セキュリティ
[セキュリティ] ページでは、スパム フィルタ、ウイルス対策スキャン、ブラックリストとホワイトリストの規則を有効にして、Synology MailPlus Server とそのクライアントを保護することができます。
スパム
Synology MailPlus Server はスパムのスキャンとブロックのためにさまざまな戦略を提供して、正確な検出のために報告されたスパムからの自動学習を行います。
スパム防止エンジンを有効にする:
- [スパム] に行き、[スパム防止エンジンを有効化] にチェックを入れます。
- [スパム防止設定を編集] をクリックします。
- ポップアップで [全般] に行き、エンジン用のスパム フィルタリング ルールを定義します。
- スコアがこれ以上の場合はスパムとしてマークする:スパム スコアのしきい値を選択します。しきい値を超えたメッセージは、スパムとしてマークされます。
- スパム対象に次を追加する:チェックマークを付けて、識別されるスパム メッセージの対象として追加されるカスタム テキストを指定します。
- スパムを添付ファイルとしてカプセル化する:
- はい:スパムを新しいメッセージにカプセル化された添付ファイルとしてレポート。
- はい、プレーン テキストとして:ウェブのバグや悪意のあるスクリプトを避けるために、スパムをプレーン テキストとしてレポートします。
- 自動ホワイトリスト:チェックを入れると、Synology MailPlus のユーザーがシステム内部のホワイト リストに返信する外部の電子メール アドレスを自動的に追加します。
- SpamAssassin ルール:クリックすると SpamAssassin ルールを含む .cf ファイルをインポート/エキスポートします。SpamAssassin ルールは、特定のスパム タイプをターゲットにするオープン ソース ルールです。
- スパム フィルタのカスタマイズ:クリックして、ニーズに適したスパム フィルタをセットアップします。
- アドレス フィルタ: [作成] をクリックして、送信者と受信者のアドレスに基づいて非スパム/スパム フィルタを指定します。使用に関連したルールをインポートまたはエキスポートするには、[ツール] をクリックします。
- キーワード フィルタ:
- 作成:キーワードおよび対応するスパム スコア (スパムの可能性に対してプラスのスコアで、スパムの可能性が低いものにはマイナスのスコア) を指定します。メッセージの合計キーワード スコアがスパムのしきい値を超えると、そのメッセージはスパムとしてマークされます。[有効] フィールドでチェックボックスにチェックマークを付けて、フィルタを有効または無効にします。
- 編集:選択したフィルタを編集します。
- 削除:選択したフィルタを削除します。
- 保存:フィルタまたはグループを変更するたびに [保存] ボタンをクリックする必要があります。
- グループ設定:複数のグループを設定してキーワード フィルタを分類し、[有効] フィールドのチェックボックスをクリックすることでグループの有効および無効を設定できます。グループを作成、編集、削除するには、グループを選択し、ツールバーのボタンをクリックします。
- グループのドロップダウン メニュー:フィルタを作成する前に、ドロップダウン メニューからフィルタが属しているグループを選択する必要があります。
- スパム間隔を削除 (日数):スパム メッセージは指定された日数後に自動的に削除されます。
- スパム防止規則を自動更新:最新のスパム防止規則をダウンロードする日次スケジュールの設定にチェックを入れます。
- [適用] をクリックして、設定を保存します。
注:
- スパム検出の精度を上げるには、[自動学習] を有効にしてしばらくした後、[自動ホワイトリスト] を有効にします。
- 特殊な SpamAssassin ルールはこのウェブサイトからダウンロードできます。
- カスタマイズされた SpamAssassin ルールを作成するには、以下を行います。
- ルールを作成するときは、このウェブサイトを参照してください。
- ルールをインポート用に .cf ファイルとして保存します。
- [カスタム スパム フィルタ] で、次で説明するような条件を持つルールを設定できます。
指定した条件 |
ターゲット |
admin@domain |
Eメール アドレス [admin@domain] からのメッセージ |
admin@* |
アカウント [admin] からのメッセージがターゲットとなります |
domain |
ドメイン [domain] からのメッセージ |
*.com |
[.com] で終わるドメインからのメッセージ |
ad*@* |
[ad] で始まるアカウントからのメッセージ |
