antispamOverview

アンチスパム

この章では、Dell SonicWALL ネットワーク セキュリティ装置で包括的なアンチスパム サービスを有効にし、設定および管理する方法について説明します。この章は、次のセクションから構成されています。

アンチスパムの概要

アンチスパム ライセンスの購入

アンチスパム > 状況

アンチスパム > 設定

アンチスパム > 統計

アンチスパム > リアルタイム ブラックリスト フィルタ

アンチスパム > ジャンク ボックスの表示

アンチスパム > ジャンク ボックス設定

アンチスパム > ジャンク サマリ

アンチスパム > ユーザ画面セットアップ

アンチスパム > アドレス帳

アンチスパム > ユーザ管理

アンチスパム > LDAP 構成

アンチスパム > 詳細

アンチスパム > ダウンロード

アンチスパムの概要

このセクションでは、包括的なアンチスパム サービスの概要を説明します。このセクションは次のサブセクションから構成されています。

アンチスパムとは

利点

アンチスパム サービスの仕組み

アンチスパムとは

アンチスパム機能は、既存の SonicWALL ネットワーク セキュリティ装置にアンチスパム、アンチフィッシング、およびアンチウィルスの各機能を追加する手軽で効率的かつ効果的な方法を提供します。

アンチスパムの一般的な設定では、管理者が SonicOS インターフェースでアンチスパム機能を追加してそのライセンス処理を行うことによって、アンチスパム機能の追加を選択します。すると、SonicWALL ネットワーク セキュリティ装置は、Dell SonicWALL Email Security 製品と同じ高度なスパム フィルタ技術を使用して、組織がユーザに配信するジャンク電子メールの量を削減します。

アンチスパム機能によって受信メッセージを分析する主な方法として、高度な IP 評価管理とクラウドベースの高度なコンテンツ管理の 2 つがあります。IP アドレス評価では、GRID ネットワークを使用して既知のスパム送信者の IP アドレスを識別し、こうした送信者からメールはすべて接続の許可さえ行わずに拒否します。GRID ネットワーク送信者 IP 評価管理では、着信接続要求の IP アドレスを一連のリストおよび統計情報と照合して、その接続によって有用な電子メールが配信される可能性があるかどうかを確認します。こうしたリストは、Dell SonicWALL GRID ネットワークの協調インテリジェンスを使用して収集されます。既知のスパム送信者は SonicWALL ネットワーク セキュリティ装置に接続できないため、そうした送信者によるジャンク電子メールのペイロードによってターゲット システムのシステム リソースが消費されることは決してありません。

既知のスパム送信者から届いたものではない電子メールは、"GRID プリント" に基づいて分析されます。GRID プリントは、SonicWALL の研究所で生成され、何百万というビジネス エンドポイント、何億というメッセージ、および GRID ネットワークのユーザからの何十億という評価の投票に基づいています。弊社の GRID ネットワークは、複数の SonicWALL ソリューションからのデータを使用して、世界中の脅威のランドスケープに対する防御となる協調インテリジェンス ネットワークを作成しています。GRID プリントは、電子メール メッセージに含まれるデータを外部にさらすことなくメッセージを一意に識別します。

アンチスパム サービスでは、ある電子メールが適合する脅威はスパム、スパム可能性大、フィッシング、フィッシング可能性大、ウィルス、ウィルス可能性大のいずれか 1 つのみであると判断します。電子メール メッセージ内の脅威を評価する際には、次の優先順位が使用されます。

• フィッシング

• フィッシング可能性大

• ウィルス

• スパム

• スパム可能性大

• ウィルス可能性大

例えば、メッセージがウィルスとスパムの両方である場合、スパムよりウィルスの優先順位が高いため、メッセージはウィルスとして分類されます。

アンチスパム サービスによって上記の脅威のいずれでもないと判断されたメールは、良性の電子メールと見なされ、送信先サーバに配信されます。

利点

アンチスパム保護を SonicWALL ネットワーク セキュリティ装置に追加すると、ジャンク メッセージがユーザの受信箱に届いてユーザの目に触れる前に検閲されて拒否されるので、システム全体としての効率性が向上します。

• ネットワーク内のジャンク電子メールによって消費される帯域幅およびリソース量の削減

• メール サーバに送信される受信メッセージ数の削減

• 組織に対する脅威の軽減 (ユーザがウィルス スパムを選択して不意にコンピュータに感染させる可能性がないため)

• フィッシング攻撃からのユーザ保護の強化

アンチスパム サービスの仕組み

このセクションでは、Dell SonicWALL GRID ネットワークを含むアンチスパム機能について、またこの機能全体として SonicOS とどのように相互作用するのかを説明します。SonicOS との重要な接続でポイントとなるのが、アドレス オブジェクトとサービス オブジェクトの 2 つです。アドレスおよびサービス オブジェクトを使用すると、SonicOS と円滑に機能するようにアンチスパム機能を設定できます。例えば、受信電子メールをアーカイブすると共にフィルタを介して送信するように NAT ポリシーを設定するには、アンチスパム サービス オブジェクトを使用します。

