search cancel

Messaging Gateway の [スパムの疑い] について

book

Article ID: 241335

calendar_today

Updated On:

Products

Messaging Gateway

Issue/Introduction

この技術文書では、Symantec Messaging Gateway (SMG) のスパム対策機能に含まれる [スパムの疑い] に関する特性をご案内しています。

Environment

Symantec Messaging Gateway (SMG)

 

Resolution

[スパムの疑い]のメールとは、スパムと疑わしい性質を持っているものの、スパムと断定するには不十分な状態のメールを指します。
スパマー(スパム業者)はスパムフィルターをバイパスさせるために正当なメール模倣します。そのため、実際に流れている多くの正当なメールと[スパムの疑い]のメールを一律にスパムと判断することが困難となっている現実があります。
Messaging Gateway では[スパムの疑い]の機能を有効にすることで、スパムと断定するには十分でないものの"スパムの特性を持つ疑いのあるメール"に対して処理を割り当てることができます。 
スパムフィルターは 1-100 までの値をメールごとに割り当ており、この値を基にメールがスパムかどうか判断します。
Messaging Gatewayのコントロールセンターの画面ではスパム判定のしきい値を視覚的に 90-100 であることが確認できます。

以下の表はしきい値のレンジに対応する積極性を表しています。

スパムの疑いのしきい値のレンジ 積極性
25 - 89 High
72 - 89 Medium
89 Low

例えば、しきい値のレンジを高い積極性レベル(25-89)に設定した場合、事実上、非常に多くのメールが[スパムの疑い]と判定されることが考えられます。
メールに含まれるコンテンツや送信元の信頼性によって、より高い値が付与される可能性がありますが、平均的な正規のメールはスパムフィルターのルールの中で 10-50 の範囲の値が付与され、完全なスパムとして判定される値(90-100)に到達することはありません。
スパムの疑いの機能を使用する場合、これらの背景を十分に考慮した上でしきい値を調整する必要があります。
それぞれのユーザー環境によってどのようなメールを受信しているのか、どのようなメールをスパムの疑いとするのか判断が異なるため、[スパムの疑い]の過剰検知を最小限に抑えるためにも、必要に応じてユーザー環境に沿ったしきい値を調整することが重要です。

[スパムの疑い]の機能は、一律にスパムと判断できないメールの基準をユーザーがコントロールできるよう設計されています。
[スパムの疑い]の機能を使用してしきい値を調節する場合、長所と短所があります。
以下の表は[スパムの疑い]のしきい値を調整することによる長所と短所について表しています。
しきい値を調整する際にこれらの影響を十分に検討する必要があります。

長所 短所
ユーザーが任意のタイミングで機能の有効/無効を設定できます 機能を無効にしている場合、[スパムの疑い]のメッセージのすり抜けが増える可能性があります
ポリシーを利用して、[スパムの疑い]として判定されたメールに対して具体的な処理を適用することができます 正当なメールに対して[スパムの疑い]と判定されることあります

 

Messaging Gateway で[スパムの疑い]の機能を使用する際に、一般的に考慮すべき項目として以下のようなものがあります。
 1. デフォルトの設定で利用を開始し、状況に応じて設定値を見直さなければなりません
 2. あまりに多くのメールが[スパムの疑い]の判定となる場合、[スパムの疑い]の過剰検知数が許容できるレベルになるまで"しきい値"の調節と監視を行います。
     スパムルールは刻々と変化する最新のスパムの脅威を取り除くためにタイムリーに調整されているため"しきい値"の見直しは頻繁に行わなければなりません
 3. [スパムの疑い]の機能を使用する場合、メールの受信者に受信したメールが疑わしいものであることを知らせるためにメールの件名に目印をつけて配送することを推奨します

