Cisco IronPort AsyncOS 7.3 for Email 日常 管理ガイド
検疫
検疫
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

検疫

検疫の概要

検疫の種類

システム検疫

IronPort スパム検疫

グラフィカル ユーザ インターフェイス(GUI)を使用したシステム検疫の管理

システム検疫の設定

システム検疫用のスペースの割り当て

保存期間

デフォルト アクション

[Overflow Messages]

ユーザおよびユーザ グループ

システム検疫の作成

システム検疫の編集

システム検疫の削除

システム検疫内のメッセージの操作

システム検疫内のメッセージの表示

検疫エリア内のメッセージの処理

検疫されたメッセージおよび国際文字セット

メッセージ アクションおよびメッセージ内容の表示

一致した内容の表示

メッセージ アクションの選択

メッセージのコピーの送信

ウイルスの検査

添付ファイルのダウンロード

システム検疫の検索

マルチユーザ アクセスとシステム検疫

マルチユーザ アクセスの設定

マルチユーザ アクセスと複数の検疫エリア内のメッセージ

システム検疫とウイルス スキャン

システム検疫とアラート

システム検疫とロギング

ウイルス感染フィルタ機能と Outbreak 検疫

[Manage by Rule Summary] リンク

IronPort への送信

IronPort スパム検疫機能の設定

ローカルの IronPort スパム検疫のイネーブル化とディセーブル化

ローカルの IronPort スパム検疫のディセーブル化

ローカルの IronPort スパム検疫から外部の検疫への移行

IronPort スパム検疫の設定

スパム検疫の設定

IronPort スパム検疫へのアクセス

スパム通知

ローカルの IronPort スパム検疫の設定

ローカルの IronPort スパム検疫用のスパム検疫設定

エンド ユーザ検疫へのアクセスの設定

スパム通知の設定

外部の IronPort スパム検疫の設定

外部の IronPort スパム検疫の追加

外部の IronPort スパム検疫の編集

外部の IronPort スパム検疫の削除

IP インターフェイス上での IronPort スパム検疫 HTTP/S サービスのイネーブル化

メール ポリシーの IronPort スパム検疫のイネーブル化

導入上の考慮事項

ディスク スペース

IronPort スパム検疫にアクセスするエンド ユーザ

設定例

通知のテスト

エンド ユーザでの通知の確実な受信

複数の通知の受信

各ユーザに対して存在するメッセージの確認

検疫対象のメールのアドレスを制限

デフォルト エンコーディング

IronPort スパム検疫内のメッセージの管理

IronPort スパム検疫内でのメッセージの検索

IronPort スパム検疫内のメッセージの表示

IronPort スパム検疫内のメッセージの配信

IronPort スパム検疫からのメッセージの削除

セーフリストとブロックリストの利用

セーフリスト/ブロックリスト データベース

セーフリストとブロックリストの作成およびメンテナンス

セーフリストとブロックリストのメッセージ配信

セーフリストとブロックリストの作成およびメンテナンスを行うための管理者作業

セーフリスト/ブロックリスト設定のイネーブル化と設定

セーフリスト/ブロックリスト データベースのバックアップと復元

セーフリストとブロックリストの設定とデータベースの同期

セーフリストとブロックリストのトラブルシューティング

セーフリストとブロックリストを設定するためのエンド ユーザ作業

セーフリストとブロックリストへのアクセス

セーフリストへのエントリの追加

ブロックリストへのエントリの追加

検疫

検疫とは、メッセージを保管し、処理するために使用される特別なキューまたはリポジトリです。IronPort AsyncOS では、着信または発信のメッセージを 2 種類の検疫(「システム」と「IronPort スパム」)のうちのいずれかに入れることができます。

検疫エリア内のメッセージは、配信または削除ができます。検疫は、作成、変更、および削除できます。検疫にはユーザを関連付けられます。それぞれの検疫の内容を表示したり、検疫エリア内に特定のメッセージがないか検索したり、メッセージのコピーを送信したりできます。

この章は、次の内容で構成されています。

「検疫の概要」

「グラフィカル ユーザ インターフェイス(GUI)を使用したシステム検疫の管理」

「システム検疫内のメッセージの操作」

「IronPort スパム検疫機能の設定」

「セーフリストとブロックリストの利用」

検疫の概要

メッセージが IronPort アプライアンスによって処理されるとき、さまざまなアクションが適用されます。フィルタがメッセージに適用されたり、スパムまたはウイルスがないかメッセージがスキャンされたり、ウイルス感染フィルタ機能によってメッセージがスキャンされたりします。これらのアクションにより、設定に従ってメッセージを検疫できます。

検疫の種類

IronPort スパム検疫は、エンド ユーザ宛のスパムまたはその疑いのあるメッセージを保管するために使用される特別な種類の検疫です。エンド ユーザとはメール ユーザのことであり、AsyncOS の外部に存在します。IronPort スパム検疫はローカルに設置して、IronPort アプライアンス上に保管できます。また、メッセージを外部の IronPort スパム検疫に送信して、別の IronPort アプライアンス上に保管することもできます。IronPort スパム検疫には、AsyncOS 管理者およびエンド ユーザ(AsyncOS ユーザではない)のどちらからもアクセスできます。

システム検疫(前のバージョンから変更なし)は、AsyncOS によって実施されるさまざまなアクション(フィルタリング、アンチウイルス スキャン、ウイルス感染フィルタなど)に基づいてメッセージを保管するために使用されます。

システム検疫

通常、メッセージはフィルタ アクションによってシステム検疫に入れられます。さらに、ウイルス感染フィルタ機能により、不審なメッセージは Outbreak 検疫に検疫されます。システム検疫は、メッセージを自動的に処理するように設定されています。つまり、メッセージは、送信先の検疫の設定(詳細については、「システム検疫の設定」を参照)に基づいて配信または削除されます。自動化されたプロセスの他に、指定されたユーザ(メール管理者、人事担当部門、法務部門など)が検疫された内容を確認し、各メッセージの解放、削除、またはコピーの送信を実行することもできます。解放されたメッセージは、ウイルスに感染されていないかスキャンされます(その特定のメール ポリシーに対してアンチウイルスがイネーブルになっている場合)。

システム検疫は、次の目的に適しています。

ポリシーの実施:メッセージが配信される前に、人事部門または法務部門がそれらに不快な情報や秘密情報が含まれていないか確認します。

Virus 検疫:アンチウイルス スキャン エンジンによってスキャン不可能とマークされたメッセージ(または暗号化メッセージや感染メッセージなど)を保管します。

ウイルス感染フィルタ機能のための基盤の提供:ウイルス拡散防止フィルタ機能によってフラグが設定されているメッセージを、ウイルス アップデートがリリースされるまで保管します。ウイルス感染フィルタ機能の詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「Virus Outbreak Filters」を参照してください。

IronPort アプライアンスには、ライセンスされている機能に応じていくつかの検疫が事前に設定されます。なお、Policy 検疫は、ライセンスに関係なくデフォルトで作成されます。

Outbreak:ウイルス感染フィルタ機能によって使用される検疫です。ウイルス感染フィルタ機能ライセンス キーが有効化されている場合に作成されます。

Virus:アンチウイルス エンジンによって使用される検疫です。アンチウイルス ライセンス キーが有効化されている場合に作成されます。

Policy:デフォルトの検疫です(たとえば、確認を必要とするメッセージを保管するためにこの検疫を使用します)。

その他の検疫を追加、変更、削除する方法の詳細については、「グラフィカル ユーザ インターフェイス(GUI)を使用したシステム検疫の管理」を参照してください。

システム検疫に対するアクセスおよび操作には、Graphical User Interface(GUI; グラフィカル ユーザ インターフェイス)または Command Line Interface(CLI; コマンドライン インターフェイス)の quarantineconfig コマンドを使用します。


) システム検疫用の Command Line Interface(CLI; コマンドライン インターフェイス)では、GUI で使用可能な機能の一部が提供されます(『Cisco IronPort AsyncOS CLI Reference Guideを参照)。


IronPort スパム検疫

AsyncOS は、スパムおよびその疑いのあるものを IronPort スパム検疫に送信するように設定できます。また、スパムおよびその疑いのあるメッセージが検疫されたことをユーザに通知する電子メールを送信するように、システムを設定することもできます。この通知には、IronPort スパム検疫に現在入っているそのユーザ宛のメッセージの要約が含まれます。ユーザは、メッセージを確認し、それらを自分の受信箱に配信するか、それとも削除するかを決定できます。また、検疫されているメッセージ全体を検索することもできます。ユーザはこの通知を利用して検疫にアクセスできますが、Web ブラウザから直接アクセスすることもできます(この場合は認証が必要です。「エンド ユーザ検疫へのアクセスの設定」を参照)。

システムは、自己メンテナンスするように設定できます。つまり、検疫のスペースを使い果たすことがないように、定期的に IronPort スパム検疫からメールを自動削除します。IronPort スパム検疫は、エンド ユーザ宛のスパムおよびその疑いのあるメッセージを保管することを目的として使用されます。

IronPort スパム検疫の詳細については、「IronPort スパム検疫内のメッセージの管理」を参照してください。

グラフィカル ユーザ インターフェイス(GUI)を使用したシステム検疫の管理

Graphical User Interface(GUI; グラフィカル ユーザ インターフェイス)にログインし、[Monitor] タブをクリックします(GUI にアクセスする方法の詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「Overview」を参照してください)。左側のメニューの [Quarantines] セクション内にある [Quarantines] リンクをクリックします。

図 4-1 [Quarantines] ページ

[Quarantines] ページには、すべての検疫について、それぞれに保管されているメッセージの数、デフォルト アクション(保存期間、およびその後の削除または解放の最終アクション)、使用率などの情報が表示されます。各設定(サイズ、保存期間、デフォルト アクション、オーバーフロー メッセージの処理方法、および検疫に関連付けられているユーザ)は、[Edit] リンクを使用して編集できます(詳細については、「システム検疫の設定」を参照してください)。また、関連するセキュリティ サービス(Virus 検疫の場合はアンチウイルス スキャン、Outbreak 検疫の場合はウイルス感染フィルタ)がイネーブルにされているかどうか、各検疫の内容が現在使用可能かどうかなど、検疫のステータスも表示されます。

アプライアンス上で IronPort スパム検疫がイネーブルにされている場合は、IronPort スパム検疫も検疫のリストに表示されることに注意してください。この検疫はエンド ユーザ検疫です。エンド ユーザ検疫の使用方法の詳細については、「IronPort スパム検疫機能の設定」を参照してください。

システム検疫の設定

検疫には、検疫設定に基づいてメッセージを処理する自動化されたプロセスが組み込まれています。検疫の日々の動作を決定するために、複数の設定が使用されます(スペース割り当て、保存期間、デフォルト アクション、オーバーフロー メッセージ、およびユーザ)。設定を変更した場合は、[Submit] ボタンをクリックし、必要に応じて省略可能なコメントを追加し、[Commit Changes] をクリックして変更を保存します。

システム検疫用のスペースの割り当て

システム検疫は IronPort アプライアンス自体に作成されるので、システム検疫に使用できるスペースは限られます。新しい検疫に使用可能なスペースは、[Manage Quarantines] ページに表示されます。検疫エリアのサイズが割り当てられているスペースに達すると、メッセージは検疫エリアから強制的に削除されます。詳細については、「システム検疫の設定」を参照してください。

表 4-1 IronPort アプライアンス上で検疫に使用可能なスペース

IronPort アプライアンス
記憶域
ウイルス感染フィルタの記憶域*

X1050/1060/1070

10 GB

3 GB

C650/660/670

10 GB

3 GB

C350/360/370

4 GB

2 GB

C150/160

2.5 GB

1 GB

* ウイルス感染フィルタ機能をライセンスした場合の追加スペース

1 つの検疫の最小サイズは 250 MB です。

保存期間

保存期間とは、メッセージを検疫エリア内に保持する時間の長さです。検疫エリア内のメッセージは、その保存期間が経過すると、デフォルト アクション(「デフォルト アクション」を参照)が実行されます。各メッセージには、それぞれ独自の有効期限があり、検疫のリストに表示されます。

メッセージは、メール管理者(または他のユーザ)によって手動で処理されるか、検疫に設定されたサイズ制限に達しない限り、指定された時間が経過するまで保管されます(通常の期限切れ)。サイズ制限に達すると、古いメッセージから処理されます(早期の期限切れ)。検疫エリアのサイズがサイズ制限未満に戻るまで、各メッセージに対してデフォルト アクションが実行されます。このポリシーは、First In First Out(FIFO; 先入れ先出し)です。検疫エリアのサイズ制限の指定方法の詳細については、「システム検疫の作成」を参照してください。