包括的なアンチスパム サービスは、メッセージのヘッダーと内容を分析し、協調 GRID プリントを使用してスパム電子メールを遮断します。

GRID ネットワーク

このセクションでは、SonicWALL Email Security と SonicOS のアンチスパムサービスで使用される送信者 IP 評価機能を備えた GRID 接続管理について説明します。GRID ネットワーク送信者 IP 評価は、特定の IP アドレスが Dell SonicWALL GRID ネットワークのメンバーに関して持つ評価です。この機能を有効にすると、評価の悪い IP アドレスからの電子メールは受け付けられません。SonicOS が既知の悪性 IP アドレスからの接続を許可しない場合は、そうした IP アドレスからのメールが電子メール サーバに届くことは決してありません。

GRID ネットワーク送信者 IP 評価では、着信接続要求の IP アドレスを一連のリストおよび統計情報と照合して、その接続によって有用な電子メールが配信される可能性があるかどうかを確認します。こうしたリストは、Dell SonicWALL GRID ネットワークの協調インテリジェンスを使用して収集されます。既知のスパム送信者は SonicWALL ネットワーク セキュリティ装置に接続できないため、そうした送信者によるジャンク電子メールのペイロードによってターゲット システムのシステム リソースが消費されることは決してありません。

利点:

• 80 パーセントものジャンク電子メールがネットワーク内に受け入れられる前に接続レベルで遮断されます。スパム保護のレベルを維持するのに必要なリソースが減少します。

• サーバでのジャンク電子メールの受信に帯域幅が浪費されることがなく、その分析と削除だけで済みます。

• グローバル ネットワークが、スパム送信者を監視し、正規のユーザによる自らの IP 評価の保存 (必要な場合) に役立ちます。

送信者 IP 評価による GRID 接続管理と接続管理の優先順位

ファーストタッチ SonicWALL ネットワーク セキュリティ装置に要求が送信されると、アンチスパム サービスによって要求者が '評価' されます。この評価は、既知の良性送信者のホワイト リストと既知のスパム送信者の遮断リストから、サービス拒否しきい値に基づいて収集されます。

IP 評価が有効な場合、送信元 IP アドレスが以下の順で確認されます。

評価

説明

許可リスト

このリスト上にある IP アドレスは、
接続管理によってメッセージを通過させることができます。メッセージは、通常どおりに SonicWALL ネットワーク セキュリティ装置によって分析されます。

遮断リスト

この IP アドレスは、SonicWALL ネットワーク セキュリティ装置への接続が禁止されます。

評価リスト

これより前のリストにない IP アドレスは、SonicWALL ネットワーク セキュリティ装置によってチェックされ、評価の悪い IP アドレスでないかどうかが確認されます。

延期リスト

この IP アドレスからの接続は延期されます。設定されているインターバル時間が経過するまでは接続が許可されません。

DoS

これより前のリストにない IP アドレスは、SonicWALL ネットワーク セキュリティ装置によってチェックされ、サービス拒否しきい値を超えていないかどうかが確認されます。しきい値を超えている場合、装置は既存の DoS 設定を使用して処置を講じます。

IP アドレスがこれらのテストにすべてパスした場合に限り、SonicWALL ネットワーク セキュリティ装置は、そのサーバによる接続とメールの転送を許可します。IP アドレスがこれらのテストにパスしなかった場合は、SMTP サーバが存在しないことを示す、SonicOS から要求側サーバへのメッセージが生成されます。接続要求は受け入れられません。

アドレスおよびサービス オブジェクト

SonicOS のアンチスパム機能は、顧客の電子メール サーバを管理するための新しいアドレスおよびサービス オブジェクトをサポートしています。これらのオブジェクトは、アンチスパム サービスの NATおよびアクセス ルール ポリシーで使用されます。自動作成されたルールは、編集不可能であり、アンチスパム サービスが無効になっても削除されることはありません。

アンチスパム サービスを有効にすると、電子メール トラフィックを制御およびリダイレクトするためのNAT ポリシーとアクセス ルールが作成されます。こうしたポリシーとルールは、「ネットワーク > NATポリシーとファイアウォール ルール」ページに表示されますが、編集はできません。自動作成されたこれらのポリシーは、アンチスパム サービスが有効な場合にのみ使用できます。

アンチスパム サービスがライセンスされていて有効になっている場合、「アンチスパム > 設定」ページにアンチスパムを有効にする 1 つのチェックボックスが表示されます。配備済みのシナリオに対する既存の個別アクセス ルールおよび NAT ポリシーが存在しない場合、このチェックボックスをオンにすると、送信先メール サーバ ポリシー ウィザードが起動されます。生成されたポリシーのセットアップ時には、電子メールが SonicWALL ネットワーク セキュリティ装置の後にどこにルーティングされるのかをアンチスパム サービスが知っている必要があります。具体的には、送信先メール サーバの IP アドレスとそのゾーンの割り当てが必要です。送信先メール サーバ ポリシー ウィザードは、こうしたデータが見つからない場合に起動されます。