- Synology MailPlus Server 2.0.0 以降のカスタム アドレス フィルタ形式は、以前のバージョンと同じではありません。以前のバージョンのブラックリストとホワイトリストが 1 つのファイルにマージされるようになりました。規則の以前のバージョンをインポートするときに、システムは規則を決定し、インポートされた規則のファイル名に基づいてそれがホワイトリストに入るのかあるいはブラックリストに入るのかを判断します。ユーザーはファイルをインポートする前にファイル名をチェックする必要があります。システムが、規則がブラックリストに属するのかそれともホワイトリストに属するのか判断できない場合、ウィンドウがポップアップしてユーザーが判断することを求めます。
自動的スパム学習の有効化方法:
スパム防止エンジンを開始後、Synology MailPlus Server をトレーニングして、特殊なアルゴリズムによってより上手くスパムを検出できるようにします。
- [スパム] に行き、[スパム防止設定を編集] をクリックして、[自動学習] に進みます。
- [自動学習] にチェックを入れます。
- 以下のスパム スコア設定を指定する:
- スコアがこれ以上の場合はスパムとしてマークする:[全般] で設定されたスパムしきい値がここに表示されます。
- スコアがこれ以上の場合はスパムとみなす:自動学習のスパムしきい値を設定します。
- スコアがこれ以下の場合は非スパムとみなす:自動学習の非スパムしきい値を設定します。
- [スパムのレポートを有効化] を選択して、クライアント ユーザーが Synology MailPlus またはサードパーティのメール クライアント (例えば、Microsoft Outlook など) を使用してスパムおよび間違ったスパムをレポートできるようにします。
- スパムの転送先:スパムとしてレポートされた電子メール アドレスの転送先を入力してください。
- 間違ったスパムの転送先:間違ったスパムとしてレポートされた電子メール アドレスの転送先を入力してください。
- [レポートされたスパム] をクリックして、すべてのレポートされたスパムと間違ったスパムを表示し、以下のように管理します。
- 表示:クリックして、レポートされたメッセージをプレーン テキストで表示します。
- 学習:[学習] または [すべて学習] をクリックして、システムをスパム検出用にトレーニングします。
- 削除:クリックして、クライアント ユーザーによって間違って識別されたレポート済みメッセージを削除します。
- 元のメール:クリックして、レポートされたメッセージおよびそのメール ヘッダーをプレーン テキストで表示します。
- 学習スケジュールを設定するには、[レポートされたスパムを学習するための日々のスケジュールを設定] をクリックして、時間を指定します。
- [OK] をクリックして、設定を保存します。
注:
- クライアント ユーザーがサードパーティのメールクライアント (例えば、Microsoft Outlook) からスパムと間違ったスパムをレポートするのを支援するには、以下を行ってください。
- クライアント ユーザーがレポートできるよう、[スパムの転送先] および [間違ったスパムの転送先] で指定された電子メール アドレスを提供してください。
- クライアントの内蔵機能を使用して、そうしたメッセージを提供済み電子メール アドレスの添付ファイルとして転送するよう頼んでください。添付ファイルとして転送されない場合、メッセージはうまく Synology MailPlus Server に届きません。
DNSBL を有効にする:
DNSBL (DNS-based Blackhole List) は、コンピュータまたはネットワークの IP アドレスリストを基に、DNS (Internet Domain Name Service) を介して発行されたスパムをフィルタ化します。
- [スパムに対して postscreen 保護を有効化] にチェックを入れます。
- [DNSBL 設定] をクリックして、DNSBL サーバーリストを管理します。
- [作成] をクリックします。DNSBL サーバーおよび相当するスコアを入力して、[OK] をクリックします。
- [設定] をクリックします。DNSBL スコアのしきい値を入力し、[OK] をクリックします。
- これが完了すると、DNSBL サーバーがあるメールクライアントをスパム メール クライアントであるとみなした場合は、それに相当するスコアが付けられます。合計のスコアがしきい値を超えると、そのメール クライアントはブロックされます。
- [適用] をクリックして、設定を保存します。
グレイリスト機能を有効にする:
グレイリストはスパム Eメールをブロックするメカニズムです。グレイリスト機能はメール クライアントに一時的にエラーを返します。ほとんどのスパム メール クライアントは、一旦送信が拒否されると連続してそのサーバーにスパムを送信することはありませんので、スパム配信はブロックされます。しかし、非スパム メール クライアントは後からメールを再送しようとしますので、この場合はグレイリスト機能によってブロックされることはありません。この方法で、非スパム Eメールは正常に配信されます。