メッセージの有効期限は、各種検疫のリスト内で [Select Action] メニューを使用して遅らせる(延長させる)ことができます。メッセージの有効期限を遅らせることは、スケジュールされた有効期限を越えて検疫エリア内の特定のメッセージを保持する必要がある場合に役立ちます(たとえば、管理者がメッセージを確認する時間を確保したり、特定のアンチウイルス IDE が公開されるまで延長したりします)。

デフォルト アクション

デフォルト アクションとは、次の 2 つの状況のいずれかが起こったときに、検疫エリア内のメッセージに対して実行されるアクションのことです。

通常の期限切れ:検疫エリア内のメッセージが保存期間を満了する場合です(「保存期間」を参照)。

早期の期限切れ:検疫エリアのサイズ制限に達してメッセージが検疫エリアから強制的に削除される場合です。検疫エリアのサイズ制限を設定する方法の詳細については、「システム検疫の作成」を参照してください。キューが満杯状態のため検疫エリアから解放されるメッセージ(早期の期限切れ)に対しては、他の操作を実行することもできます。詳細については、「[Overflow Messages]」を参照してください。

デフォルト アクションは 2 つあります。

Delete:メッセージが削除されます。

Release:メッセージが解放されて配信されます。解放時、メッセージは、その特定のメール ポリシーに対してアンチウイルスがイネーブルになっていれば、ウイルスに感染していないか再スキャンされます。ウイルス スキャンおよび検疫エリアから解放されるメッセージの詳細については、「システム検疫とウイルス スキャン」を参照してください。


) 検疫されたメッセージのリスト内では、これら 2 つのデフォルト アクションに加え、第 3 のメッセージ アクション(Delay Exit)を [Select Action] メニューから利用できます。


[Overflow Messages]

[Overflow Messages] セクションは、メッセージがオーバーフローによって検疫エリアから解放されるとき、それらをどのように処理するかを指定するために使用します。これらの設定には、件名のタグ付け、X-Header の追加、添付ファイルの削除などがあります。

件名のタグ付け

キューが満杯状態のため検疫エリアから解放または削除されるメッセージには(早期の期限切れのみ)、検疫を編集または作成した際に指定したテキストでそれらの件名にタグを付けられます。

タグは、ユーザ定義の文字列であり、元の件名ヘッダーの前または後ろに追加できます。


非 ASCII 文字を含む件名を正しく表示するために、件名は RFC 2047 に従って表記されている必要があります。


X-Header の追加

キューが満杯状態のため検疫エリアから解放または削除されるメッセージには(早期の期限切れのみ)、X-Header を追加できます。

X-Header の名前および値を指定します。

添付ファイルの削除

キューが満杯状態のため検疫エリアから解放または削除されるメッセージに対し(早期の期限切れのみ)、それらに付属する添付ファイルを削除できます。これは、ウイルスに感染したファイルが検疫エリアから解放される可能性を低減するために使用できます。

ユーザおよびユーザ グループ

Administrators グループに属するユーザは、デフォルトで検疫にアクセスできます。Operators、Guests、Read-Only Operators、および Help Desk Users グループに属するユーザは、検疫に割り当てできますが(それにより、検疫エリア内のメッセージの表示、処理、検索が可能になります)、検疫の設定(サイズ、保存期間など)を変更したり、検疫を作成または削除したりできません。

システム検疫の作成

新しいシステム検疫を作成してメッセージを保管できます。検疫を設定するための基本的なワークフローは次のとおりです。

1. 検疫にアクセスするローカル ユーザを作成します。検疫のユーザ リストには、Administrators 以外のすべてのユーザ グループ内のローカル ユーザが入ります。Administrators グループ内のユーザは、常に検疫に対してすべてのアクセス権限を持ちます。詳細については、「ユーザの追加」を参照してください。また、IronPort アプライアンスが外部ディレクトリを使用してユーザを認証し、検疫にアクセスできるユーザ グループを選択できるようにすることもできます。詳細については、「外部認証」を参照してください。

2. 後述の手順に従って、検疫を作成します。

3. メッセージを検疫エリアに移動するフィルタを作成します。フィルタの作成方法の詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「Email Security Manager」および『 Cisco IronPort AsyncOS for Email Advanced Configuration Guide 』の「Using Message Filters to Enforce Email Policies」を参照してください。

システム検疫を作成するには、次の手順を実行します。


ステップ 1 [Quarantines] ページで [Add Quarantine] をクリックします。[Add Quarantine] ページが表示されます。

ステップ 2 検疫の名前を入力します。

ステップ 3 検疫に割り当てるスペース(単位は MB)を指定します。詳細については、「システム検疫用のスペースの割り当て」を参照してください。

ステップ 4 保存期間(メッセージに対してデフォルト アクションが実行される前にメッセージを保持する時間)を選択します。詳細については、「保存期間」を参照してください。

ステップ 5 デフォルト アクションを選択します([Delete] または [Release])。

ステップ 6 検疫によって処理されるメッセージの件名を変更する場合は、追加するテキストを入力し、そのテキストを元のメッセージの件名の前と後ろのどちらに追加するかを選択します。詳細については、「件名のタグ付け」を参照してください。

ステップ 7 X-Header を追加する場合は、名前と値を入力します。詳細については、「X-Header の追加」を参照してください。

ステップ 8 オーバーフローのためファイルが検疫エリアから解放されるとき(早期の解放)、そのファイルの添付ファイルを削除する場合は、[On] を選択します。詳細については、「添付ファイルの削除」を参照してください。

ステップ 9 この検疫に関連付けるユーザを、ユーザ名をクリックして選択します。複数のユーザを選択する場合は、Ctrl キーを押した状態でクリックします。検疫のユーザ リストには、Administrators 以外のすべてのユーザ グループ内のローカル ユーザが入ります。Administrators グループ内のユーザは、常に検疫に対してすべてのアクセス権限を持ちます。詳細については、「ユーザおよびユーザ グループ」を参照してください。ユーザがまだ 1 つも作成されていない場合は、警告が表示されます。

ステップ 10 必要に応じて、検疫に関連付ける外部認証ユーザのユーザ ロールに関するチェックボックスをオンにします。外部認証ユーザは、集中管理された認証システムを使用して IronPort アプライアンスにより認証されます。詳細については、「外部認証」を参照してください。

ステップ 11 変更を送信し、保存します。

システム検疫の編集

検疫を編集できるのは、Administrators グループに属するユーザだけです。

既存の検疫を編集するには、次の手順を実行します。


ステップ 1 変更する検疫に対して [Settings] カラム内の [Edit] リンクをクリックします。[Edit Quarantine] ページが表示されます。

図 4-2 システム検疫の編集

ステップ 2 検疫の設定を変更します。

ステップ 3 変更を送信し、保存します。

システム検疫の削除

既存の検疫を削除するには、次の手順を実行します。


ステップ 1 [Edit Quarantine] ページ内の [Delete Quarantine] リンクをクリックします。

図 4-3 システム検疫の削除

ステップ 2 確認メッセージが表示されます。

図 4-4 システム検疫の削除の確認

ステップ 3 [Delete] をクリックします。検疫が削除されます。

ステップ 4 変更を保存します。

システム検疫内のメッセージの操作

[Quarantine Overview] を使用して、検疫エリア内のメッセージを操作します。検疫にアクセスできるユーザの場合、次の作業を実行できます。

検疫エリア内のメッセージの表示

メッセージに対するメッセージ アクションの実行(メッセージの処理)

メッセージの添付ファイルのダウンロード

検疫エリア内のメッセージの検索


) ここで説明される機能は、GUI にのみ当てはまります。


システム検疫内のメッセージの表示

[Local Quarantine] ページを使用して、検疫エリア内にメッセージが入っているかどうかを確認します。次の例では、Policy 検疫に 241 件のメッセージが入っています。

図 4-5 ローカル検疫

検疫の名前をクリックして、検疫エリア内のメッセージを表示します。このページから、特定のメッセージを表示したり、1 つまたは複数のメッセージを処理したり、メッセージ全体を検索したりできます。

検疫エリア内のメッセージの処理

メッセージは、自動(通常または早期の期限切れ)または手動のいずれかで検疫エリアから除去(配信または削除)できます。

手動でメッセージを処理する場合は、[Message Actions] ページからメッセージのメッセージ アクションを手動で選択します。

[Quarantine Overview] ページで検疫名をクリックして、検疫エリア内のメッセージを表示します。

図 4-6 検疫エリア内のメッセージのリストの表示

検疫エリア内のすべてのメッセージが一覧表示されます。各メッセージには、宛先、差出人、件名、受信日時、スケジュールされた保存期間の終了日時、サイズ、および「他の検疫に含まれるかどうか」が表示されます。[Previous]、[Next]、ページ番号、または二重矢印のリンクを使用して、リストの各ページを移動できます。二重矢印を使用すると、リストの先頭([<<])または最後([>>])のページに移動します。

あるメッセージが他の 1 つまたは複数の検疫エリア内にも存在している場合、それらの検疫にアクセスできるかどうかに関係なく、そのメッセージの [In other quarantines] カラムに [Yes] が表示されます。詳細については、「マルチユーザ アクセスと複数の検疫エリア内のメッセージ」を参照してください。

カラム見出しをクリックすることにより、そのカラムの内容の昇順または降順に結果をソートします([In other quarantines] カラムは除く)。

リストの左側にあるチェックボックスの列から対応するチェックボックスをクリックすることにより、メッセージを選択できます。リストに現在表示されているすべてのメッセージを選択するには、見出し内の [All] ボックスをマークします(リストの一番上。先頭メッセージよりも上)。これは、現在表示されているメッセージにだけ適用されることに注意してください。現在のページに表示されていないメッセージは影響を受けません。

リスト内で選択したすべてのメッセージに対してアクション([Delete]、[Release]、[Delay Scheduled Exit])を適用できます。リストの下部にあるプルダウン メニューからアクションを選択し、[Submit] をクリックします。選択内容を確認するダイアログボックスが表示されます。[Yes] をクリックして、マークされたすべてのメッセージに対してアクションを実行します。

Outbreak 検疫の [Manage Rule by Summary] リンクをクリックして、Outbreak 検疫エリア内のメッセージをルールに従って処理します。詳細については、「ウイルス感染フィルタ機能と Outbreak 検疫」を参照してください。

検疫されたメッセージおよび国際文字セット

メッセージの件名に国際文字セット(2 バイト、可変長、および非 ASCII の符号化)の文字が含まれる場合、[System Quarantine] ページでは、非 ASCII 文字の件名行が復号化された形式で表示されます。

メッセージ アクションおよびメッセージ内容の表示

メッセージの内容を表示したり、[Quarantined Message] ページにアクセスしたりするには、メッセージの件名行をクリックします。

図 4-7 [Quarantined Message] ページ

[Quarantined Message] には、[Quarantine Details] と [Message Details] の 2 つのセクションがあります。

[Quarantined Message] ページから、メッセージを読んだり、メッセージ アクションを選択したり、メッセージのコピーを送信したり、ウイルス検査を実行したりできます。また、メッセージが検疫エリアから解放されるときに Encrypt on Delivery フィルタ アクションによって暗号化されるかどうかを確認することもできます。

[Message Details] セクションには、メッセージ本文、メッセージ ヘッダー、および添付ファイルが表示されます。メッセージ本文は最初の 100 KB だけが表示されます。メッセージがそれよりも長い場合は、最初の 100 KB が表示され、その後に省略記号(...)が続きます。実際のメッセージが切り捨てられることはありません。この処置は表示目的のためだけに行われます。[Message Details] の下部にある [Message Parts] セクション内の [[message body]] をクリックすることにより、メッセージ本文をダウンロードできます。また、添付ファイルのファイル名をクリックすることにより、メッセージの任意の添付ファイルをダウンロードすることもできます。

ウイルスの含まれるメッセージを表示する場合、ご使用のコンピュータにデスクトップ アンチウイルス ソフトウェアがインストールされていると、そのアンチウイルス ソフトウェアから、ウイルスが検出されたと警告される場合があります。これは、ご使用のコンピュータに対して脅威ではないため、無視しても問題ありません。


