セキュリティ
[セキュリティ] ページでは、スパム フィルタ、ウイルス対策スキャン、ブラックリストとホワイトリストを有効にして、Synology MailPlus Server とそのクライアントを保護することができます。
スパム対策
スパム フィルをセットアップして、自動学習を構成し、正確で柔軟なスパム検知ができるようにします。
スパム対策エンジンを有効にする:
柔軟なスパム コントロールのための一般的なスパム対策設定を編集してください。
- [スパム対策] に行き、[スパム対策エンジンを有効にする] にチェックを入れます。
- [アップデート設定] をクリックして、最新のスパム対策規則をダウンロードする日次スケジュールを設定します。また [手動アップデート] をクリックして直ちにアップデートすることもできます。
- [スパム コントロール] 下では、次のようなオプションを見つけることができます。
- スパム対象に次を追加する:カスタム テキストをスパム メッセージの件名に加えて、容易に識別できるようにします。
- 自動ホワイトリスト:MailPlus のユーザーが、外部の電子メール アドレスに応答したことがある場合、そのアドレスからの電子メールのスパム スコアは 4 ポイント下がります。
- スパムを添付ファイルとしてカプセル化する:スパムを新しいメッセージにカプセル化された添付ファイルとしてレポート。ウェブのバグや悪意のあるスクリプトを避けるために、[プレーン テキストとしてのみ] を選択できます。
- スパム メッセージをどれくらいの期間保存するかを [スパムの削除間隔 (日)] に指定します。スパム メッセージは指定された日数後に自動的に削除されます。
- 設定を保存して基本構成を完了します。カスタム規則およびフィルタを作成するには以下のセクションを参照してください。
高度なスパム対策設定を構成する:
フィルタを作成して、スパム対策エンジンをカスタマイズする規則を定義します。
- [スパム対策] を選択します。
- [スパム コントロール] の下で、[カスタム スパム フィルタ] をクリックして以下の2種類のフィルタをセットアップします。
- アドレス フィルタ:[作成] をクリックして、送信者と受信者のアドレスに基づいて非スパム/スパム フィルタを追加します。使用に関連したルールをインポートまたはエキスポートするには、[ツール]をクリックします。
- 添付ファイルフィルタ:[作成] をクリックして、添付ファイル タイプに基づいてスパム フィルタを追加します。
- また、[スパム コントロール] の下で、[詳細設定] をクリックして以下の設定を編集します。
- スコアがこれ以上の場合はスパムとしてマークする:スパム スコアのしきい値を選択します。しきい値を超えたメッセージは、スパムとしてマークされます。
- SpamAssassin ルール:SpamAssassin ルールは、特定のスパム タイプをターゲットにするオープン ソース ルールです。ボタンをクリックすると SpamAssassin ルールを含む .cf ファイルをインポート/エキスポートします。
- キーワード フィルタ:
- [作成] をクリックして、キーワードおよび対応するスパム スコア (スパムの可能性に対してプラスのスコアで、スパムの可能性が低いものにはマイナスのスコア) を指定します。
- [適用] チェックボックスにチェックマークを付けて、フィルタを有効または無効にします。
- [グループ設定] をクリックして、複数のキーワード フィルタをグループにすると、フィルタのグループを全体として素早く有効または無効にできます。
- [グループ] ドロップダウン メニューからグループを選び、異なるグループの間で切り替えることができます。
- フィルタまたはグループに変更をするたびに [保存] ボタンをクリックする必要があります。
- 設定を保存します。
自動的スパム学習の有効化方法:
MailPlus Server を学習させると、特殊なアルゴリズムによりスパムをよりうまく検出できるようになります。
- [スパム対策] を選択します。
- [スパム コントロール] の下で、[詳細設定] > [自動学習] の順に進みます。
- [自動学習] を有効化します。
- 以下のスコア設定を指定:
- スコアがこれ以上の場合はスパムとしてマークする:[全般]タブで設定されたスパムしきい値はここに表示されます。
- スコアがこれ以上の場合はスパムとみなす:自動学習のスパムしきい値を設定します。
- スコアがこれ以下の場合は非スパムとみなす:自動学習の非スパムしきい値を設定します。
- [スパムのレポートを有効化] を選択して、クライアント ユーザーが Synology MailPlus またはサードパーティの電子メール クライアント (例えば、Microsoft Outlook など) を使用してスパムおよび間違ったスパムをレポートできるようにします。