- [疑わしい着信メールを一時的に拒否し、スパム検出精度を高めるためにグレイリストを有効にする] にチェックマークを付けます。
- IP/ドメイン毎に異なる操作を実行するには、[グレイリストの設定] をクリックして設定を定義します。
- [作成] をクリックします。
- 規則の条件を指定します。
- IP 範囲「192.168.0.0/24」をターゲットとして指定します。
- ドメイン「example.com」をターゲットとして指定します。システムは送信者の DNS Server を通じてドメイン情報をチェックし、それがグレイリストで設定されたドメインにマッチするかどうかを確かめます。
- 操作を選択します:
- ブラックリスト:直ちに接続を終了します。
- グレイリスト:一時エラーを返します。グレイリストの時間が経過した後メール クライアントがメッセージを再送すると、メッセージは許可され、メール クライアントはホワイトリストに追加されます。
- ホワイトリスト:直ちにメッセージを受け取ります。
- [OK] をクリックします。
- デフォルトの操作とグレイリストの時間範囲を変更するには、[設定] をクリックして編集します。
- [適用] をクリックします。
注:
- グレイリスト機能を使用すると、一部のEメールの配信が遅れる場合があります。メール クライアントがグレイリスト テストに合格すると、すべてのメッセージが即座に配信されます。
ウイルス対策
ウィルス防止エンジンを実行すると、すべての送受信メッセージでウィルスをスキャンできます。メッセージに感染が見つかると、システムがメッセージを削除/隔離して、関連する受信者に通知を送信します。
ウイルス防止エンジンを有効にする:
- [セキュリティ] > [ウイルス防止] > [ウイルス防止] の順に進みます。
- [ウイルス対策エンジンを有効にする] にチェックマークを付けます。
- [エンジンを選択] に行き、ウイルス防止エンジンを選択します。
- ClamAV:無料でオープン ソースのウイルス防止エンジン
- McAfee:Synology NAS で実行される Antivirus by McAfee パッケージ (パッケージ センター から購入) を必要とするウイルス防止エンジン
- When ClamAV がウイルス防止エンジンとして選択された場合、下記の補助オプションを考慮してください。
- Google SafeBrowsing データベースを使う:システムは Google の SafeBrowsing データベースを使ってメール内の悪意あるリンクを検出します。
- 別のサードパーティのデータベースを使う:システムはサードパーティのウェブサイトからウイルス定義をダウンロードしてウイルス検出の精度を高めます。
- ウイルス定義の自動更新:設定済みの日々のスケジュールにより、ウイルス定義を更新することを選択します。
- [適用] をクリックして設定を保存します。
注:
- 512MB 以上の RAM があるモデルのみがウイルス定義を自動更新できます。
- ウイルス防止のスキャンを実行すると約300MB の RAM を消費します。
- Google の SafeBrowsing データベースまたは ClamAV 用のサードパーティのデータベースを使用すると、さらに多くのシステム メモリーが必要になる場合があります。
- McAfee ウイルス防止エンジンを調整するには、Antivirus by McAfee パッケージに行き、関連の設定を変更してください。
感染したメッセージの管理方法:
感染したメッセージが検出されると、システムはカスタム アクション ポリシーに従って反応します。
- [セキュリティ] > [ウイルス防止] > [アクション] の順に進みます。
- [ウイルス防止アクション] に行き、感染したメッセージをどのように管理するかを定義します。
- メールを削除:感染したメッセージは意図された受信者に届くことなく削除されます。
- 隔離して保存:感染したメッセージは意図された受信者に届くことなく隔離されます。[隔離リスト] をクリックして隔離されたメッセージを表示して管理します。
- 配信する:感染したメッセージは意図された受信者に届くことが許可されます。
- 感染したメッセージが削除または隔離されるときに、それについて受信者に通知が行えるようにするには、[ウイルス削除または隔離後に、受信者に通知を送信] にチェックを入れます。[テンプレート設定] をクリックして通知をカスタマイズします。
- 感染したメッセージにマークを付けるには、[感染したメールの件名に prefix を追加] を選択して、件名に表示されるテキストを指定します。
- [適用] をクリックして設定を保存します。
認証
認証メカニズムを有効にして、入ってくるEメールを認証し、スパムの数を減らすことができます。このメカニズムが有効化されると、受信される電子メールは以下の検証プロセスのすべてを通過します。検証プロセスのうちのいずれかに合格しなかった電子メールをユーザーが開いた場合、警告ダイアログが現れて電子メールの出所を確認するようユーザーに通知がされます。