) 特別な Outbreak 検疫の場合、追加の機能を利用できます。詳細については、「ウイルス感染フィルタ機能と Outbreak 検疫」を参照してください。


一致した内容の表示

Attachment Content 条件、Message Body または Attachment 条件、Message 本文条件、または Attachment 内容条件と一致するメッセージに対して検疫アクションを設定した場合、検疫されたメッセージ内の一致した内容を表示できます。メッセージ本文を表示する場合、DLP ポリシー違反の一致を除き、一致した内容が黄色で強調表示されます。また、 $MatchedContent アクション変数を使用して、メッセージの一致した内容やコンテンツ フィルタの一致をメッセージの件名に含めることもできます。

一致した内容が添付ファイルに含まれる場合は、その判定結果が DLP ポリシー違反、コンテンツ フィルタ条件、メッセージ フィルタ条件、または画像解析のいずれによるものかに関係なく、添付ファイルの内容がその検疫理由とともに表示されます。

メッセージ フィルタまたはコンテンツ フィルタのルールをトリガーしたローカル検疫内のメッセージを表示すると、フィルタ アクションを実際にはトリガーしなかった内容が(フィルタ アクションをトリガーした内容とともに)GUI で表示されることがあります。GUI 表示は、内容の一致箇所を特定する際のガイドラインとして使用されますが、内容の一致リストを正確に反映しているとは限りません。これは、GUI で使用される内容一致ロジックが、フィルタで使用されるものほど厳密ではないため起こります。この問題は、メッセージ本文内での強調表示に対してのみ当てはまります。メッセージの各パート内の一致文字列をそれに対応するフィルタ ルールとともに一覧表示するテーブルは正しく表示されます。

[Message Parts] または [Matched Content] セクション内の添付ファイルのファイル名をクリックすることにより、メッセージの添付ファイルをダウンロードできます。AsyncOS から、未知の送信元からの添付ファイルにはウイルスが含まれる可能性があることを示す警告が表示され、続行するかどうか尋ねられます。[Message Parts] セクション内の [[message body]] をクリックすることにより、メッセージ本文をダウンロードすることもできます。

図 4-8 Policy 検疫エリア内で表示された一致内容

メッセージ アクションの選択

使用可能なアクションは、メッセージの削除、メッセージの解放、および有効期限の延長の 3 種類あります。詳細については、「デフォルト アクション」を参照してください。


ステップ 1 対象となるメッセージのボックスをマークします。

ステップ 2 [Select Action] メニューからアクションを選択します。

ステップ 3 [Submit] をクリックします。


) メッセージは、複数の検疫に入れられる場合があります。複数の検疫に属しているメッセージの処理方法の詳細については、「マルチユーザ アクセスと複数の検疫エリア内のメッセージ」を参照してください。


メッセージのコピーの送信

メッセージのコピーは、Administrators グループに属しているユーザだけが送信できます。

メッセージのコピーを送信するには、[Send Copy To:] フィールドに電子メール アドレスを入力し、[Submit] をクリックします。メッセージのコピーを送信しても、そのメッセージに対してその他のアクションが実行されることはありません。

ウイルスの検査

メッセージがウイルスに感染していないかどうかを検査するには、[Start Test] をクリックします。アンチウイルス シグニチャが最新のものであることを確認できるまで、メッセージの保管に検疫を使用します。

ウイルスの検査では、オリジナルのメッセージではなく、メッセージのコピーがアンチウイルス エンジンに送信されます。アンチウイルス エンジンの判定結果は、[Quarantines] エリアの上に表示されます。

図 4-9 ウイルス スキャンの結果

添付ファイルのダウンロード

添付ファイルをダウンロードするには、[Matched Content] または [Message Parts] セクション内にある添付ファイルのファイル名をクリックします。AsyncOS から、未知の送信元からの添付ファイルにはウイルスが含まれる可能性があることを示す警告が表示され、続行するかどうか尋ねられます。

システム検疫の検索

1 つまたは複数の特定のメッセージについて検疫を検索するには、次の手順を実行します。


ステップ 1 [Quarantines] ページ内にある検疫の名前をクリックします。[Search Quarantine...] をクリックします。[Search Quarantine] ページが表示されます。

図 4-10 検疫の検索

ステップ 2 検索基準を入力します。

[Search in]:検索対象の検疫を選択します。

[For messages received by]:タイム フレームを選択します。

[Envelope Sender]:[contains]、[starts with]、[ends with]、[matches exactly]、またはそれらの「does not」版を選択し、テキストを入力します。

[Envelope Recipient(s)]:[contains]、[starts with]、[ends with]、[matches exactly]、またはそれらの「does not」版を選択し、テキストを入力します。

[Subject]:[contains]、[starts with]、[ends with]、[matches exactly]、またはそれらの「does not」版を選択し、テキストを入力します。

[Display]:1 ページに表示する行数を選択します。


) 実行される検索は「AND」検索です。検索フィールドに指定されたすべての基準を満たす結果だけが返されます。たとえば、検索フィールドで [Envelope Recipient] と [Subject] を指定すると、[Envelope Recipient] に指定した項目 [Subject] に指定した項目の両方に一致するメッセージだけが返されます。


ステップ 3 [Search] をクリックします。

ステップ 4 結果(指定されたすべての基準に一致するメッセージ)が表示されます。

これらの検索結果は、検疫のリストを使用するのと同様に使用できます。また、検索結果のリストは、スケジュールされた保存期間の終了日時で並べ替えることもできます。詳細については、「検疫エリア内のメッセージの処理」を参照してください。

マルチユーザ アクセスとシステム検疫

AsyncOS では、検疫管理の委任がサポートされており、Operators グループおよび Guests グループのユーザを指定して、検疫エリア内のメッセージを処理してもらうことができます。

次の例を参考にしてください。

人事部門のチームによる Policy 検疫の確認と管理

法務部門のチームによる Confidential Material 検疫の管理

検疫にアクセスできる Operator と Guest のユーザは、その検疫エリア内でメッセージを検索したり、その検疫エリアからメッセージを処理したり(解放と削除のいずれかまたは両方)できます。

マルチユーザ アクセスの設定

検疫にユーザを追加するには、追加するユーザがすでに存在している必要があります。ユーザの作成の詳細については、「ユーザの追加」を参照してください。

各ユーザは、すべてまたは一部の検疫にアクセスできるようにすることも、まったくアクセスできないようにすることもできます。検疫の閲覧を許可されていないユーザに対しては、GUI または CLI の検疫のリスト表示で、その検疫の存在を示す記録は一切表示されません。

マルチユーザ アクセスと複数の検疫エリア内のメッセージ

複数の検疫エリア内に存在するメッセージは、すべての検疫エリアから解放されなければ検疫からの解放が許可されないという意味で「保守的な」ポリシーで制御されます。

1 つのメッセージが複数の検疫エリア内に存在する場合、検疫エリアからメッセージを解放しても、そのメッセージが配信されるとは限りません。メッセージは先に、自身が存在するすべての検疫エリアから解放される必要があります。

複数の検疫エリア内に存在するメッセージは、特定の検疫エリアから削除されても、他の検疫エリア内には存在したままになります。この時点で他の検疫エリアからメッセージを解放しても、そのメッセージは配信されません。

メッセージは複数の検疫エリアに存在できますが、そのメッセージを解放しようとするユーザはそれらの検疫の一部にしかアクセスできない場合があるため、次のルールが適用されます。

メッセージは、自身が存在するすべての検疫エリアから解放されるまで、どの検疫エリアからも解放されません。

メッセージは、いずれかの検疫エリア内で削除済みとマークされると、他の検疫エリアからも配信できなくなります。解放はできますが、配信されません。

したがって、メッセージが複数の検疫エリア内にキューイングされ、ユーザがそのうちの 1 つまたは複数の検疫にアクセスできない場合は、次のことが起こります。

ユーザは、ユーザがアクセスできる各検疫についてそのメッセージが存在するかどうか通知されます。

GUI は、ユーザがアクセスできる検疫のスケジュールされた保存期間の終了日時のみを表示します(同じメッセージに対して、検疫ごとに別々の終了日時が存在します)。

GUI は、そのメッセージが他の検疫にも保管されているかどうかを表示します。

図 4-11 検疫の検索

ユーザは、そのメッセージを保管している他の検疫の名前を知らされません。

メッセージの解放は、ユーザがアクセスできるキューにだけ効果があります。

ユーザがアクセスできない他の検疫エリアにもメッセージがキューイングされている場合、残りの検疫にアクセスできるユーザによって処理されるまで(あるいは早期または通常の期限切れによって「正常に」解放されるまで)、そのメッセージは変更されずに検疫エリア内に残ります。

システム検疫とウイルス スキャン

検疫が行われたすべてのキューから配信に向けて解放されたメッセージは、配信が許可される前に、ウイルスに感染していないかどうか再スキャンされます(そのメール ポリシーに対してアンチウイルスがイネーブルになっている場合)。

メッセージは、検疫エリアから解放されるとき、アンチウイルス エンジンによってウイルスに感染していないかどうかスキャンされます(アンチウイルスがイネーブルになっている場合)。判定結果(CLEAN、VIRAL、UNSCANNABLE など)が前回そのメッセージを処理したときの判定結果と一致する場合、そのメッセージは再検疫されません。逆に、判定が異なると、そのメッセージは Virus 検疫に送信される可能性があります。

原理的に、メッセージの検疫が無限に繰り返されることはないようになっています。たとえば、メッセージが暗号化されていて、その結果、Virus 検疫に送信されるとします。管理者がそのメッセージを解放しても、アンチウイルス エンジンはまだそのメッセージを復号化できません。しかし、そのメッセージは再検疫されない必要があります。再検疫されるとループ状態となり、そのメッセージは検疫エリアからまったく解放されなくなります。2 回とも判定は同じ結果になるので、システムは 2 回めには Virus 検疫を無視します。

システム検疫とアラート

検疫エリアの容量が 75% 以上および 95% 以上になると、アラートが送信されます。このチェックは、メッセージが検疫エリアに入れられたときに実行されます。したがって、メッセージが Policy 検疫に追加されたとき、検疫エリアのサイズが指定容量の 75% 以上に増加すると、次のようなアラートが送信されます。

Warning: Quarantine "Policy" is 75% full

アラートの詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「System Administration」を参照してください。

システム検疫とロギング

AsyncOS により、検疫されるすべてのメッセージが個別にロギングされます。

Info: MID 482 quarantined to "Policy" (message filter:policy_violation)

括弧内には、メッセージを検疫させたメッセージ フィルタまたはウイルス感染フィルタ機能のルールが出力されます。メッセージが入れられる検疫ごとに独立したログ エントリが生成されます。

また、AsyncOS により、検疫エリアから除去されるメッセージも個別にロギングされます。

Info: MID 483 released from quarantine "Policy" (queue full)

Info: MID 484 deleted from quarantine "Anti-Virus" (expired)

メッセージがすべての検疫エリアから除去され、完全に削除されるか、配信用にスケジュールされると、それらのメッセージはシステムによって次のように個別にロギングされます。

Info: MID 483 released from all quarantines

Info: MID 484 deleted from all quarantines

メッセージが再注入されると、新しい MID を持つ新しいメッセージ オブジェクトがシステムによって作成されます。このことは、次のように「署名入り」の新しい MID を伴う既存のログ メッセージを使用してロギングされます。

Info: MID 483 rewritten to 513 by System Quarantine

ウイルス感染フィルタ機能と Outbreak 検疫

Outbreak 検疫は、ウイルス感染フィルタ機能の有効なライセンス キーが入力されている場合に存在します。ウイルス感染フィルタ機能では、しきい値セットに従ってメッセージが Outbreak 検疫に送信されます。詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「Virus Outbreak Filters」を参照してください。

ウイルス感染フィルタ機能のライセンスの有効期限が切れると、メッセージを Outbreak 検疫にそれ以上追加できなくなります。検疫エリア内に現在存在するメッセージの保存期間が終了して Outbreak 検疫が空になると、GUI の検疫リストに Outbreak 検疫は表示されなくなります。

Outbreak 検疫は、他の検疫と同様の機能を持ち、メッセージを検索したり、メッセージを解放または削除したりできます。Outbreak 検疫に入れられたメッセージは、新しく公開されたルールによってもう脅威ではないと見なされると、自動的に解放されます。

Outbreak 検疫には、他の検疫では使用できない追加の機能があります([Manage by Rule Summary] リンク、メッセージの詳細を表示しているときの IronPort への送信機能、およびスケジュールされた保存期間の終了日時でソート結果内のメッセージを並べ替えるオプション)。

