Exchange Online Protection (EOP) につきましては、外部からメールを受信した場合、 [接続 フィルター] > [マルウェア フィルター] > [トランスポート ルール] > [スパム フィルター] の順番でフィルタリング機能が動作し、各ユーザーのメールボックスにメッセージが配信されます。
-補足-
[トランスポートルール] はフィルタリングとは異なり、指定した条件に対してアクションをおこなう機能です。
また、送信時には [マルウェア フィルター] > [送信スパム] により Exchange Online から送信されるメールアイテムをフィルタリングします。
※[トランスポートルール]を設定している場合は、送信時も対象となるメールに適用されます。
以下にそれぞれの機能の概要をご紹介していきたいと思います。
<接続フィルター>
[接続フィルター] につきましては、送信元 IP アドレスにて Exchange Online への配信を許可もしくは拒否することが可能です。
マイクロソフトで採用しているブロックリストに送信元 IP アドレスが登録されたことにより、受信を拒否している場合に、送信元 IP アドレスを [IP 許可一覧] に登録することで、ブロックリストを回避し、受信することが可能となります。
なお、許可した IP アドレスから送信されるメールについては、[スパムフィルター] のスパム判定も回避される動作です。
また、メールアドレスやドメイン単位ではなく、サーバーの送信元 IP アドレス単位で拒否したい場合は、[IP 禁止一覧] に登録することで拒否することが可能です。
-補足-
接続フィルダーの[IP 禁止一覧]でブロックした場合は、[メッセージ追跡]のログには記録が残りません。
<マルウェアフィルター>
メールに含む添付ファイルやコンテンツをチェックし、パターンファイルにマッチングしマルウェア判定されたものに対し、フィルタリング処理を実施してます。
動作としては、メールの添付ファイル内でマルウェアが検出された場合は、メッセージが検疫され、管理者以外は解放できなくなります。
マルウェア判定された場合の既定のアクションは [いいえ] に設定されており、メッセージが検疫された場合に、その受信者に配信されたメールの元ファイルが無い状態で受信する動作となります。
[はい。既定の通知テキストを使用します。] を選択すると、マルウェア検知されたファイルを [Malwere Alert Text.txt] に置換したメールを、受信者に配送する動作となります。
[はい。独自の通知テキストを使用します。] については、マルウェア検知された添付ファイルを、管理者が指定した本文の通知テキストファイルに置換して受信者にメールを配信する動作となります。
マルウェアフィルターにて検知されたメールについては、[管理者への通知] 機能を有効にすることで、該当のメールがマルウェア判定された場合、指定のアドレスあてに通知メールを配送することもできます。
※既定では、送信者や管理者に通知メールは配信されません。
なお、マルウェア フィルターについては設定などで回避や無効化をすることができないフィルターです。
-補足-
添付ファイルをパスワード付きのZIPファイルにして送信した場合は、フィルタリングを回避して受信ができます。
パスワードが、1234など簡単なものである場合は、回避できないとの情報があります。
<トランスポートルール>
Exchange Online から送受信するメール対して条件を設定し、対象となったメールに指定した処理を実施する機能です。
そのため、他の EOP のフィルタリングと異なり、運用に合わせてメールを拒否する場合や迷惑メールと判定させないようにしたい送信元に対して [スパムフィルター] のフィルタリングを回避することが可能です。
<スパムフィルター>
Exchange Online が外部から受信したメールは、[スパムフィルター] によってフィルタリングされ、メールの内容や送信元などの情報を総合的に評価した結果として SCL (Spam Confidence Level) という値をメールに付与します。
このSCL の値が一定の値を超えた場合、対象のメールはスパムメールであると判断され、コンテンツフィルターの設定に従って処理されます。
-補足-
SCLが5、6の場合は、[スパムフィルター]の[スパム]のアクションが適用されます。
SCLが9の場合は、[スパムフィルター]の[信頼度の高いスパムフィルター]が適用されます。
既定のアクションは、[迷惑メールフォルダーにメッセージを移動する] に設定されており、スパムと判定されたメールは迷惑メールフォルダーに受信します。
設定できるアクションを以下にて紹介します。
-
[迷惑メールフォルダーにメッセージを移動する]
既定に設定されている動作で、スパム判定をされたメールは、受信者の迷惑メールフォルダーへ配信されます。
-
[X -ヘッダーを追加する]
スパム フィルターにより迷惑メールと判定されたメールのヘッダー内に任意の語句を追加し、迷惑メールフォルダに配信します。
-
[件名行の先頭にテキストを追加する]
スパム フィルターにより迷惑メールと判定されたメールの件名に任意の語句を追加し、迷惑メールフォルダに配信します。
-
[メールアドレスにメッセージをリダイレクトする]
スパム フィルターにより迷惑メールと判定されたメールを指定のメールアドレスにリダイレクトします。
-
[メッセージを削除する]
スパム フィルターにより迷惑メールと判定されたメールを削除します。
どこにも配信されない動作となります。
この際、以下のログが記録され、送信元へは NDR は返らない動作です。
[{LED=550 4.3.2 QUEUE.TransportAgent; message deleted by transport agent};{MSG=};{FQDN=};{IP=};{LRT=}]
-
[メッセージを隔離する]
スパム フィルターにより迷惑メールと判定されたメールを、Exchange Online サーバー内の検疫フォルダーに隔離します。
メールアイテムが [検疫] され、[エンドユーザーのスパム通知の構成をする...] を設定していた場合には、受信者に対し、メールが検疫された旨の通知が届きます。
なお、[エンドユーザーのスパム通知の構成をする...] の設定は、[メッセージを隔離する] に設定している場合のみ有効となります。
<送信スパム>
送信スパムとは、組織内から組織外へ送信したメールアイテムがスパムとして判定を受けた場合の動作を制御しております。
なお、送信スパムとして判定された場合は、配信が制御される動作ではなく、別の IP アドレスプールの経路(高リスク配信プール)を通り配送される動作となります。
高リスク配信プールから送信されたメッセージは、相手先の受信サーバーにてスパムと判定される可能性が高くなり、受信の際のフィルター動作に影響する場合があります。
これは、組織内からのスパムメール送信を防止するための機能ではなく、クラウドサービスの特性上、大多数のユーザーが同一のサーバー群を利用することによるリスクを分散し、正常なメールの信頼性を高める機能です。
また、送信者禁止リストによるフィルタリングもおこなわれており、大量送信などスパムの送信元と判定されるような動作をした場合、送信が禁止される動作です。
管理者にて、セキュリティコンプライアンスセンターの[制限されたユーザー]で登録の解除ができます。
また、EOPだけでは不安という方は追加でATPのフィルタリングを利用することができます。
以下の記事で紹介しておりますのでご参照いただけますと幸いです。
広告
目の疲れを防止するにはPCメガネがオススメです!
高スペックPCが約3万円で購入できます
アフィリエイトをするなら「もしもアフィリエイト(登録無料)」