SPF 認証を有効にする:
- [SPF 認証を有効にする] にチェックマークを付けると、送信者のアイデンティティを認証し、偽造された送信者アドレスを検出することができます。
- 必要であれば、[SPF ソフトフェイルを拒否] にチェックマークを付けてください。ソフトフェイルと認定されたEメールは拒否されます。
DKIM 認証を有効にする:
- [受信電子メールに DKIM 認証を有効化] にチェックを入れて、受信電子メールの有効な DKIM 署名をチェックします。DKIM によって拒絶された電子メールは、Synology MailPlus クライアントのスパム フォルダに移されます。そしてユーザーがその電子メールを見ると警告が現われます。
- [DKIM 検証用の最小キー長] の下でドロップダウン メニューから値を選択します。設定値より短い DKIM キーを持つ電子メールは拒絶されます。値を下げると、短いキーを持つ電子メールが検証にパスできるようになります。しかし、当社はより長いキー長を設定することを推奨します。これにより短いキーを持つそれほど安全でないドメインからの電子メールが検証をパスできないようになります。
DKIM 署名を有効化して DKIM ホワイト リストを作成する:
- [ドメイン] に移動し、ドメインをダブルクリックします。[詳細] ボタンをクリックします。[DKIM] セクションで、DKIM 署名を有効化すると、そのドメインからのすべての対応する発信電子メールが DKIM で署名されます。
- [セキュリティ] > [認証] > [DKIM] の順に進み、[ホワイト リスト] ボタンをクリックして、ホワイト リストで内部ホストまたはサブネットを指定します。Synology MailPlus、サードパーティのメール クライアント、およびターミナル経由で指定のソースから送信された対応する発信電子メールは、DKIM 署名を持っています。
DMARC の有効化方法:
- [DMARC を有効にする] にチェックマークを付けて、送信者のEメール ドメインを認証します。DMARC によって拒絶された電子メールは、Synology MailPlus クライアントのスパム フォルダに移されます。そしてユーザーがその電子メールを見ると警告が現われます。
- 送信するEメールが他のメール サーバーの DMARC 認証に合格するように、TXT 記録を使って DNS 記録を更新してください。TXT 記録は次のように追加されます:
- TXT 記録名:_dmarc.[あなたのドメイン]
([あなたのドメイン] はドメイン名に置き換えられます。例:_dmarc.example.com)
- TXT 記録名:v=DMARC1; p=[ドメインのポリシー]; pct=[フィルタリングの対象となるメッセージの %]; rua=[集計したレポートの URI]
(例:v=DMARC1; p=quarantine; pct=20; rua=mailto:aggrep@example.com)
コンテンツ スキャン
添付ファイルの形式によってEメールを絞り込み、危険なコンテンツを持つメッセージをスキャンするようシステムを設定することができます。
添付ファイルの形式によってEメールを絞り込む:
- [添付ファイル フィルタ] ボタンをクリックします。
- [作成] をクリックしてファイル形式を入力します。リストされている形式の添付ファイルが含まれたEメールは拒否されます。
注:
- 簡単な正規表現を使ってファイル形式を入力してください。たとえば、「vb[es]」と入力すると、vbe および vbs 形式のファイルが拒否されます。
危険なコンテンツをスキャンする:
- [危険コンテンツスキャンを有効にする] にチェックマークを付けます。
- 選択したいオプションにチェックマークを付けます。
- 一部のメッセージを拒否:これらのメッセージはウイルスや不適切なコンテンツを正しくスキャンできませんので、ウイルスの侵入を防ぐために拒否されます。
- 外部メッセージの本文を拒否:インターネット上のどこかに保管されている本文が含まれるメッセージは、他のインターネットサイトからウイルスが侵入しないようにメッセージの本文をダウンロードするときに拒否されます。
- フィッシング詐欺を強調する:フィッシング詐欺の可能性があるセクションは、メッセージ内でハイライト表示されます。
- HTML を書式のみ文書に変換:HTML メッセージに危険なタグが含まれている場合は、テキストのみの形式に変換して読めるようにした上で HTML を無害にします。
- 拒否:相当するタグが含まれるメッセージを拒否します。
- 許可:メッセージに相当するタグを許可します。
- タグを無効にする:メッセージに相当するタグを許可しますが、それらを無害な状態にしてテキストを読めるようにします。
- [適用]をクリックして設定を保存します。