アプライアンスに IronPort アンチスパム機能または Intelligent Multi-Scan 機能が搭載されている場合、Outbreak 検疫から解放されるすべてのメッセージは、それらのメッセージに適用されるメール フロー ポリシーに基づいてアンチスパム スキャン エンジンによりスキャンされます。

[Manage by Rule Summary] リンク

検疫リストで Outbreak 検疫の横にある [Manage by Rule Summary] リンクをクリックして、[Manage by Rule Summary] ページを表示します。検疫エリア内のすべてのメッセージに対し、それらのメッセージを検疫させた感染防止ルールに基づいてメッセージ アクション(Release、Delete、Delay Exit)を実行できます。これは、Outbreak 検疫から大量のメッセージを片付ける場合に適しています。詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「Virus Outbreak Filters」を参照してください。

IronPort への送信

Outbreak 検疫内のメッセージについてメッセージの詳細を表示しているとき、そのメッセージを IronPort に報告することもできます。これは、偽陽性を報告する場合または不審なメッセージを IronPort に報告する場合に行います。

メッセージのコピーを IronPort に送信するには、次の手順を実行します。


ステップ 1 [Message Details] ページで、[Send a Copy to IronPort Systems] ボックスをマークします。

図 4-12 検疫の検索

ステップ 2 [Send] をクリックします。メッセージのコピーが IronPort システムに送信されます。

IronPort スパム検疫機能の設定

各 IronPort アプライアンスでは、IronPort アンチスパムがイネーブルになっている場合、ローカルの IronPort スパム検疫をイネーブルにすることができます。また、各 IronPort アプライアンスは、外部の IronPort スパム検疫を参照することもできます。この検疫は、別の IronPort アプライアンス上で設定されます(通常は M-Series アプライアンス。詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「The IronPort M-Series Security Management Appliance」を参照してください)。

なお、ローカルと外部の両方の IronPort スパム検疫がイネーブルになっている場合、 ローカルの IronPort スパム検疫が使用されます

スパムまたはその疑いのあるメッセージを IronPort スパム検疫(ローカルまたは外部)に送信するように、IronPort アプライアンスを設定するには、次の手順に従います。


ステップ 1 外部の IronPort スパム検疫を追加するか(「外部の IronPort スパム検疫の設定」を参照)、ローカルの IronPort スパム検疫をイネーブルにして設定します(「ローカルの IronPort スパム検疫の設定」を参照)。ローカルの IronPort スパム検疫を設定する場合、検疫のアクセス/内容/動作、通知、認証、および AsyncOS ユーザ アクセスに関連した設定を指定できます。

ステップ 2 ローカルの IronPort スパム検疫を設定する場合は、IP インターフェイスを編集し、IronPort スパム検疫の HTTP または HTTPS サービスをイネーブルにします(「IP インターフェイス上での IronPort スパム検疫 HTTP/S サービスのイネーブル化」を参照)。IronPort スパム検疫の HTTP/S サービスをイネーブルにすると、その検疫にアクセスできるようになります。

ステップ 3 ローカルの IronPort スパム検疫から外部の IronPort スパム検疫に移行する場合は、アンチスパム設定を設定し、より短い有効期限を設定し、ローカル検疫内に残っているすべてのメッセージを削除します(「ローカルの IronPort スパム検疫から外部の検疫への移行」を参照)。

ステップ 4 スパムまたはその疑いのあるメッセージ(または両方)を IronPort スパム検疫に送信するように、ポリシーのアンチスパム スキャン オプションを設定します(「メール ポリシーの IronPort スパム検疫のイネーブル化」を参照)。この手順は、スパムまたはその疑いのあるメッセージを検疫するように、システムを実際に設定する場合のものです。

ステップ 5 「導入上の考慮事項」を参照してください。この重要な項には、通知、認証、関連する他の AsyncOS 機能の設定など、IronPort スパム検疫に関する追加のガイダンスと情報が豊富に提供されています。

ローカルの IronPort スパム検疫のイネーブル化とディセーブル化

ローカルの IronPort スパム検疫をイネーブルにすると、AsyncOS は、外部の IronPort スパム検疫が設定されても、ローカルの IronPort スパム検疫を使用します。

ローカルの IronPort スパム検疫をイネーブルにするには、次の手順を実行します。


ステップ 1 [Monitor] > [Quarantines] ページで、[Enable] をクリックします。

図 4-13 ローカルの IronPort スパム検疫のイネーブル化

ステップ 2 IronPort スパム検疫がイネーブルになります。IronPort スパム検疫が設定されていない場合は、[Edit IronPort Spam Quarantine] ページが表示されます(「ローカルの IronPort スパム検疫の設定」を参照)。

ステップ 3 変更を送信し、保存します。

ローカルの IronPort スパム検疫のディセーブル化

ローカルの IronPort スパム検疫をディセーブルにするには、次の手順を実行します(M-Series アプライアンス上では使用できません)。


ステップ 1 [Monitor] > [Quarantines] ページで、IronPort スパム検疫の [Settings] カラム内の [Edit] をクリックします。

ステップ 2 [Spam Quarantine Settings] セクション内で、[Enable IronPort Spam Quarantine] のチェックボックスをオフにします。

ステップ 3 変更を送信し、保存します。

ローカルの IronPort スパム検疫がディセーブルになっているとき、その検疫エリア内にメッセージが存在する場合は、[Quarantines] ページの [Delete All] リンクを使用してすべてのメッセージを削除することもできます。

図 4-14 [Quarantines] ページの [Delete All] リンク


) [Delete All] リンクは、IronPort M-Series アプライアンス上では使用できません。M-Series アプライアンス上の IronPort スパム検疫からすべてのメッセージを取り除くには、その検疫エリアへのスパムの送信を停止し、検疫されているメッセージが期限切れになるのを待ちます。


ディセーブルにされた IronPort スパム検疫とメール ポリシー

IronPort スパム検疫がディセーブルにされると、スパムまたはその疑いのあるメッセージを検疫するように設定されたメール ポリシーは、メッセージを配信するように設定が変更されます。

ローカルの IronPort スパム検疫から外部の検疫への移行

ローカルの IronPort C- または X-Series アプライアンス上で現在使用中のローカルの IronPort スパム検疫を、そのローカル検疫内のメッセージにアクセスできるようにしたまま、IronPort M-series アプライアンスをホストとする外部の IronPort スパム検疫に移行する場合は、次の戦略の使用を検討します。

アンチスパム設定の設定:M-Series アプライアンスを代替ホストとして指定して、メール ポリシーにアンチスパム設定を設定します。この処置により、ローカル検疫にアクセス可能なまま、新しいスパムは外部の検疫に送信されます。

より短い有効期限の設定:ローカル検疫に対して Schedule Delete After 設定をより短い期間に設定します。

残っているすべてのメッセージを削除:ローカル検疫内に残っているすべてのメッセージを削除するには、その検疫をディセーブルにし、ローカル検疫のページで [Delete All] リンクをクリックします(「IronPort スパム検疫からのメッセージの削除」を参照)。このリンクは、まだメッセージが残っているローカルの IronPort スパム検疫がディセーブルになっているときにだけ使用可能になります。

これで、移行中に新しいメッセージがローカル検疫に入らないようにしながら、ローカル検疫のディセーブル化と外部の検疫のイネーブル化をできるようになります。

IronPort スパム検疫の設定

スパム検疫の設定

検疫サイズ、削除/保存ポリシー、デフォルト言語、および IronPort 通知のイネーブル化またはディセーブル化を設定します。デフォルトでは、ローカルの IronPort スパム検疫は自己管理型になっています。つまり、この検疫がイネーブルになると、設定された期間後にスパムが自動的に削除されます。検疫エリアが満杯になった場合は、古いスパムから削除されます。IronPort スパム検疫の外観および動作は、カスタム ロゴやログイン ページ メッセージの指定も含め、設定およびカスタマイズできます。「ローカルの IronPort スパム検疫用のスパム検疫設定」を参照してください。

ローカルの IronPort スパム検疫内にあるメッセージを表示したり、操作したりする AsyncOS Operator ユーザを指定します。AsyncOS に作成されたすべての Administrator レベルのユーザ(デフォルトの「admin」ユーザなど)は、IronPort スパム検疫に対して自動的にアクセスおよび変更できるようになります。Operator は、検疫の内容を表示できますが、検疫の設定を変更できない場合があります。「IronPort スパム検疫の管理ユーザの設定」を参照してください。

IronPort スパム検疫へのアクセス

各エンド ユーザが IronPort スパム検疫内にある自分宛のメッセージを Web ブラウザからじかにアクセスおよび管理することを許可します。アクセスを許可されたユーザは、スパム通知を受信したかどうかに関係なく、検疫エリアからメッセージを表示、検索、解放、および削除できるようになります。メッセージ本文を表示するか、非表示にするかを指定します。使用されるエンド ユーザ認証を指定できます(LDAP、Active Directory、IMAP/POP、またはなし)。「エンド ユーザ検疫へのアクセスの設定」を参照してください。「なし」を指定すると、エンド ユーザは、通知メッセージに含まれるリンク経由でしか IronPort スパム検疫にアクセスできなくなり、認証は使用されなくなります(ユーザ名とパスワードは必要ありません)。

表 4-2 エンド ユーザの認証とアクセス

認証
ユーザのアクセス方法

LDAP

URL、通知

メールボックス(IMAP/POP)

URL、通知

なし

通知のみ

無効

アクセス不可能(通知がイネーブルになっている場合、[Spam Notifications] セクションで設定された [Deliver Bounce Messages To:] のアドレスに通知が送信されます)

スパム通知

通知とは、IronPort スパム検疫内にある各ユーザ宛の新しいスパム メッセージを要約したものです。スパム通知をイネーブルにし、その内容を設定します。スパム通知の内容には、差出人アドレス、件名、メッセージ本文、メッセージ形式、バウンス アドレス、通知スケジュールなどがあります。IronPort スパム検疫へのアクセスがイネーブルになっている場合、ユーザは、LDAP やメールボックスの認証を使用しなくても、通知によって自分宛の検疫されたメッセージにアクセスできるようになります。通知は、電子メールが検疫されている各エンベロープ受信者(メーリング リストおよびその他のエイリアスを含む)に送信されます。各メーリング リストは、単一の要約を受信します。つまり、各メーリング リストの購読者は、全員が同じ通知を受信することになり、その検疫にログインしてメッセージを解放したり、削除したりできます。この場合、ユーザが検疫にアクセスして、通知に示されたメッセージを表示しようとしても、それらのメッセージは他のユーザによってすでに削除されている可能性もあります。複数のエイリアスに属していたり、複数の電子メール アドレスを使用したりしているユーザは、複数の通知を受信します(「複数の通知の受信」を参照)。「スパム通知の設定」を参照してください。


) スパム通知がイネーブルになっていても、IronPort スパム検疫へのアクセスがイネーブルになっていなければ、通知は [Deliver Bounce Messages To:] のアドレスに送信されます。


ローカルの IronPort スパム検疫の設定

ローカルの IronPort スパム検疫がイネーブルになった後(「ローカルの IronPort スパム検疫のイネーブル化とディセーブル化」を参照)、検疫の設定を編集して、IronPort スパム検疫と、それをユーザがどのように操作するのかを設定できます。

ローカルの IronPort スパム検疫を設定するには、[Monitor] > [Quarantines] ページで IronPort スパム検疫の [Settings] カラム内にある [Edit] をクリックします。[Edit IronPort Spam Quarantine] ページが表示されます。

ローカルの IronPort スパム検疫用のスパム検疫設定

ローカルの IronPort アプライアンス上の IronPort スパム検疫用に、IronPort スパム検疫設定を編集するには、次の手順を実行します。


ステップ 1 [Monitor] > [Quarantines] ページで IronPort スパム検疫の [Settings] カラム内にある [Edit] をクリックします。[Edit IronPort Spam Quarantine] ページが表示されます。

図 4-15 IronPort スパム検疫設定の編集

ステップ 2 [Spam Quarantine Settings] セクション内で、検疫エリアの最大サイズを指定します。

ステップ 3 検疫エリアが満杯になったら古いメッセージから削除するように検疫を設定できます。チェックボックスをオフにすると、満杯の検疫エリアに新しいメッセージは追加されなくなります。IronPort では、検疫エリアが満杯になることでアプライアンス上にメッセージの待ち行列(渋滞)ができることがないように、この機能をイネーブルにすることが推奨されます。

