Office 365スパムフィルター:セットアップと構成

チュートリアル

最低限、スパムメールは迷惑です。しかし、これらの未承諾のメッセージには悪意のある添付ファイルやマルウェアが含まれている場合もあり、実際には深刻な脅威です。幸いなことに、Microsoft 365を利用する組織は、迷惑メールを正当な通信から自動的に分離することで、メールボックスを保護できます。

Exchange Online Protection(EOP)は、Microsoft 365サブスクリプションの主要なセキュリティツールです。セキュリティ管理者は、EOPを使用して、マルウェア、スパム、その他のメール脅威に対するポリシーとフィルタを作成します。以前は、管理者はExchange管理センターからEOPにアクセスできました。今日、EOPはMicrosoft 365 Defenderポータルの一部として、高度な保護および制御の一環として提供されており、Exchange Onlineの一部としてまたはスタンドアロンのサービスとして入手できます。

このブログでは、Office 365のメールフィルタリングの仕組みと、EOPに含まれる技術について説明します。EOPでの受信および送信スパムフィルタポリシを正しく構成する方法について学んでください。

スパムフィルタの仕組みはどのようになっていますか?

Microsoftのスパムフィルタリングは、Exchange Online Protection(EOP)を使用して、以前に識別されたスパムやフィッシングの脅威、およびOutlook.comからの収集されたユーザフィードバックに依存しています。識別された迷惑メールは自動的に分類され、正当な受信メッセージから分離されます。O365のスパムフィルタは、メールボックスが無用なメールで溢れるのを防ぎ、組織のネットワークを通じておよびそれを超えたスムーズなコミュニケーションを確保します。

以下の技術が、EOPのスパム対策設定を構成します:

  • スパム(コンテンツ)フィルタリング: EOPでスパム対策ポリシーを設定することで、着信メッセージを以下の判定結果に基づいて分類できます。
    • スパム
    • 高確度スパム
    • バルクメール
    • フィッシングメール
    • 高確度フィッシングメール

スパム対策ポリシーでは、各判定結果に対するアクションを定義し、対応する通知設定を構成できます。

  • アウトバウンドスパムフィルタリング: EOPでアウトバウンドスパムフィルタリングを設定して、組織内のユーザーが意図的または意図せずにスパムを送信するのを防ぐこともできます。アウトバウンドメッセージの制限とコンテンツ内のスパムの監視を行います。
  • 接続フィルタリング: IPアドレスに基づいてフィルタリングを設定し、着信メール接続で良いメールソースと悪いメールソースを識別できます。IPアドレスまたは範囲をIPアラートリストとIPブロックリストに指定し、Microsoftが維持するセーフリストの恩恵を受けることができます。
  • スパフィンティジェンス: スプーフィングからの保護のために、EOPで反フィッシングポリシーを構成します。EOPの他の反スプーフィング方法には、電子メール認証とスパフィンティジェンスインサイトが含まれます。

Office 365スパムフィルターポリシーを構成する方法

Microsoft 365環境では、スパム対策ポリシーに構成される2つの要素があります。

  • スパムフィルターポリシー: スパムフィルタリングの結果に関連するアクションと通知オプションを定義します。
  • スパムフィルタールール: スパムフィルターポリシーの優先順位と、そのポリシーが適用される受信者を指します。

注: 新しいスパム対策ポリシーを作成するとき、スパムフィルタールールと関連するスパムフィルターポリシーを作成しています。ポリシーを削除すると、これらの2つの要素も削除されます。

Microsoft 365を使用する組織には、Microsoft 365 Defenderポータルから表示および変更できる組み込みのデフォルトスパム対策ポリシーがあります。このポリシーは、最も低い優先度値を持ち、スパムに対する効果的な保護を提供しません。

そのため、Microsoftでは、セキュリティ管理者が環境のニーズに基づいてカスタムスパムフィルター設定を構成することをお勧めしています。構成を簡略化するために、Microsoft 365 Defenderは、以下に詳細な設定を持つ2つの組み込みセキュリティレベル、標準厳格を提供します。

Microsoft 365 Defenderでインバウンドスパム対策ポリシーを作成する

以下の手順に従って、カスタムインバウンドスパム対策ポリシーと対応するスパムフィルタールールを作成できます。

  1. ブラウザーでhttps://security.microsoft.com/antispamを入力して、Anti-spam policiesページにアクセスします。