Additional Information

よくあるご質問

Q. [スパムの疑い]の誤検知が発生した場合、どのように対応すれば良いですか?
A. [スパムの疑い]のしきい値は各々の運用状況に基づいてユーザーがコントロールしています。
各々のユーザー判断に基づいてしきい値が設定されているため、それらの情報を基にメールセキュリティ製品共通利用しているスパムルールを変更することは、ユーザー全体の利益に反する状況が想定されます。
このような理由から、弊社では各々のユーザー環境と設定に依存する[スパムの疑い]メールを誤検知として検討、対応することはありません。
そのため、[スパムの疑い]のメール検体をSecurity Responseへご提出いただいたとしても、エンジニアによるレビューは行われないまま自動的に破棄されます。

もし[スパムの疑い]の過剰検知に遭遇した場合、ユーザーは以下の選択肢を取ることができます
  • 送信者を許可リストに追加する
特定の接続元IP、ドメイン、メールアドレスからのメッセージが[スパム]または[スパムの疑い]として扱われないようにするために、これらを許可された送信者のリストに追加し、スパムフィルターをバイパスさせることができます
  • 設定を見直す
設定を見直すことによって、[スパムの疑い]と判定された全てのメールに対して何らかの傾向が分かるかもしれません。週毎に 1-5 の範囲でしきい値を調整することで[スパムの疑い]の誤検知に対して状況に適した柔軟な決定を行えます。Symantecが提供するスパムルールは、様々なタイプの新しいスパム手法に対応しながら常時微調整が繰りかえされているために、ユーザーにてコンスタントに[スパムの疑い]のしきい値を監視、微調整しなければなりません。
  • 件名を修正して配送する
件名のみ修正して配送することは、[スパムの疑い]と判定されてしまった正当なメールの影響を最小限に抑えることに役立ちます。
  •  最新バージョンの製品を利用する
しきい値の調整とは別に、最新バージョンの製品を利用することは、より効果を得るための有効な手段です。

 

Q. なぜ正当なメールが[スパムの疑い]と判定されてしまうのですか?
A. スパマー(スパム業者)はアンチスパムフィルターを通過させるために正当なメールの特性を模倣しており、いくらかのメールがフィルタリングルールの一部に検知されてしまう可能性があります。
メールがスパムと疑わしい要素を含んでいる場合、より高い確率で[スパムの疑い]の判定が下されます。

以下は、偶然にも[スパムの疑い]と判定されてしまう正当なメッセージをより減らすためのベストプラクティスです。
これらのベストプラクティスは[スパムの疑い]の判定から除外されることを保証するものではなく、正当なメールが[スパムの疑い]の判定による影響を最小化させるものであるということにご注意ください。
  • セキュアでないマシンからメールを送信しない。常にアンチウィルスソフトウェアの定義バージョンを最新に保ち、マシンがセキュアな状態を維持する
  • 以下の点に注意してメールを構成する
    • 件名、または本文が空白のメールを送ることを避ける
    • 件名、および本文には適切な文言を使用する
    • HTMLよりも、プレーンテキストでメールを送る

 

Q. [スパムの疑い]と判定されてしまうメールが増えているのはなぜですか?
A. スパマー(スパム業者)は刻一刻とスパムの手法を変えているため、アンチスパムフィルターはこれら新しい手法に対応するために調整されなければなりません。
このような状況から、スパマーは対応済みアンチスパムフィルターを通過させるために、さらにメールのコンテンツを変化させるだけでなくスパムの発信源をも変化させてきています。
ボットネットの増大に伴い、より多くのメールがセキュアでないマシンから正当なメールと不正なメールが混在した状態で発信されています。
その結果、アンチスパムフィルターではコンテンツ情報と組み合わせてさらにヘッダー情報のメール発信基もターゲットにフィルターを調整しています。
これら特殊なフィルターはメールを完全にブロックしてしまうものではありませんが、場合によっては[スパムの疑い]と判定されてしまうこともあります。
この状況は、スパムフィルターを微調整した際に[スパムの疑い]の判定が増加してしまうケースの一部に過ぎません。
スパマー(スパム業者)はアンチスパムフィルターをすり抜けさせるための戦略に労力を費やしており、アンチスパムフィルターはそれら手法に逐次対応しなければなりません。
このような背景から、しばしば[スパムの疑い]と判定されてしまうメールの増減が発生することがあります。