ステップ 4 メッセージを削除する前の保管日数を指定します。あるいは、自動削除をスケジュールしないことを選択することもできます。IronPort では、検疫エリアの容量が満杯になるのを防ぐために、古いメッセージから削除するように検疫を設定することが推奨されます。

ステップ 5 デフォルトの言語を指定します。

ステップ 6 解放されたメッセージのコピーを分析用に IronPort へ送信するように検疫を設定できます。IronPort では、検疫をそのように設定することが推奨されます。

ステップ 7 エンド ユーザが検疫を確認するときに表示されるページをカスタマイズします。カスタム ロゴをアップロードします(任意)。このロゴは、ユーザがログインして検疫されたメッセージを確認するときに、IronPort スパム検疫のページの最上部に表示されます。

このロゴは、最大で 550 X 50 ピクセルの .jpg、.gif、または .png ファイルにする必要があります。

ロゴ ファイルを指定しなければ、IronPort スパム検疫のデフォルトのロゴが使用されます。


) カスタム ロゴを指定すると、IronPort ロゴは削除されます。


ステップ 8 ログイン ページ メッセージを指定します。このメッセージは、検疫を表示する前に、エンド ユーザに対してログインを要求するときに表示されます。

ステップ 9 変更を送信し、保存します。


) IronPort M-Series アプライアンスを設定する場合の詳細については、『Cisco IronPort AsyncOS for Security Management User Guide 』を参照してください。


IronPort スパム検疫の管理ユーザの設定

IronPort スパム検疫の管理ユーザを指定できます。この場合の「管理」とは、IronPort スパム検疫へのユーザのアクセス権を示します。管理ユーザのリストには、オペレータ ユーザだけを追加できます。管理者レベルのユーザ(デフォルトの admin ユーザを含む)はすべて、自動的に IronPort スパム検疫の管理ユーザであると見なされます。したがって、それらのユーザは、[Available] カラムや [Authorized Users] カラムに表示されません。

IronPort スパム検疫内にあるすべてのメッセージを表示できるユーザのリストに対して AsyncOS オペレータ ユーザを追加または削除するには、次の手順を実行します。

図 4-16 IronPort スパム検疫の管理ユーザの編集


ステップ 1 該当するリスト内からユーザを選択し、[Add] または [Remove] をクリックします。

ステップ 2 選択したユーザが、反対側のリストに移動します。Operator レベルのユーザは、IronPort スパム検疫内のメッセージを表示できますが、検疫の設定を編集できないことに注意してください。管理ユーザは、メッセージを表示し、設定を変更できます。

ステップ 3 変更を送信し、保存します。

エンド ユーザ検疫へのアクセスの設定

エンド ユーザが IronPort スパム検疫に直接(通知を必要とせずに)アクセスできるようにするには、[Monitor] -> [Quarantines] ページで IronPort スパム検疫の [Settings] カラム内にある [Edit] をクリックします。[Edit IronPort Spam Quarantine] ページが表示されます。


ステップ 1 [Enable End-User Quarantine Access] と書かれたチェックボックスをオンにします。Administrator ユーザは、このチェックボックスがオンかオフかに関係なく、検疫にアクセスできます。

図 4-17 IronPort スパム検疫へのアクセス設定の編集

ステップ 2 メッセージが解放される前に、メッセージ本文を表示するかどうかを指定します。このチェックボックスをオンにすると、ユーザは、IronPort スパム検疫ページからメッセージ本文を表示できなくなります。代わりとして、検疫されたメッセージの本文を表示するには、そのメッセージを解放してから、ユーザのメール アプリケーション(Outlook など)で表示する必要があります。これは、すべての閲覧された電子メールがアーカイブされなければならない場合のコンプライアンスの問題と特に関係しています。

ステップ 3 エンドユーザが(電子メール通知経由ではなく)Web ブラウザから検疫を直接表示しようとする場合に、それらのエンドユーザを認証するために使用する方式を指定します。メールボックス認証または LDAP 認証を使用できます。

認証をイネーブルにしなくても、IronPort スパム検疫へのエンド ユーザのアクセスを許可できることに注意してください。この場合、ユーザは通知メッセージに含まれるリンク経由で検疫にアクセスでき、システムはユーザの認証を行いません。認証なしのエンド ユーザ アクセスをイネーブルにする場合は、[End-User Authentication] ドロップダウン メニューで [None] を選択します。

LDAP 認証 LDAP サーバまたはアクティブなエンド ユーザ認証クエリーが設定されていない場合は、[System Administration] > [LDAP] リンクをクリックして、LDAP サーバ設定とエンド ユーザ認証クエリー ストリングを設定します。 LDAP 認証の設定方法の詳細については、『 Cisco IronPort AsyncOS for Email Advanced Configuration Guide 』の「LDAP Queries」を参照してください。

メールボックス認証 :認証に LDAP ディレクトリを使用しないサイトの場合、検疫は、ユーザの電子メール アドレスとパスワードの正当性を、それらのユーザのメールボックスが保持されている標準ベースの IMAP または POP サーバに対して検証することもできます。Web UI にログインするとき、ユーザは各自の完全な電子メール アドレスとメールボックス パスワードを入力します。この情報を使用して、メールボックス サーバに検疫のユーザとしてのログインが試行されます。ログインに成功すれば、そのユーザは認証されます。その後、ただちにログアウトするので、ユーザの受信箱に対して行われる変更はありません。メールボックス認証の使用は、LDAP ディレクトリを稼動しないサイトに適していますが、電子メール エイリアス宛に送られてきたメッセージをメールボックス認証でユーザに提示できません。

タイプ(IMAP または POP)を選択します。サーバ名と、安全な接続に SSL を使用するかどうかを指定します。サーバのポート番号を入力します。未修飾のユーザ名の後ろに追加するドメイン(example.com など)を入力します。

POP サーバがバナー内で APOP サポートをアドバタイズしている場合、セキュリティ上の理由から(つまり、パスワードが平文で送信されるのを回避するために)、IronPort アプライアンスは APOP のみを使用します。一部またはすべてのユーザに対して APOP がサポートされていない場合は、APOP をアドバタイズしないように POP サーバを設定する必要があります。

ステップ 4 変更を送信し、保存します。

スパム通知の設定

スパム通知とは、IronPort スパム検疫内にメッセージが存在するときに、エンド ユーザに送信される電子メール メッセージのことです。通知には、そのユーザ宛(LDAP によるユーザ認証の場合は、LDAP リポジトリ内でそのユーザに関連付けられている電子メール アドレス宛。「エンド ユーザ検疫へのアクセスの設定」を参照)の検疫されたスパムまたはその疑いのあるメッセージのリストが含まれます。さらに、各ユーザがそれぞれの検疫されたメッセージを表示するために使用するリンクも含まれます。通知は、イネーブルにされた後、ここで設定されたスケジュールに従って送信されます。

スパム通知により、エンドユーザが検疫にログインするための代替方法が提供されます。ユーザは、受信した電子メール通知を介して検疫にアクセスします(その検疫に対して通知がイネーブルになっている場合)。メッセージの件名をクリックすると、ユーザは、その通知が送信された電子メール アドレスの検疫の UI にログインします。この方法による IronPort スパム検疫へのアクセスには、LDAP 認証もメールボックス認証も必要ありません。この方法によるログインでは、アプライアンスが電子メール通知にスパム検疫エイリアス統合クエリーを使用していない限り、エンドユーザが所有する他のエイリアス宛の検疫対象メッセージは表示されないことに注意してください。IronPort アプライアンスで処理した後に展開される配布リストに通知が送信された場合、複数の受信者がそのリストに対する同じ検疫にアクセスできます。

IronPort アプライアンスによるスパム通知の生成方法では、電子メール エイリアスを所有するユーザや複数の電子メール アドレスを使用するユーザは、複数のスパム通知を受信する可能性があります。複数の通知は、エイリアス統合機能を使用して一部の発生を防ぐことができます。 LDAP サーバまたはアクティブなエイリアス統合クエリーがセットアップされていない場合は、[System Administration] > [LDAP] リンクをクリックして、LDAP サーバ設定とエイリアス統合クエリー ストリングを設定します。 詳細については、このマニュアル内の「導入上の考慮事項」「複数の通知の受信」に加え、『 Cisco IronPort AsyncOS for Email Advanced Configuration Guide 』の「LDAP Queries」も参照してください。

エンド ユーザに送信されるスパム通知を設定するには、次の手順を実行します。


ステップ 1 [Enable Spam Notifications] と書かれたチェックボックスをオンにして、スパム通知をイネーブルにします。

図 4-18 スパム通知の設定

ステップ 2 通知の差出人アドレスを入力します。ユーザは、このアドレスを、自分の電子メール クライアントでサポートされる任意の「ホワイトリスト」に追加できます(「導入上の考慮事項」を参照)。

ステップ 3 通知の件名を入力します。

ステップ 4 通知のカスタマイズされたタイトルを入力します。

ステップ 5 メッセージ本文をカスタマイズします。AsyncOS では、メッセージ本文に挿入されると、個々のエンド ユーザに対応した実際の値に展開されるいくつかのメッセージ変数がサポートされています。たとえば、 %username% は、ユーザに対して通知が生成されるとき、そのユーザの実際の名前に展開されます。サポートされるメッセージ変数には、次のものがあります。

[New Message Count]( %new_message_count% ):ユーザの最後のログイン以後の新しいメッセージの数。

[Total Message Count]( %total_message_count% ):エンド ユーザ検疫内にあるこのユーザ宛のメッセージの数。

[Days Until Message Expires]( %days_until_expire%

[Quarantine URL]( %quarantine_url% ):検疫にログインし、メッセージを表示するための URL。

[Username]( %username%

[New Message Table]( %new_quarantine_messages% ):検疫エリア内にあるこのユーザ宛の新しいメッセージのリスト。

これらのメッセージ変数は、[Message Body] フィールドのテキスト内に直接入力して、メッセージ本文に挿入できます。あるいは、変数を挿入する場所にカーソルを配置してから、右側の [Message Variables] リスト内にある変数の名前をクリックすることもできます。

ステップ 6 メッセージ形式(HTML、テキスト、または HTML/テキスト)を選択します。

ステップ 7 バウンス アドレスを指定します(バウンスされた通知がこのアドレスに送信されます)。

ステップ 8 必要に応じて、異なるアドレスで同じ LDAP ユーザに送信されたメッセージを統合できます。

ステップ 9 通知スケジュールを設定します。通知を月に一度、週に一度、または日に 1 回以上送信するように(週末の有無も含めて)設定できます。

ステップ 10 変更を送信し、保存します。

外部の IronPort スパム検疫の設定

スパムおよびその疑いのあるメッセージを別の IronPort アプライアンス上に設定された外部の IronPort スパム検疫に送信するように、IronPort アプライアンスを設定できます。IronPort M-Series アプライアンスは、特にこの役割を担うように設計されています。IronPort M-Series アプライアンスの詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「The IronPort M-Series Security Management Appliance」を参照してください。

外部の IronPort スパム検疫を使用する場合、検疫の設定は、その IronPort アプライアンス上で行います。IronPort アプライアンス上でローカルと外部の IronPort スパム検疫を両方ともイネーブルにした場合、ローカルの IronPort スパム検疫がその設定とともに優先されます。

M-Series アプライアンス(外部検疫)から解放されるメッセージは、RAT、ドメイン例外、エイリアシング、着信フィルタ、マスカレード、バウンス検証、および作業キューをスキップします。

外部の IronPort スパム検疫の追加

外部の IronPort スパム検疫を追加するには、次の手順を実行します。


ステップ 1 [Monitor] > [External Spam Quarantine] ページから、[Add Quarantine...] をクリックします。[External Quarantines] ページが表示されます。

図 4-19 外部のエンド ユーザ検疫の追加

ステップ 2 検疫の名前を入力します。この名前に意味はありません。参照目的でのみ使用されます。

ステップ 3 IP アドレスとポート番号を入力します。この IP アドレスとポート番号は、M-Series アプライアンス上で [Spam Quarantines Settings] ページ内に指定されています(詳細については、『 Cisco IronPort AsyncOS for Security Management User Guide 』を参照してください)。

ステップ 4 変更を送信し、保存します。

外部の IronPort スパム検疫の編集

既存の外部 IronPort スパム検疫を編集するには、次の手順を実行します。


ステップ 1 [Settings] カラム内にある [Edit] をクリックします。[Edit External Quarantine] ページが表示されます。

ステップ 2 設定を変更します。

ステップ 3 変更を送信し、保存します。

外部の IronPort スパム検疫の削除

IronPort アプライアンスには、外部の IronPort スパム検疫を 1 つしか指定できません。外部の IronPort スパム検疫の削除では、その検疫自体が削除されることはなく、その検疫エリア内のデータは少しも変更されないことに注意してください。代わりに、その外部 IronPort スパム検疫に対する参照がローカル マシンから削除されます。