注意: https://security.microsoft.comを使用してスパム対策ポリシーページに移動することもできます。その後、Email & Collaborationをクリックし、Policies & Rulesを選択し、Threat policiesをクリックし、Anti-spamをクリックします。Policiesの下にあります。

  1. をクリックして、ドロップダウンリストから+ Create policyInboundを選択します。

  1. ポリシー作成ウィザードの最初のページはName your policy pageです。以下の設定を定義してください。
  • Name: ポリシーの説明とユニークな名前を追加します。
    • Description: 適切な説明を入力します(オプション)。

をクリックしてNextを続行します。

  1. Users, groups, and domainsページで、スパムフィルターポリシーによって影響を受ける内部受信者を追加します。
  • Users: 組織内のメールユーザー、連絡先、またはメールボックス。
  • グループ: Microsoft 365 グループ、メール対応のセキュリティグループまたは配布グループ
  • ドメイン: 会社の受け入れられたドメイン内の受取人

各ボックスに値を入力し、表示された結果から必要なものを選択してください。値を削除するには、その横にある x をクリックしてください。また、これらのユーザー、グループ、ドメインを除外 の横にあるチェックボックスを選択することで、作成しているポリシーから除外する受取人を追加できます。

: 任意のボックスにアスタリスク (*) を追加すると、利用可能なすべての値を表示できます。

続行するには 次へ をクリックしてください。

  1. 3番目のページは 大量メールのしきい値 & スパムプロパティ です。以下の設定を構成してください。
  • 大量メールのしきい値: アクションをトリガーできる 大量苦情レベル (BCL) のメッセージを設定してください。大量 スパムフィルタリングの結果です。数値が高いほど、受信トレイに大量のメールが届き、逆もまた然りです。この値は、適切に設定できます。ただし、Microsoft は以下の事前設定を提供しています。

デフォルト スタンダード 厳格
大量メールのしきい値 7 6 4
  • スパムスコアを増加させ、スパムとしてマーク: 高度なスパムフィルター (ASF) の設定の一部であり、デフォルトではオフになっています。
  • 特定の言語を含む: これはデフォルトでオフになっています。ドロップダウンからオンを選択すると、ボックスが表示され、スパムと見なすメーリング言語を追加できます。
  • これらの国から: これもデフォルトでオフになっています。特定の国からのメールをスパムとして設定したい場合は、ドロップダウンからオンを選択し、国を追加してください。
  • テストモード: ASF設定の一部であり、デフォルトでオフになっています。

注: ASFはスパムメールのフィルタリングに対してより積極的な方法です。Microsoftは、デフォルト値オフを維持することをお勧めします。ASF設定がオンになっている場合、膨大な数の誤検知が発生し、これをASF設定がオンの状態で報告することはできません。

次のステップに進むには、次へをクリックしてください。

  1. アクションページでは、スパムフィルタリングの結果に基づいてメッセージに対して何が起こるかを選択します。ここでの設定を構成する前に、各アクションの意味を理解することが重要です。
  • メッセージをジャンクメールフォルダに移動: メールはメールボックスに配信され、その後ジャンクフォルダに移動します。
  • X-ヘッダーを追加: これは、メッセージがメールボックスに配信される前にX-ヘッダーをメッセージに追加します。X-ヘッダーのフィールド名をこのX-ヘッダーのテキストを追加ボックスで選択できます。
  • 件名ラインにテキストをプレフィックス: メールはメールボックスに配信されてからジャンクメールに移動しますが、件名ラインの先頭にテキストを追加できます。テキストをこのテキストで件名ラインにプレフィックスボックスに入力してください。
  • メッセージを電子メールアドレスにリダイレクト: これは、意図したユーザーの代わりに他の受信者にメールを転送します。新しい受信者をこの電子メールアドレスにリダイレクトボックスで指定できます。
  • メッセージを削除: メールとすべての添付ファイルが自動的に削除されます。
  • メッセージを検疫に送る: メッセージは検疫に送られます。メールがそこにどれくらいの日数保持されるべきかを検疫でこれだけの日数スパムを保持ボックスを使用して選択できます。このアクションを選択する場合、検疫ポリシーも検疫ポリシーを選択ボックスで設定する必要があります。
  • アクションなし: 名前が示す通り、アクションは実行されず、メッセージは通常どおりに配信されます。
Now that you know what each action does, you can configure these settings based on your requirements. Microsoft offers the following preset settings:

  デフォルト 標準 厳格
スパム メッセージを迷惑メールフォルダに移動 メッセージを迷惑メールフォルダに移動 メッセージを隔離
高信頼度スパム メッセージを隔離 メッセージを隔離 メッセージを隔離
フィッシング メッセージを隔離 メッセージを隔離 メッセージを隔離
高信頼度フィッシング メッセージを隔離 メッセージを隔離 メッセージを隔離
一括 メッセージを迷惑メールフォルダに移動 メッセージを迷惑メールフォルダに移動 メッセージを隔離
この日数だけ隔離されたスパムを保持 15日 30日 30日
  • 安全のヒント: ヒントはデフォルトで有効になっています。チェックボックスを選択解除することで無効にすることができます。
  • ゼロアワー自動パージ(ZAP): ZAPは、Exchange Online メールボックスに送信されたメールを検出し、アクションを起こします。この機能とそれに対応する設定はデフォルトでオンになっています。

続行するには、次へをクリックしてください。

  1. 許可とブロック リスト ページでは、どのメールアドレスまたはドメインがスパム フィルタリングをバイパスできるかを指定できます。さらに、ブロックされた送信者およびドメインを追加できます。以下の手順に従って、リストを構成します:
  • 許可:
    • 送信者

      • を管理するには、管理(n)送信者をクリックします。表示されるフライアウトで送信者を追加を選択し、送信者のメールアドレスを追加します。最後に、送信者を追加をクリックします。

  • ドメインを許可をクリックして、ドメインをカスタマイズします。新しいタブでドメインを追加を選択して、ドメインを入力します。完了したら、ドメインを追加をクリックします。
  • ブロック: ブロックされた送信者と/またはドメインを追加するプロセスは、基本的に上記と同じです。

次へをクリックして続行します。

  1. レビューページでは、選択したすべての設定を確認できます。特定のセクションを編集するか、単に戻るをクリックして前のページに戻ることができます。最後に、作成を選択し、確認ページで完了をクリックします。

Microsoft 365 Defenderでのアウトバウンドスパムポリシーの作成

組織内のユーザーが意図的または偶発的にスパムメールを送信している場合、EOPには受信者を保護するためのアウトバウンドスパム用のコントロールがあります:

  • アウトバウンドメールトラフィックの分離:EOPはすべてのアウトバウンドメッセージをスキャンします。メールがスパムと判断されると、高リスク配信プールとして知られる信頼性の低いセカンダリIPアドレスプールから配信されます。
  • あまりにも多くのスパムを送信したり、短期間にあまりにも多くのメールを送信したアカウントを無効にする:すべてのアカウントが監視され、特定のメール制限を超えないようにします。そのしきい値に達すると、アカウントが無効になります。
  • ソースIPアドレスの評判の監視:Microsoft 365は多数のサードパーティIPブロックリストをスキャンし、組織がそれらのリストのいずれかで見つかったIPアドレスを使用している場合にアラートを生成します。

今度は、EOPがアウトバウンドスパムを制御する方法を知っているので、カスタムのアウトバウンドスパムポリシーを作成できます:

  1. ブラウザにhttps://security.microsoft.com/antispamを入力して、スパム防止ポリシーページにアクセスします。

: また、https://security.microsoft.comを使用して迷惑防止ポリシーのページにアクセスすることもできます。その後、Email & Collaboration > Policies & Rules > Threat policies > Anti-spamPoliciesの下でクリックします。

  1. 次に、+ Create policyをクリックし、ドロップダウンリストからOutboundを選択します。

  1. ポリシー作成ウィザードの最初のページはName your policy pageです。以下の設定を定義してください:
  • Name: ポリシーの説明的かつ一意の名前を追加してください。
  • Description: 適切な説明を入力してください(オプション)。

完了したらNextをクリックしてください。

  1. これはUsers, groups, and domainsページで、アウトバウンドスパムフィルターポリシーによって影響を受ける内部受信者を追加する必要があります:
  • Users: これらは、組織内のメールユーザー、連絡先、またはメールボックスです。
  • Groups: Microsoft 365グループ、メール有効化セキュリティグループ、または配布グループ。
  • Domains: これにより、会社の承認されたドメインの下にあるすべての受信者が含まれます。

