送信者のホワイトリストおよびブラックリストを継続的に更新することを目的とした、サードパーティの企業リストを購読しています。サードパーティのリストを信頼できない場合は、このオプションを無視して、このチェックボックスをオンにしないでください。
Spam filter. Exchange Online Protection は、メールを分析した後、その内容に基づいてスパムメールを検出します。スパムフィルターのオプションを使用すると、Exchange Online Protection のスパムフィルターを微調整し、設定をカスタマイズすることができます。[ Edit (鉛筆)アイコンをクリックすると、設定画面が新しいウィンドウで開きます。
名前: スパムフィルターポリシーの名前を入力してください。
説明: 説明を入力してください(任意)。
スパムおよび一括操作. 受信したスパムメールや大量送信メールに対して行う処理を選択できます。以下の 一括送信メールをスパムとして報告する チェックボックスをオンにすると、組織内のユーザーの業務に不要なマーケティングメール、ニュースレター、その他の不要なメッセージの配信を無効にできます。ドロップダウンメニューから閾値を選択し、一斉送信メールをスパムとして認識する精度を調整してください。スパム判定の信頼度には1~9の閾値が使用され、デフォルト値は7です。
検疫の選択肢:
- 保持期間(日数):デフォルトで15日
- このXヘッダーのテキストを追加する
- このメールアドレスに転送する
また、送信者のメールアドレスやドメイン名に対するブロックリストや許可リストを編集することもできます。
Outbound spam. 一部の設定ページはマイクロソフトによって更新され、別のアドレスに再配置されました。以下のページで、送信スパムポリシーを含むスパムポリシーを設定できます:
https://protection.office.com/antispam
このページでは、デフォルトのポリシーを有効にし、その優先順位を設定できます。送信スパムポリシーを設定するには、[クリック] してください。 Create an outbound policy. 表示されるウィンドウで、ポリシー名と説明を入力し、通知設定、受信者数の上限(スクリーンショット参照)、および対象となるオブジェクトへの適用条件を設定します。
Quarantine. 検疫設定はこちらで利用可能です:
https://protection.office.com/quarantine
スパムやマルウェアとしてマークされたフィルタリング済みのメッセージがある場合、リストに表示されます。不審なメッセージを隔離領域に保存するには、適切なポリシー(スパムフィルタリングポリシーなど)を適用する必要があります。
Action Centerアクションセンターには、次のアドレスからアクセスできます:
https://protection.office.com/restrictedusers
Exchange Online Protection のこの設定ページでは、制限対象のユーザー、操作、サービス、およびその他の操作の詳細を確認できます。
DKIM. DKIM(Domain Keys Identified Email)は、送信メールに暗号署名(DKIMレコード)を追加することでスパム対策を行う追加の手法です。DKIM署名はメールメッセージに追加されるヘッダーであり、暗号化によって保護されています。これにより、受信側のメールサーバーは、そのメールメッセージが正規のメールシステムから送信されたものであることを確認できます。エンドユーザー(受信者)には、この署名は表示されません。 ドメインの DKIM 設定は、Exchange Online Protection の設定内の該当するサブセクションで確認できます。
メールのフロー
このセクションでは、転送ルールや条件付きメールルーティングを使用して、メールのフローを管理できます。メールフロールール(メール転送ルール)は、メッセージが受信者のメールボックスに配信される前に、そのメッセージに対して何らかの処理を行うために使用されます。添付ファイルのサイズや件名などの条件を、比較演算子と組み合わせて設定し、フィルタリングシステムが判断を下せるように構成できます。 たとえば、メッセージの件名が"販売中"または"割引"である場合、そのメッセージを削除するように設定できます。また、メッセージの編集や転送を行うことも可能です。リストの上部に配置されたルールが最優先され、リストの末尾にあるルールが最下位となります。メールフローでメールを処理する際は、優先度の高いルールから順に適用されます。
結論
Exchange Online Protectionは、単なるスパム対策にとどまりません。このソリューションは、スパム、ウイルス、マルウェア、ランサムウェア、スパイウェアから、個々のユーザーおよび組織全体を保護します。Exchange Online ProtectionはMicrosoft 365の一部です。組織向けMicrosoft 365サブスクリプションおよびMicrosoft Exchange Onlineをご利用の場合、自社向けにExchange Online Protectionを設定できます。Microsoftはデフォルトでメールフィルタリングサービスを提供していますが、要件に応じて設定を微調整することも可能です。 メールユーザーをスパムやマルウェアから保護することで、重要なデータを失うリスクを軽減できます。
スパム対策やウイルス対策に加え、定期的なバックアップを実行することでデータを保護できます。使用 NAKIVO Backup & Replication そして、メールアカウントのMicrosoft Office 365バックアップを作成します。