外部の IronPort スパム検疫を削除するには、次の手順を実行します。


ステップ 1 [Settings] カラム内にある [Edit] をクリックします。[Edit External Quarantine] ページが表示されます。

ステップ 2 [Remove Settings] をクリックします。

図 4-20 外部の IronPort スパム検疫の削除

ステップ 3 [Delete] をクリックして、削除を確認するように求められます。

IP インターフェイス上での IronPort スパム検疫 HTTP/S サービスのイネーブル化

ローカルの IronPort スパム検疫をイネーブルにした後、IronPort スパム検疫の HTTP または HTTPS サービスを IP インターフェイス上でイネーブルにします。

IronPort スパム検疫の HTTP または HTTPS サービスを IP インターフェイス上でイネーブルにするには、次の手順を実行します。


ステップ 1 [Network] > [IP Interfaces] ページで、インターフェイス名をクリックします(この例では、Management インターフェイスを使用します)。[Edit IP Interface] ダイアログが表示されます。

図 4-21 Management インターフェイス上での IronPort スパム検疫のイネーブル化

ステップ 2 HTTP や HTTPS を使用するかどうかを、それらに対応するポート番号とともに指定します。

ステップ 3 HTTP 要求を HTTPS にリダイレクトするかどうかを選択します。

ステップ 4 IronPort スパム検疫にアクセスするためのデフォルトのインターフェイス(通知および検疫ログインがこのインターフェイス上で開始されます)にするかどうかを指定します。URL 内のホスト名を使用するか、それともカスタム URL を指定するかを選択します。

ステップ 5 変更を送信し、保存します。

メール ポリシーの IronPort スパム検疫のイネーブル化

ローカルの IronPort スパム検疫をイネーブルにした後(または外部の IronPort スパム検疫を追加した後)、スパムまたはスパムの疑いのあるメッセージをその検疫エリアに送信するように、メール ポリシーを設定できます。メールを IronPort スパム検疫に送信できるようにするために、IronPort アンチスパム スキャンがメール ポリシーでイネーブルにされる必要があることに注意してください。

スパムまたはその疑いのあるメッセージを IronPort スパム検疫に送信するようにメール ポリシーを設定するには、次の手順を実行します。


ステップ 1 [Mail Policies] > [Incoming Mail Policies] ページで、対応するメール ポリシーの [Anti-Spam] カラム内にあるリンクをクリックします。

図 4-22 スパムを IronPort スパム検疫に送信するためのメール ポリシーの変更

ステップ 2 [Mail Policies: Anti-Spam] ページが表示されます。

ステップ 3 [Positively-Identified Spam Settings] セクション内で、[Apply This Action to Message] オプションに [IronPort Spam Quarantine] を選択します。

図 4-23 陽性と識別されたスパムの IronPort スパム検疫への送信

ステップ 4 必要に応じて、スパムの疑いのあるメッセージに対してもこの設定を繰り返します。

ステップ 5 変更を送信し、保存します。

導入上の考慮事項

ここでは、IronPort スパム検疫を導入する際に注意すべき、さまざまなヒントと情報を提供します。

ディスク スペース

表 4-3 に、各アプライアンス上で IronPort スパム検疫に使用可能なディスク スペースを示します。

表 4-3 IronPort アプライアンスごとに IronPort スパム検疫に使用可能なディスク スペース

モデル
ディスク スペース(単位:GB)

C150/160

5

C350/360/370

15

C650/660/670、X1050/1060/1070

30

M650/660/670

100

M1050/1060/1070

200

IronPort スパム検疫にアクセスするエンド ユーザ

エンド ユーザは、受信した通知内のリンク経由で IronPort スパム検疫にアクセスできます。この方法で検疫にアクセスする場合、LDAP 認証や IMAP/POP 認証は必要ありません(エンド ユーザは自分自身を認証する必要がありません)。通知メッセージ内に存在するリンクには有効期限がないことに注意してください。エンド ユーザは、これらのリンクを使用すれば、認証しなくても、自分宛の検疫されたメッセージを表示できます。

ユーザは、自分の Web ブラウザにリンクを直接入力して検疫にアクセスすることもできます。Web ブラウザに入力した URL 経由で検疫にアクセスする場合、ユーザは認証を行う必要があります。認証方式(LDAP または「メールボックス」(IMAP/POP))は、検疫設定の [End User Quarantine Access] セクション内で定義されます(「エンド ユーザ検疫へのアクセスの設定」を参照)。

LDAP 認証

LDAP の認証プロセスは次のとおりです。


ステップ 1 ユーザが自分のユーザ名とパスワードを Web UI ログイン ページに入力します。

ステップ 2 IronPort スパム検疫は、匿名検索を実行するように、または指定された「サーバ ログイン」DN とパスワードによる認証ユーザとして、指定された LDAP サーバに接続します。Active Directory の場合、一般に「グローバル カタログ ポート」(6000 番台)上でサーバ接続を確立する必要があり、検索を実行するために、IronPort スパム検疫がバインドできる低い特権 LDAP ユーザを作成する必要があります。

ステップ 3 次に、IronPort スパム検疫は、指定された BaseDN とクエリー ストリングを使用してユーザを検索します。ユーザの LDAP レコードが見つかると、IronPort スパム検疫は、そのレコードの DN を抽出し、ユーザ レコードの DN と最初にユーザが入力したパスワードを使用してディレクトリへのバインドを試みます。このパスワード チェックに成功すると、ユーザは正しく認証されます。しかしまだ、IronPort スパム検疫は、そのユーザに対してどのメールボックスの内容を表示するのか決定する必要があります。

ステップ 4 メッセージは、受信者のエンベロープ アドレスを使用して IronPort スパム検疫に保管されます。ユーザのパスワードが LDAP に対して検証された後、IronPort スパム検疫は、「プライマリ電子メール属性」を LDAP レコードから取得して、どのエンベロープ アドレスの検疫されたメッセージを表示する必要があるのか決定します。「プライマリ電子メール属性」には、電子メール アドレスが複数格納されている場合があり、これらのアドレスを使用して、検疫からどのエンベロープ アドレスが認証ユーザに対して表示される必要があるのか決定されます。

IMAP/POP 認証

IMAP/POP の認証プロセスは次のとおりです。


ステップ 1 メール サーバ設定に応じて、ユーザは、自分のユーザ名( joe )または電子メール アドレス( joe@example.com )と、パスワードを Web UI ログイン ページに入力します。ユーザに電子メール アドレスをフルに入力する必要があるのか、ユーザ名だけを入力すればよいのか知らせるために、ログイン ページ メッセージを変更できます(「エンド ユーザ検疫へのアクセスの設定」を参照)。

ステップ 2 IronPort スパム検疫は、IMAP サーバまたは POP サーバに接続し、入力されたログイン名(ユーザ名または電子メール アドレス)とパスワードを使用して IMAP/POP サーバへのログインを試みます。パスワードが受け入れられると、そのユーザは認証されたと見なされ、IronPort スパム検疫はただちに IMAP/POP サーバからログアウトします。

ステップ 3 ユーザが認証された後、IronPort スパム検疫は、ユーザの電子メール アドレスに基づいて、そのユーザ宛の電子メールのリストを作成します。

IronPort スパム検疫の設定において、修飾のないユーザ名( joe など)に追加するドメインを指定している場合は、このドメインを後ろに追加してできる完全修飾電子メール アドレスを使用して、検疫エリア内の一致するエンベロープが検索されます。

それ以外の場合、IronPort スパム検疫は、入力された電子メール アドレスを使用して、一致するエンベロープを検索します。

IronPort スパム検疫にログインするための URL の決定

エンド ユーザが IronPort スパム検疫に直接アクセスするために使用できる URL は、マシンのホスト名と、検疫がイネーブルになっている IP インターフェイス上の設定(HTTP/S とポート番号)から作成されます。次の例を参考にしてください。

HTTP://mail3.example.com:82

設定例

POP/IMAP の設定例:

IMAP および POP の場合(単一ドメイン):

サーバ名を入力します。

サーバで SSL を使用するように設定している場合は、SSL をイネーブルにします。

[Append Domain to Unqualified Usernames] をイネーブルにし、ユーザのログイン用にエンベロープのドメインをこれに設定します。

IMAP の詳細については、ワシントン大学の Web サイトを参照してください。

http://www.washington.edu/imap/

通知のテスト

電子メール セキュリティ マネージャでテスト用のメール ポリシーを設定することにより、通知をテストできます。この場合、単一のユーザに対してだけ、スパムを検疫させます。その後、IronPort スパム検疫の通知設定で、[Enable Spam Notification] チェックボックスをオンにし、[Enable End-User Quarantine Access] チェックボックスをオフにします。これにより、[Deliver Bounced Messages To] フィールドに設定された管理者だけが、検疫内の新しいスパムについて通知されます。

エンド ユーザでの通知の確実な受信

エンド ユーザに対して、IronPort スパム検疫からの通知電子メールの差出人アドレスを各自のメール アプリケーション(Outlook、Thunderbird など)の迷惑メール設定にある「ホワイトリスト」へ追加することを推奨してください。

複数の通知の受信

ユーザは、複数の電子メール エイリアスに属しているか、複数の電子メール アドレスを使用していると、複数の通知を受信します。また、電子メールを受信する LDAP グループに属しているユーザもこれに当てはまります。

表 4-4 アドレス/エイリアスに応じた通知数

ユーザ
電子メール アドレス
エイリアス
通知数
Sam

sam@example.com

 

1

Mary

mary@example.com

dev@example.com、qa@example.com、

pm@example.com

4

Joe

joe@example.com、admin@example.com

hr@example.com

3


) LDAP を使用していない場合で、エンド ユーザが複数の電子メール通知を受信することがないようにする必要がある場合は、通知をディセーブルにすることを検討します。この場合、代わりとして、エンド ユーザが検疫に直接アクセスできるようにし、LDAP または POP/IMAP で認証します。


各ユーザに対して存在するメッセージの確認

認証の方式によっては(LDAP または IMAP/POP)、ユーザに対して IronPort スパム検疫内に複数の電子メール アドレス宛のメールが存在する可能性があります。

LDAP 認証を使用する場合、LDAP ディレクトリ内でプライマリ電子メール属性に複数の値が設定されていると、それらの値(アドレス)のすべてがユーザに関連付けられます。したがって、検疫エリア内には、LDAP ディレクトリでエンド ユーザに関連付けられたすべての電子メール アドレス宛の検疫されたメッセージが存在します。

しかし、ユーザが通知経由で検疫に直接アクセスする場合、あるいは認証方式が IMAP/POP の場合、検疫にはそのユーザの電子メール アドレス(または通知が送信されたアドレス)宛のメッセージしか表示されません。エンド ユーザ認証の動作の詳細については、「IronPort スパム検疫にアクセスするエンド ユーザ」を参照してください。

IronPort スパム検疫内では、電子メール アドレスの大文字と小文字が区別されないことに注意してください。たとえば、Admin@example.com 宛と admin@example.com 宛の電子メールは、両方とも「admin@example.com」に関連付けられたユーザの検疫エリア内に存在します。

検疫対象のメールのアドレスを制限

複数のメール ポリシーを使用して([Mail Policies] > [Incoming Mail Policy])、メールの検疫対象から除外する受信者アドレスのリストを指定できます。そのメール ポリシーにアンチスパムを設定する際、検疫の代わりに [Deliver] または [Drop] を選択します。

デフォルト エンコーディング

AsyncOS では、メッセージ ヘッダーに指定されたエンコーディングに基づいてメッセージの文字セットが決定されます。しかし、ヘッダーに指定されたエンコーディングが実際のテキストと一致していないと、そのメッセージは、IronPort スパム検疫内で閲覧される際に正しく表示されません。このような状況は、スパム メッセージの場合に発生することがよくあります。

デフォルト エンコーディングの指定

着信電子メールのヘッダーに文字セットのエンコーディングが指定されていない場合、IronPort アプライアンスを設定して、デフォルト エンコーディングを指定できます。そうすることにより、そのようなメッセージを IronPort スパム検疫内で正しく表示するのに役立ちます。

ただし、デフォルト エンコーディングを指定すると、他の文字セットのメッセージが正しく表示されなくなる可能性があります。これは、メッセージ ヘッダーにエンコーディングが指定されていないメッセージに対してのみ適用されます。一般に、このカテゴリに入るメールの多くが 1 つの特定のエンコーディングになると予測される場合にだけ、デフォルト エンコーディングを設定します。たとえば、検疫されるメールのうち、メッセージ ヘッダーに文字セットのエンコーディングが指定されていないものの多くが日本語(ISO-2022-JP)の場合、(下の scanconfig->setup オプションにおいて)「 Configure encoding to use when none is specified for plain body text or anything with MIME type plain/text or plain/html. 」のプロンプトが表示された際に、オプション 12 を選択します。

メッセージ ヘッダーにエンコーディングを指定していないメッセージに対してデフォルト エンコーディングを設定するには、CLI から scanconfig->setup コマンドを使用します。次の例では、デフォルトとして UTF-8 が設定されます。

mail3.example.com> scanconfig
 
There are currently 7 attachment type mappings configured to be SKIPPED.
 