各ボックスに値を入力し、表示された結果から必要なものを選択してください。値を削除するには、その隣にあるXをクリックしてください。また、これらのユーザー、グループ、ドメインを除外のチェックボックスを選択することで、作成しているポリシーの例外となる受信者を追加することができます。

:任意のボックスにアスタリスク(*)を入力すると、利用可能なすべての値を表示できます。

続行するには、次へをクリックしてください。

  1. 保護設定ページで、次の設定を構成してください。
  • メッセージの制限:Exchange Onlineメールボックスの送信メールの制限をカスタマイズします。以下の説明に従って、各ボックスに値を入力するか、矢印を使用して値を指定してください。値の範囲は0(デフォルト)から10,000までです。
    • 外部メッセージの制限を設定するとは、1時間あたりの最大外部受信者数を指します。
    • 内部メッセージの制限を設定するとは、1時間あたりの最大内部受信者数を指します。
    • 1日のメッセージ制限を設定するとは、1日あたりの最大のすべての(外部および内部)受信者数を指します。
  • メッセージ制限に達したユーザーへの制限: 以前に設定したメッセージ制限を超えた場合の行動を定義します。
    • 翌日までメール送信を制限: ユーザーは24時間以内に追加のメッセージを送信できなくなります。セキュリティ管理者はこの制限を解除できません。ブロックされたユーザーと管理者に通知が送信されます。
    • メール送信を制限: このオプションでは、ユーザーが制限ユーザーリストに追加されます。管理者が手動でリストから削除するまで、彼らはメッセージを送信できません。
    • 何も行動せず、アラートのみ: ユーザーは制限されませんが、通知が送信されます。
  • 転送ルール: ドロップダウンリストからオプションを選択して自動メール転送を管理します:
  • 自動 – システム制御: デフォルトでは、外部メール転送を制御するために発信スパムがフィルタリングされます。
  • オフ – 転送が無効になっています: 外部自動メール転送が無効になっています。
    • オン – 転送が有効になっています: 外部自動メール転送が有効になっています。
  • 通知: 外部からのスパムメール送信に関する通知を受け取る追加のユーザーを指定します:
    • これらのユーザーとグループにこれらの制限を超える不審な送信をコピーして送信する: この設定を有効にするには、その横にあるチェックボックスを選択します。選択後、テキストボックスが表示され、不審なメッセージのBccフィールドに含める受信者のメールアドレスを追加できます。
    • 送信者が外部スパム送信によってブロックされた場合にこれらのユーザーとグループに通知する: このチェックボックスを選択すると、迷惑メッセージを送信したユーザーがブロックされた場合に通知する受信者のメールアドレスを追加できます。

次へをクリックして続行します。

  1. レビューページでは、選択したすべての設定を確認できます。特定のセクションを編集したり、単に戻るをクリックして以前のページに戻ることができます。最後に、確認ページで作成を選択し、完了をクリックします。

接続フィルタリングの構成方法

EOPの接続フィルタリングは、IPアドレスを介して良いサーバーと悪いサーバーを識別するために使用されます。Microsoft 365 Defenderでは、スパム防止ポリシーには、ソースからのスパムメッセージの数を減らすのに役立つデフォルトの接続フィルターポリシーが含まれています。

デフォルトの接続フィルターポリシーには、3つの主要なコンポーネントがあります:

  • IP許可リスト:このリストにソースの電子メールサーバーを追加することで、これらのサーバーからのすべての着信メッセージはスパムフィルタリングを通過せずに直接メールボックスに配信されます。IPアドレスまたはIPアドレス範囲を使用してサーバーを指定できます。
  • IPブロックリスト:このリストにソースの電子メールサーバーを追加することで、これらのサーバーからのすべての着信メッセージが自動的にブロックされ、拒否されます。IPアドレスまたはIPアドレス範囲を使用してサーバーを追加できます。
  • 安全リスト:これはMicrosoftによって管理されている「許可リスト」であり、ユーザー自身は編集できません。ここにあるソースの電子メールサーバーからのすべての着信メッセージは、スパムフィルタリングをスキップします。必要に応じて、このリストを無効にすることができることに注意することが重要です。

