search cancel

スパムの可能性があるメッセージがSymantec.Cloud Email サービスにて検出されなかった場合の対応

book

Article ID: 229235

calendar_today

Updated On:

Products

Email Security.cloud

Issue/Introduction

この技術文書では、スパムの可能性があるメッセージが以下のSymantec.cloud email services にて検出しなかった(すり抜け)場合の対応方法をご紹介しています。

・ Symantec Email Security.cloud
・ Symantec Advanced Threat Protection (ATP): Email


[ご案内]
以下の情報につきましては"Additional Information"の各項目をご参照ください。
・ 上記以外のメールセキュリティ製品をご利用のお客様は[その他のメッセージングセキュリティ製品の場合]をご参照ください。
・ マルウェアのすり抜けにつきましては[マルウェアすり抜けの対応]をご参照ください。

Cause

NA

Environment

NA

Resolution

スパムの可能性があるメッセージがSymantec Email Security.Cloud のスパム検出機能をすり抜けて受信された場合、そのサンプルを提出することで分析(およびスパムフィルタ作成)を依頼することができます。

「すり抜け」とは
スパムとして判定されるべきメッセージがセキュリティ上問題のない正常メールとして判定され配送処理されることを「すり抜け」と定義しています。

[サンプルの提出方法]
Symantec Email Security.Cloud アドオンを利用したサンプル提出
ClientNet ポータルの以下メニューより設定することが可能です。
サービス > 電子メールサービス > Email Submission サービスの設定

Email Submission サービスを使用すると、組織のエンドユーザーは検出漏れの疑いがある電子メールメッセージをシマンテック社に提出して分析を依頼できます。
エンドユーザーはカスタマイズした Microsoft Outlook アドインボタンをクリックして Email Submission を実行し、スパム、フィッシング、悪質なコードの配信を試行している疑いがある電子メールメッセージを提出できます。
組織の管理者は、Email Submission アドインを Microsoft Exchange Server 2013、Exchange Server 2016、Exchange Online、Office 365 にインストールできます。

設定手順につきましては、以下技術情報ならびに製品ヘルプにてご案内しています。
Article ID: 170642
Email Submission add-in 101 for Email Security.cloud
https://knowledge.broadcom.com/external/article?articleId=170642

ヘルプ: Email Security.cloud - Japanese - Japan
Email Submission Client について
Email Submission アドインの設定


ClientNet ポータルよりサンプルを提出
ClientNet ポータルよりサンプルを提出する場合の手順を以下技術文書にてご紹介しています。
Article ID: 225087
スパム検知漏れの調査について
https://knowledge.broadcom.com/external/article?articleId=225087


手動によるサンプル提出

ご提出の際には以下の点にご注意ください。

・ すり抜けの調査にはヘッダならびに本文などが編集されていないオリジナルメッセージの提出が必要です。
・ 受信後5日以内のサンプルのみが有効となります。(注1)
・ "message/rfc822" 形式にてメールに添付してください。(注2)
・ 1通のメールに複数のサンプルを添付することが可能です。メッセージ全体のサイズが2MB 未満であることをご確認ください。(注3)
・ サンプルはZIP 形式等に圧縮せず、".eml" もしくは、".msg" 形式のメッセージのまま添付してください。(注4)
・ サンプルメッセージを[email protected] 宛にお送りください。

(注1) 5日以上経過したサンプルには調査対象になりません。
(注2) Additional Information 内の[メッセージ添付に関する技術情報] をご参照ください。
(注3) メッセージのサイズが2MB を超える場合はサポートセンターまでお問い合わせください。
(注4) ZIP 形式等に圧縮されたサンプルは調査対象になりません。

代表的なメールクライアントからの提出する手順を以下技術文書にてご紹介しています。
Article ID: 172396
Mail client instructions for submitting valid samples
https://knowledge.broadcom.com/external/article/172396/mail-client-instructions-for-submitting.html

ご利用中のメールクライアント ソフトウェアの手順が記載されていない場合は、説明書やソフトウェアメーカーの技術情報をご確認願います。


[ご注意]
お問い合わせや調査をご依頼いただく際には、サポートポータルもしくはお問い合わせケースのメール返信にメッセージサンプルを添付しないようお願いします。
調査専任部門以外の窓口によるサンプルの取り扱いは感染防止の観点より禁止されています。


[ご提出いただきましたサンプルに関するご案内]

・ ご提出いただきました情報ならびにサンプルは、弊社専任部門にてスパムトレンドや流通量、送信元の評価情報などを照らし合わせて調査します。
    検出すべきスパムと判定された場合はスパムルールへの適用を実施します。
    通数が少ないなど、状況によっては検出対象とはならない場合がございますことをご理解いただけますようお願いします。
・ スパム調査結果およびスパムフィルタールールへの採用結果等につきましては、スパム作成のヒントとなり得るため一切ご案内することができません。
    提供後は「誤検知の提出」にて対応状況をご確認ください。([検出状況の確認手順]をご参照ください)
    また、同様のメッセージが継続して受信されていないか状況を経過観察いただけますようお願いします。


[ご提出いただきましたサンプルのフィードバック]
弊社では常に膨大な量のスパムメッセージを収集し解析を実施しています。
そのためご提出いただきました個々のサンプルに対する解析結果等のフィードバックはご提供していません。