このウィザードでは次の情報が必要になります。

• 送信先メール サーバのパブリック IP アドレス - SMTP によって外部 MTA が接続する IP アドレス。

• 送信先メール サーバのプライベート IP アドレス – Exchange または SMTP サーバの (SonicWALL ネットワーク セキュリティ装置の後の) 内部 IP アドレス。

• ゾーンの割り当て - Exchange サーバが割り当てられるゾーン。

• 受信電子メール ポート - 電子メールの送信先となる TCP サービス ポート番号。受信 SMTP ポートとも呼ばれます。

このウィザードによって作成されたポリシーおよびアドレス オブジェクトは、編集可であり、アンチスパム サービスが無効になっても持続します。

アンチスパム サービスの有効時に作成されたオブジェクト

このセクションでは、ファイアウォール アクセス ルールや NAT ポリシーおよびサービスオブジェクトとして自動生成されたルールおよびオブジェクトの種類の例を示します。これらのオブジェクトは、編集不可能であり、アンチスパム サービスが無効になっても削除されることはありません。

「ファイアウォール > アクセス ルール」ページには、アンチスパム用に生成されたルールが表示されます。

Figure 45:20 生成されたアクセス ルール

generated_fw_access_rules.jpg

 

赤で囲まれた行は、アンチスパムを有効にしたときに生成されるアクセス ルールです。緑で囲まれた行は、既存のメール サーバ ポリシーが存在しない場合にアンチスパム機能によって作成される既定のルールです。

また、以下のアクセス ルールを作成することもできます。

• 任意の送信元からすべての WAN IP アドレスへの着信電子メール (SMTP) 用の WAN-WANルール

• アンチスパム サービス ポート (既定では 25 番) を使用して処理された、Email Security Service からすべての WAN IP アドレスへの電子メール用の WAN-LAN ルール

アンチスパム サービス オブジェクトは、「ネットワーク > サービス」ページで作成されます。

Figure 45:21 生成されたアンチスパム サービス オブジェクト

generated_AS_service_object.jpg

 

このサービス オブジェクトは、生成された NAT ポリシーによって参照されます。

Figure 45:22 生成された NAT ポリシー

generated_NAT_policies.jpg

 

赤で囲まれた行は、アンチスパムを有効にしたときに生成されるポリシーです。緑で囲まれた行は、既存のメール サーバ ポリシーが存在しない場合にアンチスパム機能によって作成される既定のポリシーです。

ウィザードによって作成されたオブジェクト

管理者によるウィザードとの対話によって作成されたオブジェクトは、編集可能であり、アンチスパム サービスが無効になってもシステム内に残ります。

ポリシーの自動生成には、以下の考慮事項を適用します。

• 公開メール サーバ アドレス グループと呼ばれる、システムのアドレス グループ オブジェクトが、生成されたポリシーに対する変換前の送信先の既定値として作成されます。このグループには、アドレス オブジェクトである送信先メール サーバのパブリック IP が含まれます。このオブジェクトは、ウィザードの実行時に与えられた IP アドレス値を取ります。

• 既に SonicWALL UTM 装置に SMTP 用の既存のポリシーがある場合には、以下の手順が実行されます。

– 既存のポリシーの変換前の送信先がホスト タイプのアドレス オブジェクトの場合、生成されたポリシーは公開メール サーバ アドレス グループ オブジェクトを変換前の送信先として使用します。

– 既存のポリシーの変換前の送信先が非ホスト タイプのアドレス オブジェクトの場合、生成されたポリシーはこの非ホスト タイプのアドレス オブジェクトを変換前の送信先として使用します。

– SMTP 用のパブリック IP アドレスが 2 つ以上存在する場合、管理者は公開メール サーバ アドレス グループにアドレス オブジェクトを手動で追加できます。

ポリシーとオブジェクトの変更

diag.html ページで「GRID 名前キャッシュの消去」ボタンを使用して、GRID 名前キャッシュ内のすべてのエントリをクリアできます。

「ポリシーとオブジェクトの削除」ボタンを使用して、アンチスパム アドレス、およびサービスをオフにしたときに削除されないサービス オブジェクトとポリシーを削除できます。このボタンを選択すると、自動生成されたすべてのオブジェクトとポリシーが削除されます。この操作は、アンチスパム サービスがオフの場合のみ許可されます。

もう 1 つの diag.html ページには、アンチスパムに関連した以下のオプションがあります。

• アンチスパムに関係する接続に対し SYN フラッド防御を無効にする – SMTP (25) ポートとアンチスパム サービス (10025) ポートに対して、SYN フラッド保護は既定で有効になっています。このオプションによって、保護を無効にします。

• GRID IP レピュテーション確認だけを使用する – このオプションを選択すると、プローブ処理の結果がオーバーライドされ、アンチスパム サービスが使用できない場合 (admin down) をシミュレートします。電子メールを送信する際、SYN フラッド チェックと GRID IP チェックのどちらも引き続き実行されますが、その他の電子メール スキャンは実行されません。