Microsoft 365 Defenderでデフォルトの接続フィルターポリシーを変更する

接続フィルターポリシーを新規作成することはできませんが、既定のものを以下の手順に従って設定することができます。

  1. ブラウザーにスパム対策ページにアクセスするには、https://security.microsoft.com/antispamを入力してください。

注意: https://security.microsoft.comを使用してスパム対策ページに移動することもできます。次に、メール&コラボレーションをクリックしてから、ポリシー&ルールをクリックして、脅威ポリシーをクリックして、スパム対策をクリックして、ポリシーの下にある

  1. をクリックします。接続フィルターポリシー(既定)をクリックします。

  1. このフライアウトで、Office 365の送信者をブロックするための設定を以下のように構成できます。
  • 説明: 説明の編集をクリックして、ポリシーの任意の説明文を追加してください。編集が完了したら、保存をクリックしてください。

  • 接続フィルタリング: 接続フィルタポリシーの編集をクリックして、以下の設定をカスタマイズします。
    • 次のIPアドレスまたはアドレス範囲からのメッセージを常に許可する: ここでは、IPアローリストに単一のIP、IP範囲、またはCIDR IPを追加できます。
    • 次のIPアドレスまたはアドレス範囲からのメッセージを常にブロックする: ここでは、IPブロックリストに単一のIP、IP範囲、またはCIDR IPを追加できます。
    • セーフリストをオンにする: チェックボックスを選択してセーフリストを有効にするか、デフォルトで無効にしておきます。

完了したら保存をクリックしてください。

カスタムアンチスパムポリシーの削除方法

既定のポリシーを削除できない場合でも、カスタムアンチスパムポリシーを簡単に削除できます。以下の手順に従ってください。

  1. ブラウザーでhttps://security.microsoft.com/antispamに入力してアンチスパムポリシーページにアクセスします。

注意: スパム対策ポリシーのページにもアクセスできます。https://security.microsoft.comを使用し、Email & Collaboration > Policies & Rules > Threat policies > Anti-spamPoliciesの下でクリックします。

  1. 削除したいポリシーをクリックします。
  2. フライアウトで、Delete policyを選択し、表示される確認ポップアップでYesをクリックします。

注意: カスタムスパム対策ポリシーを削除すると、対応するスパム対策ルールも削除されます。

スパムフィルタリングのエラー管理

完璧なシステムは存在せず、良質なメールが時にスパムと定義されることがあります(偽陽性)。同時に、一部のスパムメッセージがフィルタリングポリシーを通過し、メールボックスに到達することがあります(偽陰性)。Office 365スパムフィルタのベストプラクティスを実装することで、これらの発生を可能な限り減らすことができます。

  • 適切なバルクメール設定を確認: カスタムスパム対策ポリシーで以前設定したバルククレームレベル(BCL)が、組織に適していることを確認してください。BCLは、送受信するバルクメールの数に基づいて調整できます。
  • スパムメッセージヘッダーを確認: これらは、メールが誤ってスパムとマークされた理由や、フィルタリングをスキップして気付かれずに到達した理由を理解するのに役立ちます。
  • メール認証の実装: 独自のメールドメインをお持ちの場合、DNSを構成してスパムやスプーフィングを防ぐことができます。最高の結果を得るために、利用可能なすべての認証方法(SPF、DKIM、DMARC)を使用してください。
  • MXレコードをMicrosoft 365に設定: Microsoftは、メッセージが最初にMicrosoft 365に配信されることを推奨しており、EOPで最適な保護を確保するためです。

結論

放置されると、スパムはビジネス継続性への脅威になりやすいです。このため、MicrosoftはExchange Online Protection(EOP)を通じて高度なスパム対策ツールをユーザーに提供することを確認しました。あなたは今、組織のためにスパム対策ポリシーを作成および構成し、メールボックスに届くスパムの量を制限する方法を知っています。

スパムフィルタリングは、スパムメールからメールボックスを守るのに素晴らしい仕事をしますが、フィッシングやランサムウェアなどの高度な攻撃には追加の安全対策が必要です。包括的なバックアップソリューションを持つことで、Office 365環境全体に最適な保護を確保できます。NAKIVO Backup&Replicationは、Exchange Onlineバックアップに加えて、インスタントデータ復旧とランサムウェア保護を提供します。

A complete data protection solution like NAKIVO Backup & Replication includes all the tools you need to protect Microsoft 365 user data. Get the Free Edition today!

Source:
https://www.nakivo.com/blog/configuring-office-365-spam-filter/