- スパムの転送先:報告されたスパムが送られるべき電子メール アドレスを入力してください。
- 間違ったスパムの転送先:報告された間違ったスパムが送られるべき電子メール アドレスを入力してください。
- [レポートされたスパム] をクリックして、すべてのレポートされたスパムと間違ったスパムをチェックし、以下のように管理します。
- 表示:クリックして、レポートされたメッセージをプレーン テキストで表示します。
- [学習] と [すべて学習]:クリックして、よりよいスパム検出のためにシステムに学習をさせます。
- 削除:クリックして、クライアント ユーザによって間違って識別されたレポート済みメッセージを削除します。
- 元のメール:クリックして、レポートされたメッセージおよびその電子メール ヘッダーをプレーン テキストで表示します。
- [レポートされたスパムを学習するための日々のスケジュールを設定] にチェックを入れて学習のアクティビティをスケジュールします。
- 設定を保存します。
注:
- スパム検出の精度を上げるには、[自動学習] を有効にしてしばらくした後、[自動ホワイトリスト] を有効にします。
- SpamAssassin ルールはこのウェブサイトからダウンロードできます。
- カスタマイズされた SpamAssassin ルールを作成するには、以下を行います。
- ルールを作成するには、このウェブサイトを参照してください。
- ルールをインポート用に .cf ファイルとして保存します。
- [カスタム スパム フィルタ]では、次のパターンを使用して、ルールを設定することができます:
パターン |
対象 |
admin@domain |
Eメール アドレス [admin@domain] からのメッセージ |
admin@* |
アカウント [admin] からのメッセージ |
domain |
ドメイン [domain] からのメッセージ |
*.com |
[.com] で終わるドメインからのメッセージ |
ad*@* |
[ad] で始まるアカウントからのメッセージ |
- 簡単な正規表現を使ってファイル形式を入力してください。たとえば、「vb[es]」と入力すると、vbe および vbs 形式のファイルが拒否されます。
- クライアント ユーザーがサードパーティの電子メール クライアント (例えば、Microsoft Outlook) からスパムと間違ったスパムをレポートするのを支援するには、以下を行ってください。
- クライアント ユーザーに、[スパムの転送先] および [間違ったスパムの転送先] で指定された電子メール アドレスを提供してください。
- クライアントの内蔵機能を使用して、そうしたメッセージを提供済みアドレスの添付ファイルとして転送するよう頼んでください。添付ファイルとして転送されない場合、メッセージは MailPlus Server に届きません。
- MailPlus Server が自動学習をスパム検出に結果を適用するには、少なくとも200件のスパムと非スパムがそれぞれ報告される必要があります。
DNSBL を有効にする:
DNSBL (DNS-based Blackhole List) は、コンピュータまたはネットワークの IP アドレスを基に、DNS (Internet Domain Name Service) を介して発行されたスパムをフィルタ化します。
- [スパム対策] を選択します。
- [DNSBL] の下で、[スパムに対して postscreen 保護を有効化] にチェックを入れます。
- [DNSBL 設定] をクリックして、サーバー リストを管理します。
- [作成]をクリックします。DNSBL サーバーおよび相当するスコアを入力します。
- [設定] をクリックします。電子メール クライアントの総スコアがここで指定された値を超過する場合に、サービスを却下するために [DNSBLスコアしきい値] を入力してください。
- 設定を保存します。
グレイリスト機能を有効にする:
新しいメッセージがあると、システムは同じ IP アドレス、送信者あるいは受信者の記録があるかどうかをチェックします。記録が見つからなければ、メッセージは疑わしいと考えられます。また、エラー メッセージは送信者に送り返されて、後でメッセージを再び送ることを送信者に要求します。一般に、通常の送信者は、再び後でメッセージを送ろうとしますが、ほとんどのスパム送信者は送ることを諦めるでしょう。2つの異なる反応に基づき、グレイリスト機能がスパムをブロックします。
- [スパム対策] を選択します。
