送信者ドメイン レピュテーション フィルタリングの概要
Cisco Talos の送信者ドメインレピュテーション(SDR)は、電子メールのエンベロープおよびヘッダーに入力されたドメインに基づいて、電子メールメッセージのレピュテーション判定を提供するクラウドサービスです。たとえば、HELO/EHLO 文字列、エンベロープとヘッダーの「From」アドレス、「Reply-to」アドレス、および「List-Unsubscribe」ヘッダーに含まれるドメインが使用されます。
ドメイン ベースのレピュテーション分析では、共有 IP、ホスティングまたはインフラストラクチャ プロバイダーのレピュテーションよりも詳しい情報を調べることでより高いスパム検出率を達成し、完全修飾ドメイン名(FQDN)や Simple Mail Transfer Protocol(SMTP)通信およびメッセージ ヘッダーのその他の送信者情報に関連する特徴に基づいて判定を取得します。
AsyncOS 14.2.x リリース以降、送信者のドメインの期間経過オプションは、送信者の成熟度に置き換えられます。送信者の成熟度は、送信者のレピュテーションを確立するための重要な機能です。送信者の成熟度は、スパムを分類するために、複数の情報源に基づいて自動的に生成され、「Whois-based domain age」とは異なる場合があります。送信者の成熟度は 30 日の制限に設定されており、この制限を超えるとドメインは電子メール送信者として成熟していると見なされてそれ以上の詳細は提供されません。
このリリース以降、メッセージの送信者ヘッダーを受信した後に、追加の送信者ドメイン レピュテーション チェックが実行されます。(電子メールゲートウェイで)構成された SDR 拒否レベルに一致する脅威レベルのメッセージは拒否されます。
(注) |
このリリース以降、[SDR ドメインのエージ(SDR Domain Age)] 設定済みフィルタは、[SDR 送信者の成熟度(SDR Sender Maturity)] フィルタに自動的に更新されます。[送信者の成熟度(Sender Maturity)] の値が無効なフィルタは、アップグレード後に「非アクティブ」としてマークされます。メッセージまたはコンテンツフィルタを確認し、適宜変更してください。 |
(注) |
送信者の成熟度機能は、電子メールゲートウェイの現在の時刻を使用して、ログに送信者の成熟度情報を表示し、必要なフィルター条件と照合します。電子メールゲートウェイがタイムゾーンに基づいた正しい時刻で設定されていることを確認してください。 |
AsyncOS 14.2.x リリースにアップグレードすると、コンテンツまたはメッセージフィルタ、レポート、およびメッセージトラッキングの従来の SDR 判定は、次のように新しい SDR 判定に置き換えられます。
-
信頼できない
-
要検討
-
ニュートラル
-
好ましい
-
信頼できる
-
不明
新しい SDR 判定ごとに実行できる推奨されるアクションの詳細については、「SDR 判定」を参照してください。
詳細については、シスコのカスタマー連携プログラム(http://www.cisco.com/go/ccp)のセキュリティ トラックで、Cisco Talos の送信者ドメイン レピュテーション(SDR)のホワイト ペーパーをご覧ください。
(注) |
|
SDR 判定
以下の表に、SDR 判定の名前、説明、推奨処置を記載します。
判定名 |
説明 |
推奨処置 |
---|---|---|
信頼できない |
最も問題のあるレピュテーション判定です。 最も安全な推奨されるブロッキングしきい値です。ブロッキングのしきい値がこの判定のみに設定されている場合、検出漏れ(FN)が発生し、セキュリティよりも配信が優先されます。 |
メッセージをブロックする。 |
要検討 |
この判定は、誤検出(FP)率が低く、比較的安全ですが、すべての組織にとって安全であるとは限りません。 この判定でブロッキングをしない場合はセキュリティよりも配信が優先されますが、結果的に検出漏れが発生することになります。 |
電子メールゲートウェイに設定されている他のエンジンでメッセージをスキャンする。ブロックは確認後にのみ行います。詳細については、送信者ドメイン レピュテーション ポリシーの調整を参照してください。 |
ニュートラル |
正当なドメインと混合使用のドメインに割り当てられる最も一般的な判定であり、好ましい判定を受けることを妨げる脆弱性指標が関連付けられます。 |
電子メールゲートウェイに設定されている他のエンジンでメッセージをスキャンする。 |
好ましい |
送信者は、新しいドメインではない公正なドメインを使用しています。送信者は、SPF の使用、DKIM 署名、DMARC の使用、スパムを送信しないなど、送信者のベストプラクティスに従っています。 |
電子メールゲートウェイに設定されている他のエンジンでメッセージをスキャンする。 |
信頼できる |
送信者が、メッセージが DKIM によって認証される(「From:」ヘッダードメインに並列)認定済みのドメインを使用している稀な判定です。 |
メッセージを許可します。 後続のエンジンをバイパスする方法の詳細については、「skip-spamcheck」、「skip-viruscheck」などのメッセージフィルタルールを使用します。 メッセージ フィルタを使用した電子メール ポリシーの適用の「メッセージ フィルタ アクション」セクションを参照してください。 |
不明(Unknown) |
送信者は、SDR が認識しないドメイン、またはレピュテーションの確立に使用できないドメインを使用しています。 |
電子メールゲートウェイに設定されている他のエンジンでメッセージをスキャンする。 |