McAfee Security for Microsoft Exchange 8.6.0

メール URL レピュテーションを設定する

メール本文で不正な URL を検出するには、[メール URL レピュテーション] で設定を行います。

有効にすると、MSME はメール本文の URL をスキャンしてレピュテーション スコアを取得します。このスコアと定義済みのしきい値を比較して、該当するアクションを実行します。

組織内に入る前にメール本文から不正な URL が削除されます。 電子メールに複数の URL が存在している場合、その中の 1 つのスコアが定義済みのしきい値を超えていると、設定に従って電子メールにアクションが実行されます。

この機能を有効にすると、サービス拒否 (DoS) 攻撃、フィッシング詐欺リンク、マルウェアが存在する URL、不要な URL からシステムを保護できます。

メール URL レピュテーション機能は次のポリシーで使用できます。
[オンアクセス]
[オンデマンド (デフォルト)]
[オンデマンド (フル スキャン)]
ソフトウェアのインストール時に選択したオプションに応じて、ポリシーのデフォルトでメール URL レピュテーションが有効または無効になっています。
[デフォルトの設定] - すべてのポリシーで無効になっています。
[拡張設定] - オンアクセス スキャン ポリシーでのみ有効になっています。

[メール URL レピュテーション] を最初に有効にするときに、URL のローカル キャッシュが McAfee GTI サーバーからダウンロードされます。

URL ごとにローカル データベースに記録されているレピュテーション スコアが確認され、設定に従って適切なアクションが実行されます。 ローカル データベースでレピュテーション スコアが使用できない場合、McAfee GTI サーバーからスコアが取得されます。 McAfee GTI サーバーに定期的に接続され、ローカル データベースが更新されます。 ローカル データベースが 30 日間更新されていない場合、次回の更新処理でデータベース全体がダウンロードされます。 それ以外の場合は差分更新になります。 デフォルトでは、ローカル データベースは 1 日に 1 回更新されます。 データベースの保存場所は変更できません。

サーバーがインターネットに直接接続する必要があるため、ePolicy Orchestrator 経由でローカル データベースを更新することはできません。 ただし、スパム対策ルールのダウンロードにプロキシ サーバーを使用している場合、URL データベースのダウンロードにも同じ設定を使用できます。
タスク
1 [ポリシー マネージャー] で、[メール URL レピュテーション] のスキャナーが存在するサブメニュー項目を選択します。
[メール URL レピュテーション] は、[オンアクセス][オンデマンド (デフォルト)][オンデマンド (フル スキャン)] ポリシーでのみ使用できます。
2 [マスター ポリシー] または設定する [サブポリシー] をクリックします。[全スキャナ一覧] タブをクリックして、[メール URL レピュテーション] をクリックします。
3 [アクティブ化] で、[有効] を選択します。
サブポリシーの設定を構成する場合、[親ポリシーからの設定を使用] を選択すると親ポリシーから設定を継承できます。
スキャナーをポリシーに追加する場合、[これをいつ適用しますか] ドロップダウン リストでスキャナーを有効にする時間を指定できます。
4 [オプション] ドロップダウン メニューから次を選択できます。
[デフォルトのメール URL 設定] - デフォルトのしきい値を適用します。
[新しいオプション セットを作成] - 必要に応じて、しきい値を定義します。
既存の設定を編集する場合には、[インスタンス名] にスキャナーの設定に固有の名前を入力してください。
5 スキャナーの設定を削除するには、[新しいオプション セットを作成] を選択します。
6 [メール URL レピュテーション] ページで次の値を定義し、[保存] をクリックします。
[インスタンス名] [低い方の URL レピュテーションしきい値]
[高い方の URL レピュテーションしきい値] [電子メール 1 通あたりの URL の最大数]
[高い方の URL レピュテーションしきい値] の値は、[低い方の URL レピュテーションしきい値] の値よりも常に大きくする必要があります。

URL が複数回出現する場合、出現回数に関係なく、この URL は 1 つとして計算されます。 たとえば、電子メールに 50 個の URL があり、その中の 1 つが 20 個あるとすると、URL の合計は 50 ではなく 31 となります。

7 [実行するアクション] セクションで [編集] をクリックして、アクションを定義します。
デフォルトの設定を使用することもできます。
8 [メール URL レピュテーションのアクション] ページで、[メール URL レピュテーション スコアが高い方のしきい値を超えている場合][メール URL レピュテーション スコアが低い方のしきい値を超えている場合][メール URL の参照回数が制限を超えている場合] の設定を定義します。
a [次のアクションを実行] ドロップダウン リストから、以下のいずれかを選択します。
[アイテムをアラームに置き換える].
[メッセージを削除する].
[通過させる].
[アイテムをアラームに置き換える] を選択した場合には、アラームの形式を選択します。
[デフォルトのメール URL レピュテーション アラート] - デフォルトのアラート メッセージを使用します。
[作成] - 必要に応じて、アラート メッセージを定義します。 [アラート名] に固有の名前を入力して、アラート メッセージを定義します。[表示] ドロップダウン リストからテキストの形式を定義し、[保存] をクリックします。
アラートはテキスト形式で保存するようにしてください。他の形式にすると、メール クライアントによっては正しく表示されない場合があります。
b [次も] セクションで、次のオプションを定義します。
[ログ] [内部送信者に通知]
[隔離] [外部送信者に通知する]
[隔離された電子メールの転送] [内部受信者に通知]
[管理者に通知] [外部受信者に通知する]
各オプションの定義については、「検出時に実行可能なアクション」を参照してください。
9 [保存] をクリックして設定を適用し、ポリシー設定ページに戻ります。
10 [適用] をクリックし、これらの設定をポリシーに実装します。
検出された URL は、[メール URL レピュテーション] ページの [検出アイテム] で確認できます。 [結果の表示] セクションで、検出された URL のリストを確認できます。 [禁止する語句] 列の [ブロックされた URL] をクリックして、詳細ビューを開きます。

高い方または低い方の URL レピュテーションしきい値の例

[高い方の URL レピュテーションしきい値]80 を設定し、[低い方の URL レピュテーションしきい値]50 を設定します。 URL のレピュテーション スコア:
GTI レピュテーション スコア アクション
80 より大きい メール URL レピュテーションの設定に従ってアクションを実行します。
50 より小さい MSME はこの URL を含む電子メールを許可します。
50 から 80 MSME は、不審な URL と見なし、設定に従ってアクションを実行します。
しきい値に [非常に疑わしい] を設定すると、最も危険な大半の URL が検出されます。 しきい値を低くすると、誤検知が増える可能性があります。 誤検知 - データベースで不正な可能性があると評価された URL が実際には正規の URL である場合。