- [グレイリスト] の下で、[疑わしい着信メールを一時的に拒否し、スパム検出精度を高めるためにグレイリストを有効にする] にチェックマークを付けます。
- 異なる IP アドレスあるいはドメインからのメッセージに異なるアクションを適用するには、[グレイリスト設定] をクリックしてください。
- [作成]をクリックします。
- ルール基準の指定:
- ソース:「192.168.0.0/24」などの IP 範囲を入力してください。
- ドメイン:「example.com」などのドメイン名を入力してください。システムは送信者の DNS 情報をチェックし、それがグレイリストで設定されたドメイン名にマッチするかどうかを確かめます。
- 操作を選択します:
- ブラックリスト:直ちに接続を終了します。
- グレイリスト:一時エラーを返します。グレイリストの時間が経過した後電子メール クライアントがメッセージを再送すると、メッセージは許可され、電子メール クライアントは将来の認識用にホワイトリストに追加されます。
- ホワイトリスト:直ちにメッセージを受け取ります。
- デフォルト アクションおよびグレイリスト期間を編集するには、[設定] をクリックします。
- 設定を保存します。
注:
- グレイリスト機能を使用すると、一部の電子メールの配信が遅れる場合があります。
- 電子メール クライアントがグレイリスト テストに合格すると、すべてのメッセージが即座に配信されます。
アンチウイルス
アンチウィルス エンジンを実行すると、すべての送受信メッセージでウィルスをスキャンできます。メッセージに感染が見つかると、システムがメッセージを削除または隔離して、関連する受信者に通知を送信します。
アンチウイルス エンジンを有効にする:
- [アンチウイルス] を選択します。
- [アンチウイルス エンジンを有効化] にチェックを入れます。
- 以下のいずれかのアンチウイルス エンジンを選択します:
- ClamAV:無料でオープン ソースのウイルス防止エンジン
- McAfee:Synology NAS で実行される Antivirus by McAfee (パッケージ センター から購入) を必要とする有料のアンチウイルス エンジン
- [アップデート設定] をクリックして、ウイルス定義をアップデートする日次スケジュールを設定します。また [手動アップデート] をクリックして直ちにアップデートすることもできます。
- ClamAV がアンチウイルス エンジンとして選択された場合、下記の補助オプションを考慮してください。
- Google Safe Browsing データベースを使用して、電子メール内の悪意のあるリンクを検出する
- サードパーティのデータベースを使用して、提供されているウイルス定義をダウンロードする
- 設定を保存します。
注:
- セキュリティ エンジンのスムーズな実行を確保するために、少なくとも 2GB RAM を持つ Synology NAS モデルを使用することをお勧めします。
- アンチウイルスのスキャンを実行すると約300MB の RAM を消費します。
- Google Safe Browsing データベースまたは ClamAV 用のその他のサードパーティのデータベースを使用すると、さらに多くのメモリが必要になる場合があります。
- McAfee エンジンを調整する必要がある場合、[Antivirus by McAfee] を起動して関連の設定を編集してください。
感染したメッセージの管理方法:
感染したメッセージが検出されると、システムはユーザー定義のポリシーに従って反応します。
- [アンチウイルス] を選択します。
- [アンチウイルス アクション] メニューから、感染したメッセージで何を行うかを決めてください。
- メールを削除:メッセージを削除します。メッセージは意図した受信者へ送信されません。
- 隔離して保存:メッセージを隔離します。メッセージは意図した受信者へ送信されません。隔離されたメッセージを表示して管理するには、ページ下部の [隔離リスト] をクリックしてください。
- 配信する:メッセージが意図した受信者に届くことを許可します。
- 感染したメッセージにマークを付けるには、[感染したメールの件名に prefix を追加] にチェックを入れて、メッセージの件名に表示されるテキストを指定します。
- 感染したメッセージが削除または隔離されるときに、それについて受信者に通知が行えるようにするには、[ウイルス削除または隔離後に、受信者に通知を送信] にチェックを入れます。通知内容を定義するには、[テンプレート設定] をクリックしてください。
- 設定を保存します。
認証
認証メカニズムを適用して、入ってくる電子メールを認証し、スパムの数を減らします。認証を有効化すると、受信電子メールはすべての認証プロセスを経る必要があります。認証に合格しなかった電子メールをユーザーが開いた場合、警告メッセージが現れて、疑わしい電子メールを確認するようユーザーに通知がされます。