Choose the operation you want to perform:
- NEW - Add a new entry.
- DELETE - Remove an entry.
- SETUP - Configure scanning behavior.
- IMPORT - Load mappings from a file.
- EXPORT - Save mappings to a file.
- PRINT - Display the list.
- CLEAR - Remove all entries.
[]> setup
 
[ ... ]
Configure encoding to use when none is specified for plain body text or anything with MIME type plain/text or plain/html.
 
1. US-ASCII
2. Unicode (UTF-8)
3. Unicode (UTF-16)
[ ... list of encodings ... ]
13. Japanese (EUC)
[1]> 2
 
Encoding set to "Unicode (UTF-8)".

IronPort スパム検疫内のメッセージの管理

ここでは、管理者の視点から、ローカルまたは外部の IronPort スパム検疫内にあるメッセージの操作方法について説明します。管理者が検疫を表示する場合、その検疫エリアに含まれるすべてのメッセージを利用できます。

管理者として、IronPort スパム検疫内のメッセージに対して次のアクションを実行できます。

メッセージの表示

メッセージの配信

メッセージの削除

メッセージの検索

図 4-24 IronPort スパム検疫の検索ページ

IronPort スパム検疫内でのメッセージの検索

検索フォームを使用して、IronPort スパム検疫内のすべてのメッセージにわたって検索します。


ステップ 1 エンベロープ受信者を指定します。アドレスは部分的に入力することもできます。入力した受信者に検索結果が厳密に一致する必要があるか、あるいは入力した値が検索結果のアドレスの一部、先頭、または末尾のいずれと一致する必要があるかを選択します。

ステップ 2 検索の対象期間を入力します。カレンダー アイコンをクリックして、日付を選択します。

ステップ 3 差出人アドレスを指定し、入力した値が検索結果のアドレスの一部、全体、先頭、または末尾のいずれと一致する必要があるかを選択します。

ステップ 4 [Search] をクリックします。検索基準に一致するメッセージがページの [Search] セクションの下に表示されます。

大量メッセージの検索

IronPort スパム検疫内に大量のメッセージが収集されている場合、および検索条件が絞り込まれていない場合、クエリーの結果が返されるまでに非常に長い時間がかかる可能性があり、場合によってはタイムアウトします。

その場合、検索を再実行するかどうか確認されます。大量の検索が同時に複数実行されると、IronPort アプライアンスのパフォーマンスに悪影響を与える可能性があることに注意してください。

IronPort スパム検疫内のメッセージの表示

メッセージのリストにより、IronPort スパム検疫内のメッセージが表示されます。一度に表示されるメッセージの件数を選択できます。カラム見出しをクリックすることにより、表示をソートできます。同じカラムを再びクリックすると、逆順にソートされます。

メッセージの件名をクリックしてメッセージを表示します。これには、本文とヘッダーが含まれます。メッセージは、[Message Details] ページに表示されます。メッセージの最初の 20 KB が表示されます。メッセージがそれよりも長い場合、表示は 20 KB で打ち切られ、メッセージの最後にあるリンクからメッセージをダウンロードできます。

[Message Details] ページから、メッセージを削除したり([Delete] を選択)、[Release] を選択してメッセージを解放したりできます。メッセージを解放すると、そのメッセージは配信されます。

添付ファイルを含むメッセージの表示

添付ファイルを含むメッセージを表示すると、メッセージの本文が表示された後、添付ファイルのリストが続いて表示されます。

HTML メッセージの表示

IronPort スパム検疫では、HTML ベースのメッセージは近似で表示されます。画像は表示されません。

符号化されたメッセージの表示

Base64 で符号化されたメッセージは、復号化されてから表示されます。

IronPort スパム検疫内のメッセージの配信

メッセージを解放して配信するには、解放する 1 つまたは複数のメッセージの隣にあるチェックボックスをクリックし、ドロップダウン メニューから [Release] を選択します。その後、[Submit] をクリックします。

ページに現在表示されているすべてのメッセージを自動で選択するには、見出し行にあるチェックボックスをクリックします。

解放されたメッセージは、それ以降の電子メール パイプライン内の作業キューの処理をスキップして、宛先キューへ直接進みます。

IronPort スパム検疫からのメッセージの削除

IronPort スパム検疫では、メッセージが一定時間後に自動で削除されるように設定できます。また、IronPort スパム検疫が最大サイズに達したら、古いものから順にメッセージが自動で削除されるように設定することもできます。IronPort スパム検疫からメッセージを手動で削除することも可能です。

個別のメッセージを削除するには、削除するメッセージの隣にあるチェックボックスをクリックし、ドロップダウン メニューから [Delete] を選択します。その後、[Submit] をクリックします。ページに現在表示されているすべてのメッセージを自動で選択するには、見出し行にあるチェックボックスをクリックします。

IronPort スパム検疫内のすべてのメッセージを削除するには、その検疫をディセーブルにし(「ローカルの IronPort スパム検疫のディセーブル化」を参照)、[Delete All Messages] リンクをクリックします。リンクの末尾にある括弧内の数字は、IronPort スパム検疫内のメッセージの件数です。

図 4-25 すべてのメッセージを削除するリンク

セーフリストとブロックリストの利用

エンド ユーザによるセーフリストとブロックリストの作成を可能にして、どの電子メールがスパムとして処理されるかをより適切に制御できます。セーフリストにより、ユーザは、特定のユーザまたはドメインがスパムとして処理されないようにできます。それに対してブロックリストでは、特定のユーザまたはドメインが常にスパムとして処理されるようにできます。セーフリストとブロックリストの設定は、IronPort スパム検疫から設定されます。そのため、IronPort スパム検疫をイネーブルにし、この機能を使用するように設定する 必要があります 。セーフリスト/ブロックリスト機能がイネーブルにされると、各エンド ユーザは、自分の電子メール アカウントに対してセーフリストとブロックリストを維持できるようになります。


) セーフリストとブロックリストは、メールがスパムとして処理されるのを防止したり、メールがスパムとして処理されることを保証したりします。ただし、セーフリストやブロックリストを設定しても、電子メールに対するウイルスのスキャンや、内容に関連したメール ポリシーの基準をメッセージが満たすかどうかの判定は、IronPort アプライアンスで実行されます。メッセージは、セーフリストに該当しても、他のスキャン設定に従って配信されない場合があります。


セーフリスト/ブロックリスト データベース

ユーザがセーフリストまたはブロックリストにエントリを追加すると、そのエントリは IronPort アプライアンス上のデータベースに保管されます。M-Series を使用する場合、このデータベースは、M-Series アプライアンス上に保存され、関連するすべての C-Series アプライアンス上で定期的に更新と同期が行われます。IronPort スパム検疫が C-Series アプライアンス上にホスティングされる場合、セーフリスト/ブロックリスト データベースは、その C-Series アプライアンス上に維持されます。複数の C-Series アプライアンスを M-Series アプライアンスなしで使用する場合、データベースと設定を手動で同期する必要があります。セーフリスト/ブロックリストの設定およびデータベースを異なる C-Series アプライアンス間で同期する方法の詳細については、「セーフリストとブロックリストの設定とデータベースの同期」を参照してください。

バックアップ .CSV データベースを利用する方法については、「セーフリスト/ブロックリスト データベースのバックアップと復元」を参照してください。

セーフリストとブロックリストを M-Series アプライアンス上で利用する方法については、『 Cisco IronPort AsyncOS for Security Management User Guide 』を参照してください。

セーフリストとブロックリストの作成およびメンテナンス

セーフリストとブロックリストは、エンド ユーザによって作成およびメンテナンスされます。ただし、この機能をイネーブルにし、ブロックリスト内のエントリに一致する電子メール メッセージの配信設定を設定するのは管理者です。セーフリストとブロックリストを作成し、メンテナンスするには、管理者とエンドユーザが次の作業を実行します。

管理者作業 。管理者は、IronPort スパム検疫のイネーブル化と設定、セーフリスト/ブロックリスト機能のイネーブル化、セーフリスト/ブロックリスト データベースのバックアップと復元、異なるアプライアンス間でのセーフリスト/ブロックリスト データベースの同期、およびログ、アラート、カスタム ヘッダーによるセーフリストとブロックリストに関する問題のトラブルシューティングを行います。管理者作業の詳細については、「セーフリストとブロックリストの作成およびメンテナンスを行うための管理者作業」を参照してください。

エンドユーザ作業 。エンドユーザは、エンドユーザ スパム検疫によって自分のセーフリストとブロックリストの設定を作成します。エンド ユーザは、自分のセーフリスト/ブロックリスト設定にアクセスするために、(IronPort スパム検疫通知内のリンクをクリックする代わりに)ログイン作業が必要になる場合があります。エンドユーザ スパム検疫から、エンドユーザは、[Options] メニューを使用してセーフリストとブロックリストを作成できます。あるいは、検疫された電子メールのリストから、セーフリスト設定を作成できます。エンドユーザ作業の詳細については、「セーフリストとブロックリストを設定するためのエンド ユーザ作業」を参照してください。

セーフリストとブロックリストのメッセージ配信

セーフリストとブロックリストをイネーブルにすると、IronPort アプライアンスは、アンチスパム スキャンの直前にセーフリスト/ブロックリスト データベースに対してメッセージをスキャンします。IronPort アプライアンスがエンド ユーザのセーフリスト/ブロックリスト設定に一致する送信者またはドメインを検出した場合、受信者が複数存在すると(および各受信者のセーフリスト/ブロックリスト設定が異なると)、そのメッセージは分裂します。たとえば、受信者 A と受信者 B の両方に送信されるメッセージがあるとします。受信者 A のセーフリストにはこのメッセージの送信者のエントリがありますが、受信者 B にはセーフリストにもブロックリストにもエントリがありません。この場合、メッセージは 2 つのメッセージ ID で 2 つのメッセージに分割されます。受信者 A に送信されるメッセージは、セーフリストに一致していることが X-SLBL-Result-セーフリスト ヘッダーによってマークされ、アンチスパム スキャンをスキップします。一方、受信者 B 宛のメッセージは、アンチスパム スキャン エンジンによってスキャンされます。その後、どちらのメッセージもパイプライン(アンチウイルス スキャン、コンテンツ ポリシーなど)を続行し、設定されているすべての設定に従います。

メッセージの送信者またはドメインがブロックリストに含まれる場合、配信の動作は、ブロックリスト アクション設定によって決まります。セーフリストの配信の場合と同様に、セーフリスト/ブロックリスト設定の異なる複数の受信者が存在すると、そのメッセージは分裂します。分裂したメッセージのうちブロックリストに含まれるものは、ブロックリスト アクション設定に応じて検疫されるかドロップされます。ブロックリスト アクションの設定が検疫を実行するようになっている場合、そのメッセージはスキャンされ、最終的に検疫されます。ブロックリスト アクションがドロップに設定されている場合、そのメッセージは、セーフリスト/ブロックリスト スキャンの直後にドロップされます。

セーフリストとブロックリストは IronPort スパム検疫内で管理されているため、配信の動作は、他のアンチスパム設定にも左右されます。たとえば、アンチスパム スキャンをスキップするように HAT で「Accept」メール フロー ポリシーを設定すると、そのリスナー上でメールを受信するユーザは、自分のセーフリストとブロックリストの設定がそのリスナー上で受信されたメールに適用されなくなります。同様に、一部のメッセージ受信者についてアンチスパム スキャンをスキップするメールフロー ポリシーを作成すると、それらの受信者は、自分のセーフリストとブロックリストの設定が適用されなくなります。