[検出状況の確認手順]
ご提出いただきましたサンプルの検出状況は以下の手順にてご確認いただけます。
1. ClientNet ポータルにて以下メニューを開きます
ダッシュボード > ツール > Email Submission > 誤検知の提出
2. [参照] をクリックし、提出済みサンプルを選択します
3. [検査] をクリックします
   サンプルがスパムとして判定された場合は「この電子メールは現在、スパムとして分類されています」と表示されます。

4. 検出状況の確認のみをおこないますので、そのまま[キャンセル] をクリックします


[専任部署によるフィードバックが必要なケース]
サンプルをご提供いただき24時間以上経過後においても以下のような状況である場合は例外的に調査対応を実施させていただきます。
・同様のスパムメール・フィッシングメールのすり抜けが現在も継続して多数発生しており業務影響が発生している場合。
・感染や情報流出が発生した場合など通数に限らず緊急で調査が必要な状況である場合。

# 緊急と判断される場合は送信者情報を遮断送信者へ追加する対応も併せて実施してください。

以下の情報を予めご用意いただいたうえでお問い合わせください。
1. 提出したサンプルが特定できる"電子メールログ追跡"結果 (.CSV 形式)。 対象の行をハイライトしたもの。
2. 下記のすべて情報

サンプル詳細: 
・ 送信したスパムのサンプル数。 
・ 送信したサンプルの少なくとも 1 つについて、次の詳細 : 送信者のアドレス、受信者のアドレス、件名、送信日 
・ 一連のスパムを最初に受信した日時。 
・ サンプルが過去 5 日以内の最新のものであるかどうか (Y/N)。 

問題が及ぼすお客様への影響/範囲: 
・ 問題の範囲/影響: 影響を受けるユーザーの数、CEO/VIP が影響を受けるかどうか。 
・ 受信したスパムの種類。(URL、フィッシュ、添付ファイル、ReplyTo など) 
・ 誤って処理されたメッセージのボリューム。(ユーザーが確認したスパムメッセージの数) 

スパム対策の設定情報: 
・ [スパム対策]-[DMARC を使う] が有効か (Y/N): 
・ [スパム対策]-[SPF を使う] が有効か (Y/N): 
・ [スパム対策]-[Skeptic ヒューリスティックを使う] が有効か (Y/N): また、有効な場合の [処理]
・ [スパム対策]-[ニュースレター/マーケティング検出を使う] が有効か (Y/N): 
・ [スパム対策]-グローバル/ユーザーレベルの承認送信者リストの確認:(該当の送信者が承認送信者リストに含まれているかどうか)
 

サポートに依頼後、専任チームにて調査され、スパムと判定された場合は対応するフィルタが作成されます。


Additional Information

[その他のメッセージングセキュリティ製品の場合]
下記のメールセキュリティ製品をご利用の場合は以下技術文書をご参照ください。
・ Symantec Messaging Gateway
・ Symantec Messaging Gateway for Service Providers
・ Symantec Mail Security for Microsoft Exchange

Article ID: 177121
Submit false negatives (missed spam) or false positives (legitimate email) to Symantec Security Response
https://knowledge.broadcom.com/external/article?articleId=177121


[マルウェアすり抜けの対応]
「マルウェアの可能性があるファイルが添付されているメッセージのすり抜け」につきましては以下技術文書をご参照ください。
Article ID: 228401
マルウェアの可能性があるファイルがSymantec.Cloud Email サービスにて検出されなかった場合の対応
https://knowledge.broadcom.com/external/article/228401


[メッセージ添付に関する技術情報]
電子メールの添付ファイルは、"message/rfc822 "の添付ファイル形式で作成してください。
RFC822はRFC2046で規定されているmimeサブタイプです。RFC 2046のセクション5.2では「メッセージメディアタイプ」を、セクション5.2.1では「RFC 822サブタイプ」を扱っています。
提出するサンプルのヘッダーと本文は、メッセージを受信したときのオリジナルの状態をそのまま保持し添付ファイルとしてそのまま転送してください。

一般的なガイドラインとして、電子メールの添付ファイルはメール・クライアントが使用する形式と同じファイル形式でなければなりません。
例えば、.msg形式はOutlookにて利用されています。また、.eml形式は、Windows Live Mail、Thunderbirdなどのメールクライアント等にて利用されています。

弊社ではメールクライアントが使用しているファイル形式と異なる添付ファイルがある場合は投稿を有効とは見なしませんのでご注意ください。
例えば、Outlookに.eml形式のファイルが添付されている場合や、Thunderbird に.msg形式のファイルが添付されている提出は無効とみなされます。

上記にてご紹介している各RFC の詳細につきましては、インターネット上に公開されているRFC 関連ドキュメントを参照してください。


免責事項
提出した誤検出やすり抜けのサンプルにはメールアドレスやメッセージ本文に個人を識別可能な情報が含まれている場合があります。
ブロードコムはこれらの情報をスパムルールの生成のためにのみ利用します。
ブロードコムでは、スパムメールの検出精度を高めるために誤検知やすり抜けのサンプルを提出することを推奨しています。
提出された情報はブロードコムのスパムルールの作成者にのみ共有され、サードパーティに共有されることはありません。
個人情報に関してのご質問がある場合は、ブロードコムのプライバシーポリシーを参照してください。

Attachments