SPF 認証を有効にする:
- [認証] に進みます。
- [SPF 認証を有効にする] にチェックマークを付けると、送信者のアイデンティティを認証し、偽造された送信者アドレスを検出することができます。
- [SPF ソフトフェイルを拒否] にチェックを入れて、ソフトフェイル認証結果のある電子メールを拒否します。
- 設定を保存します。
DKIM 認証を有効にする:
- [認証] に進みます。
- [受信電子メールに DKIM 認証を有効化] にチェックを入れて、受信電子メールの有効な DKIM 署名をチェックします。DKIM によって拒絶された電子メールは、MailPlus クライアントのスパム フォルダに移されます。そしてユーザーがその電子メールを見ると警告が現われます。
- [DKIM 検証用の最小キー長] の下でドロップダウン メニューから値を選択します。設定値より短い DKIM キーを持つ電子メールは拒絶されます。値を下げると、短いキーを持つ電子メールが検証にパスできるようになります。従って、当社はより長いキー長を設定することを推奨します。これにより短いキーを持つそれほど安全でないドメインからの電子メールが検証をパスできないようになります。
- 設定を保存します。
DKIM 署名を有効化して DKIM ホワイト リストを作成する:
- [ドメイン] に移動し、使用するドメインをダブルクリックします。
- [全般] タブで [詳細設定] をクリックします。
- [発信電子メールの DKIM 署名を有効化] にチェックを入れて、ドメインからのすべての電子メールが DKIM 署名を持つようにします。
- [セキュリティ] > [認証] > [DKIM] の順に進み、[ホワイト リスト] ボタンをクリックして、ホワイト リストに内部ホストまたはサブネットを追加します。Synology MailPlus、サードパーティの電子メール クライアント、またはターミナル経由で指定のソースから送信された発信電子メールは、すべて DKIM 署名を持っています。
- 設定を保存します。
DMARC の有効化方法:
- [認証] に進みます。
- [DMARC を有効にする] にチェックマークを付けて、送信者のEメール ドメインを認証します。DMARC によって隔離された電子メールは、MailPlus クライアントのスパムフォルダに移されます。そしてユーザーがその電子メールを見ると警告が現われます。
- 送信する電子メールが他の電子メール サーバーの DMARC 認証に合格するように、TXT 記録を使って DNS 記録を更新してください。TXT レコードは次のように追加されます:
- TXT 記録名:_dmarc.[あなたのドメイン]
[あなたのドメイン] は実際のドメイン名に置き換えられます。例:_dmarc.example.com
- TXT 記録値:v=DMARC1; p=[ドメインのポリシー]; pct=[フィルタリングの対象となるメッセージの %]; rua=[集計したレポートの URI]
例:v=DMARC1; p=quarantine; pct=20; rua=mailto:aggrep@example.com
コンテンツ スキャン
危険なコンテンツが含まれていないか、システムにメッセージをスキャンさせることができます。
危険なコンテンツをスキャンする:
- [コンテンツ スキャン] に進みます。
- [危険コンテンツスキャンを有効にする] にチェックマークを付けます。
- 下記の希望のオプションを有効化します。
- 一部のメッセージを拒否:これらのメッセージはウイルスや不適切なコンテンツを正しくスキャンできませんので、ウイルスの侵入を防ぐために拒否されます。
- 外部メッセージの本文を拒否:インターネット上のどこかに保管されている本文が含まれるメッセージは、ウイルスが侵入しないようにメッセージの本文をダウンロードするときに拒否されます。
- フィッシング詐欺を強調する:フィッシング詐欺の可能性があるセクションは、ユーザーにリスクを知らせるためハイライト表示されます。
- HTML を書式のみ文書に変換:HTML メッセージに危険なタグが含まれている場合は、テキストのみの形式に変換して受信者が読めるようにした上でメッセージを無害にします。
- 各タグに対して次のアクションのうちの1つを選んでください。
- 拒否:相当するタグが含まれるメッセージを拒否します。
- 許可:相当するタグが含まれるメッセージを送信します。
- タグを無効にする:対応するタグを、そのタグの効果をなくした後で、そのタグを含んでいるメッセージを送信します。これにより受信者は内容を見ることができます。
- 設定を保存します。