セーフリストとブロックリストの作成およびメンテナンスを行うための管理者作業

セーフリストとブロックリストを使用するために、管理者は次の作業を実行する必要があります。

Ironport スパム検疫のイネーブル化と設定 。セーフリストとブロックリストは IronPort スパム検疫からアクセスされるため、セーフリストとブロックリストを使用するにはこの機能をイネーブルにする必要があります。詳細については、「IronPort スパム検疫機能の設定」を参照してください。

セーフリスト/ブロックリスト機能のイネーブル化と設定 。IronPort スパム検疫をイネーブルにした後、セーフリスト/ブロックリスト機能をイネーブルにし、設定します。ブロックリストの電子メールに対するブロックリスト アクション(検疫または削除)も設定する必要があります。詳細については、「セーフリスト/ブロックリスト設定のイネーブル化と設定」を参照してください。

セーフリスト/ブロックリスト データベースのバックアップと復元 。アップグレードするとき、セーフリスト/ブロックリスト データベースをバックアップし、復元する作業が必要になります。詳細については、「セーフリスト/ブロックリスト データベースのバックアップと復元」を参照してください。

セーフリスト/ブロックリスト データベースの同期 。エンド ユーザがセーフリストまたはブロックリストのエントリを入力すると、それらの設定はデータベースに保存されます。このデータベースは、AsyncOS が電子メールを処理する際に使用するデータベースと定期的に同期されます。IronPort スパム検疫が M-Series アプライアンス上に維持されている場合、管理者は、C-Series アプライアンスと同期するようにセーフリスト/ブロックリスト データベースを設定する必要があります。詳細については、「セーフリストとブロックリストの設定とデータベースの同期」を参照してください。

セーフリストとブロックリストのトラブルシューティング 。セーフリストとブロックリストをトラブルシューティングするために、ログ、アラートを確認できます。詳細については、「セーフリストとブロックリストのトラブルシューティング」を参照してください。

セーフリスト/ブロックリスト設定のイネーブル化と設定

[Quarantines] ページからセーフリストとブロックリストの設定をイネーブルにし、設定できます。


ステップ 1 C-Series アプライアンス上でセーフリストとブロックリストをイネーブルにするには、[Monitor] > [Quarantines] に移動します。


) セーフリストとブロックリストを設定する前に、IronPort スパム検疫をイネーブルにし、設定しておく必要があります。


ステップ 2 [End-User Safelist/Blocklist] 設定で、[Edit Settings] を選択します。

ステップ 3 [Enable Safelist/Blocklist Feature] を選択します。

ステップ 4 [Blocklist Action] に [Quarantine] または [Delete] を選択します。

ステップ 5 [Maximum List Items Per User] を指定します。この値は、ユーザが各セーフリストとブロックリストに載せることのできるアドレスまたはドメインの最大数を表します。

ステップ 6 [Submit] をクリックします。

セーフリスト/ブロックリスト データベースのバックアップと復元

セーフリスト/ブロックリスト データベースのバックアップを保存するには、IronPort アプライアンスでデータベースを .CSV ファイルとして保存します。.CSV ファイルは、IronPort アプライアンスの設定が格納される XML コンフィギュレーション ファイルとは別に保管されます。IronPort アプライアンスをアップグレードする場合、またはインストール ウィザードを実行する場合、セーフリスト/ブロックリスト データベースを .CSV ファイルにバックアップする必要があります。

ファイルをバックアップすると、IronPort アプライアンスによって、.CSV ファイルが次の命名規約に従って /configuration ディレクトリに保存されます。

slbl<timestamp><serial number>.csv

GUI から、次の方法を使用して、データベースのバックアップおよび復元を実行できます。


ステップ 1 [System Administration] > [Configuration File] から、[End-User Safelist/Blocklist Database] セクションに移動します。

ステップ 2 データベースを .CSV ファイルにバックアップするには、[Backup Now] をクリックします。

ステップ 3 データベースを復元するには、[Select File to Restore] をクリックします。

IronPort アプライアンスにより、コンフィギュレーション ディレクトリに保管されているバックアップ ファイルのリストが表示されます。

ステップ 4 復元するセーフリスト/ブロックリスト バックアップ ファイルを選択し、[Restore] をクリックします。

セーフリストとブロックリストの設定とデータベースの同期

エンド ユーザがセーフリストまたはブロックリストを作成すると、その設定はデータベースに保存されます。IronPort スパム検疫が M-Series アプライアンス上に存在する場合、セーフリスト/ブロックリスト設定が着信メールに適用される前に、このデータベースを C-Series アプライアンス上のデータベースと同期する必要があります。IronPort スパム検疫が C-Series アプライアンス上に存在する場合は、このデータベースを、メール キューを処理するときに使用される読み取り専用データベースと同期する必要があります。これらのデータベースを自動で同期するのにかかる時間は、アプライアンスのモデルによって異なります。次の表に、セーフリストとブロックリストの更新についてのデフォルトの設定を示します。

表 4-5 セーフリストとブロックリストの設定の同期

アプライアンス
同期時間

C150/C160

10 分

CC350/C360/C370

15 分

C650/C660/C670

30 分

X1050/X1060/X1070

60 分

MM660/M670

120 分

M1050/M1060/M1070

240 分

C-Series アプライアンスのグループを M-Series アプライアンスなしで使用する場合、セーフリスト/ブロックリストの設定とデータベースはマシン間で同期する必要があります。

集中管理機能を使用して複数の IronPort アプライアンスを設定する場合は、集中管理を使用して管理者設定を設定できます。集中管理を使用しない場合は、マシン間で設定が整合していることを手動で確認できます。

FTP を使用してアプライアンスにアクセスする方法の詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』または『 Cisco IronPort AsyncOS for Email Advanced Configuration Guide 』のいずれかに記載された「Accessing the Appliance」を参照してください。

セーフリストとブロックリストのトラブルシューティング

各エンド ユーザは、それぞれ独自のセーフリストとブロックリストを維持します。管理者は、エンド ユーザ アカウントにそのユーザのログイン名とパスワードでログインした場合にのみ、エンド ユーザのセーフリストまたはブロックリストにアクセスできます。セーフリストとブロックリストに関する問題をトラブルシューティングするために、ログ ファイルまたはシステム アラートを表示できます。

電子メールがセーフリスト/ブロックリスト設定によってブロックされると、そのアクションが ISQ_logs またはアンチスパム ログ ファイルにロギングされます。セーフリストに含まれる電子メールは、セーフリストに一致していることが X-SLBL-Result-セーフリスト ヘッダーによってマークされます。ブロックリストに含まれる電子メールは、ブロックリストに一致していることが X-SLBL-Result-ブロックリスト ヘッダーによってマークされます。

アラートは、データベースが作成または更新されたり、データベースの変更またはセーフリスト/ブロックリスト プロセスの実行においてエラーが発生したりすると送信されます。

アラートの詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「System Administration」を参照してください。

ログ ファイルの詳細については、「ロギング」を参照してください。

セーフリストとブロックリストを設定するためのエンド ユーザ作業

エンド ユーザは、特定の送信者からのメッセージをスパムの判定から除外するために、セーフリストを作成できます。また、特定の送信者からのメッセージを常にスパムとして扱うために、ブロックリストを使用できます。たとえば、エンド ユーザは、もう興味のないメーリング リストから電子メールを受信している場合があります。そのようなユーザは、このメーリング リストからの電子メールが自分の受信箱に送信されないように、その送信者を自分のブロックリストに追加できます。また他方で、エンド ユーザは、スパムではない特定の送信者からの電子メールが自分の IronPort スパム検疫に送信されていることに気づくこともあります。これらの送信者からの電子メールが検疫されないようにするために、エンド ユーザはそれらの送信者を自分のセーフリストに追加できます。


) セーフリスト/ブロックリスト設定は、システム管理者が設定する他の設定の影響を受けます。


セーフリストとブロックリストを利用するために、エンド ユーザは次の作業を実行する必要があります。

セーフリストとブロックリストにアクセスします 。認証の設定によっては、エンド ユーザは自分の IronPort スパム検疫アカウントにログインする必要があります。詳細については、「セーフリストとブロックリストへのアクセス」を参照してください。

セーフリスト エントリを追加します 。ユーザは、IronPort スパム検疫内の [Options] メニューまたは検疫されたメッセージのリストからセーフリスト エントリを追加します。詳細については、「セーフリストへのエントリの追加」を参照してください。

ブロックリスト エントリを追加します 。ユーザは、IronPort スパム検疫内の [Options] メニューからブロックリスト エントリを追加します。詳細については、「ブロックリストへのエントリの追加」を参照してください。

セーフリストとブロックリストへのアクセス

LDAP 認証またはメールボックス(IMAP/POP)認証を使用してアカウントが認証されるエンド ユーザは、セーフリストとブロックリストにアクセスするために、IronPort スパム検疫に対して自分のアカウントにログインする必要があります。これらのエンド ユーザは、通常はスパム通知経由で自分のメッセージにアクセスしているとしても(この場合は一般に認証を必要としません)、自分のアカウントにログインしなければなりません。エンドユーザ認証が [NONE] に設定されている場合、エンド ユーザは、セーフリスト/ブロックリスト設定にアクセスする際に自分のアカウントにログインする必要はありません。

セーフリスト エントリとブロックリスト エントリの構文

各エントリは、次の形式でセーフリストとブロックリストに追加できます。

user@domain.com

server.domain.com

domain.com

エンド ユーザは、同じ送信者またはドメインをセーフリストとブロックリストの両方に同時には追加できません。ただし、エンド ユーザがあるドメインをセーフリストに追加し、そのドメインに所属するユーザの電子メール アドレスをブロックリストに追加した場合、IronPort アプライアンスは両方のルールを適用します(逆の場合も同様です)。たとえば、エンド ユーザが example.com をセーフリストに追加し、 george@example.com をブロックリストに追加すると、IronPort アプライアンスは、example.com からのすべてのメールをスパムかどうかスキャンせずに配信しますが、 george@example.com からのメールはスパムとして処理します。

エンド ユーザは、 .domain.com のような構文を使用して、サブドメインの範囲を許可したり、ブロックしたりはできません。ただし、エンド ユーザは、 server.domain.com のような構文を使用して、特定のドメインを明示的にブロックすることはできます。

セーフリストへのエントリの追加

エンド ユーザは、次の 2 つの方法で送信者をセーフリストに追加できます。

方法 1


ステップ 1 IronPort スパム検疫から、[Options] ドロップダウン メニューを選択します。

図 4-26 エンドユーザ検疫内のセーフリスト オプション

ステップ 2 [Safelist] を選択します。

ステップ 3 [Safelist] ダイアログボックスから、電子メール アドレスまたはドメインを入力します。ドメインと電子メール アドレスは、コンマで区切って複数入力できます。

ステップ 4 [Add to List] をクリックします。

図 4-27 エンドユーザ検疫内のセーフリスト

方法 2

エンド ユーザは、メッセージがエンド ユーザ検疫に送信されていても、その送信者をセーフリストに追加できます。


ステップ 1 エンドユーザ検疫から、メッセージの横にあるチェックボックスをオンにします。

ステップ 2 ドロップダウン メニューから [Release and Add to Safelist] を選択します。

図 4-28 エンドユーザ検疫内のセーフリスト

指定したメールのエンベロープ送信者と差出人ヘッダーが両方ともセーフリストに追加されます。解放されたメッセージは、それ以降の電子メール パイプライン内の作業キューの処理をスキップして、宛先キューへ直接進みます。

ブロックリストへのエントリの追加

エンド ユーザは、ブロックリストを使用して、指定した送信者からのメールを受信しないようにできます。


ステップ 1 エンドユーザ検疫から、[Options] ドロップダウン メニューを選択します。

図 4-29 エンドユーザ検疫内のブロックリスト オプション

ステップ 2 ブロックリストに追加するドメインまたは電子メール アドレスを入力します。ドメインと電子メール アドレスは、コンマで区切って複数入力できます。

ステップ 3 [Add to List] をクリックします。

図 4-30 ブロックリストへの送信者の追加

IronPort アプライアンスは、ブロックリスト内のエントリと一致する電子メール アドレスまたはドメインからのメールを受信すると、そのメールをスパムとして処理します。このメールは、セーフリスト/ブロックリスト アクション設定に応じて、拒否されるか、検疫されます。


) セーフリスト エントリとは異なり、ブロックリスト エントリは、エンドユーザ検疫内の [Options] メニューからだけ追加できます。