ESA のスプーフィング メールのフィルタリング

はじめに

このドキュメントでは、ネットワークにスパムおよび詐欺的な電子メールが入ってきたときに Cisco E メール セキュリティ アプライアンス（ESA）で発生する問題について説明します。

問題

詐欺師が電子メールを偽装しようとします。電子メールが会社のスタッフになりすましている（送信者を名乗る）場合、特に詐欺の可能性があり、混乱を引き起こす可能性があります。この問題を解決するために、電子メール管理者は、社内から発信されたように見える着信メール(スプーフィングされたメール)をブロックしようとする場合があります。

ドメイン名に会社の差出人住所が含まれるインターネットからの受信メールをブロックすると、問題が解決するのは当然と思われるかもしれません。残念ながら、このような方法でメールをブロックすると、同時に正当なメールもブロックされてしまいます。次の例を検討してください。

• 従業員は、ホテルのインターネットサービスプロバイダー(ISP)を使用して、すべてのシンプルメール転送プロトコル(SMTP)トラフィックをISPのメールサーバに透過的にリダイレクトします。メールが送信されると、エンタープライズSMTPサーバを直接経由するように見えますが、実際には、メールは企業に配信される前にサードパーティのSMTPサーバを経由して送信されます。
  
  
• ある従業員が電子メールディスカッションリストに登録します。メッセージが電子メールリストに送信されると、明らかに発信元からのすべてのサブスクライバに返されます。 
  
  
• 外部システムは、外部から見えるデバイスのパフォーマンスや到達可能性を監視するために使用されます。アラートが発生すると、電子メールの返信アドレスに会社のドメイン名が含まれます。WebExなどのサードパーティサービスプロバイダーは、この処理を頻繁に行っています。
  
  
• 一時的なネットワーク設定エラーのため、社内からのメールはアウトバウンドリスナーではなくインバウンドリスナーを介して送信されます。
  
  
• 社外のユーザが、元のヘッダーではなく新しいヘッダー行を使用するメールユーザエージェント(MUA)を使用して社内に転送するというメッセージを受け取ります。
  
  
• Federal Expressの配送ページやこの記事ページを使用するYahooの電子メールなどのインターネットベースのアプリケーションでは、企業を指し示す差出人住所を含む正当なメールが作成されます。  メールは正当なものであり、内部から送信された送信元アドレスが付いていますが、内部から送信されたものではありません。

次の例は、ドメイン情報に基づいて着信メールをブロックすると、誤検出が発生する可能性があることを示しています。

解決方法

このセクションでは、この問題を解決するために推奨される操作について説明します。

フィルタの適用

正当な電子メールメッセージが失われるのを防ぐため、ドメイン情報に基づいて着信メールをブロックしないでください。代わりに、これらのタイプのメッセージの件名をネットワークに入るときにタグ付けできます。これは、受信者に対して、メッセージが偽造されている可能性があることを示します。 これは、メッセージフィルタまたはコンテンツフィルタを使用して実行できます。

これらのフィルタの基本的な戦略は、逆方向を指す本文ヘッダー行(Fromデータが最も重要)と、RFC 821エンベロープ送信者を確認することです。これらのヘッダー行はMUAで最も一般的に表示され、詐欺師によって偽造される可能性が最も高いものです。

次の例のメッセージフィルタは、偽装された可能性のあるメッセージにタグを付ける方法を示しています。このフィルタは、次のアクションを実行します。

• 件名行にすでに「{Possibly Forged}」が含まれている場合、別のコピーはフィルタによって追加されません。これは、返信がメッセージフローに含まれ、メッセージスレッドが完了する前に件名行がメールゲートウェイを数回通過する場合に重要です。
  
  
• このフィルタは、ドメイン名@yourdomain.comで終わるアドレスを持つエンベロープ送信者またはFromヘッダーを検索します。mail-from検索では大文字と小文字が自動的に区別されませんが、fromヘッダーの検索では区別されないことに注意してください。いずれかの場所にドメイン名が見つかった場合、フィルタは件名行の最後に「{Possibly Forged}」を挿入します。 

フィルタの例を次に示します。

MarkPossiblySpoofedEmail:

    if ( (recv-listener == "InboundMail")       AND
         (subject != "\\{Possibly Forged\\}$") )
    {
        if (mail-from == "@yourdomain\\.com$") OR
           (header("From") == "(?i)@yourdomain\\.com")
        {
            strip-header("Subject");
            insert-header("Subject", "$Subject {Possibly Forged}");
        }
    }

その他の措置

正当なメールからスプーフィングされたメールを簡単に識別する方法はないため、この問題を完全に排除する方法はありません。したがって、シスコでは、不正なメール（フィッシング）やスパムを効果的に特定し、積極的にブロックするIronPort Anti-Spam Scanning(IPAS)を有効にすることを推奨しています。このアンチスパムスキャナを前のセクションで説明したフィルタと組み合わせて使用すると、正当な電子メールを失うことなく最良の結果を得ることができます。

不正な電子メールがネットワークに侵入していることを突き止める必要がある場合は、Domain Keys Identified Mail(DKIM)テクノロジーの使用を検討してください。DKIMには高度な設定が必要ですが、フィッシングや不正な電子メールに対する有効な手段となります。

注：メッセージフィルタの詳細については、Cisco Eメールセキュリティアプライアンスサポートページの『AsyncOSユーザガイド』を参照してください。