電子メールルール

外部送信者バナーの追加

組織外からの電子メールにバナーを追加し、ユーザーが外部メッセージを素早く識別できるようにします。

内部送信者バナーの追加

社内送信者からの電子メールに、組織内からのメッセージであることを確認できるバナーを付けて混乱を減らし、信頼を築きます。SPFやリレーの設定ミスの問題により、バナーが表示されなかったり、誤ったフラグ表示が起こることがあります。

バナーに「From」と「Sender」の値を表示

バナー内に「From」と「Sender」の両方のヘッダーを表示し、透明性を高め、攻撃者が本物の送信者を隠すスプーフィングの試みに気付きやすくします。一部の正規のメールシステム(例えばニュースレター)は異なる「Sender」値を使用するため、混乱を招く可能性があります。

「From」ヘッダーの一般的なホモグリフ文字について警告を行います。

「From」アドレスにラテン文字を模したキリル文字やギリシャ文字が含まれている場合、ユーザーに警告します。これはよくあるなりすまし手法です。これによりホモグリフ攻撃を防ぐことができます。正規の海外からのメールもこの警告をトリガーすることがあります。

「Sender」ヘッダーの一般的なホモグリフ文字について警告を行います。

「Sender」アドレスにラテン文字を模したキリル文字やギリシャ文字が含まれている場合、ユーザーに警告します。これはよくあるなりすまし手法です。これによりホモグリフ攻撃を防ぐことができます。正規の海外からのメールもこの警告をトリガーすることがあります。

疑わしいキーワードフィルター

「すぐに本人確認してください」や「当選しました」など、詐欺行為と関連している可能性が高い一般的なフィッシングフレーズや詐欺フレーズを含む電子メールにはフラグを立てます。マーケティングメールや正規の警告でも同様の表現が使われることがあるため、注意が必要です。組織のニーズに合わせた疑わしいキーワードのリストを作成することをお勧めします。

プロモーションメールフィルター

購読解除リンクや非ビジネスドメインを検出してプロモーションメールを特定し、ユーザーが重要なメッセージを優先できるようにします。一部の取引メール(例: 請求書)には購読解除リンクが含まれており、誤ってフラグが立てられることがあります。

高リスクのTLDドメインにフラグを立てる

.tk、.ml、.xyzなど、悪用率の高いドメインからのメールについてユーザーに警告します。これらのTLDは迷惑メールやフィッシングに頻繁に利用されています。一部の正規のサービスがこれらのドメインを使用していることがあるため、確認することが大切です。

Reply-Toヘッダーの不一致

Reply-Toアドレスが送信者と異なる場合にユーザーに警告します。これは回答をリダイレクトする一般的なフィッシング手法です。一部のメールシステムはサポートやチケット送信のために異なるReply-Toアドレスを使用していることがあるため、誤検知を引き起こすことがあります。

認証されていないメールを迷惑メールに移動する(SPFエラー)

SPFチェックに失敗した、または部分的に失敗したメールにフラグを立てます。これはスプーフィングの可能性を示しています。SPFは送信者の真正性を検証します。SPFレコードの設定ミスや転送サービスは誤検知を引き起こすことがあります。

認証されていないメールを迷惑メールに移す(SPFソフトエラー)

SPFチェックに失敗した、または部分的に失敗したメールにフラグを立てます。これはスプーフィングの可能性を示しています。SPFは送信者の真正性を検証します。SPFレコードの設定ミスや転送サービスは誤検知を引き起こすことがあります。

SPFなしの緊急メールに関する警告

高い優先度のメールにSPF検証がない場合、ユーザーに警告します。攻撃者はしばしばフィッシングメールを緊急とマークして受信者にプレッシャーを与えます。一部の正規のシステムではSPFの設定が正しくない場合があるため、続行する前に確認することをお勧めします。

ARCおよびDMARCチェックエラー時の警告

送信者のIDやメッセージの整合性を検証するDMARCおよびARCチェックに失敗した電子メールにフラグを立てます。これにより、スプーフィングや改ざんを防ぎます。転送されたメールやメーリングリストはこれらのチェックに失敗する可能性があり、誤検知を引き起こすことがあります。

PHPメーラーメールにフラグを立てる

PHPメーラー経由で送信された電子メールについてユーザーに警告します。これはセキュリティレベルの低い環境でスパマーに悪用されることがよくあります。PHPメーラーは正規のWebアプリケーションでよく使われますが、受信者は本物かどうかを確認すべきです。

ARCエラーのバナー

ARC認証に失敗するとユーザーに警告します。これはメッセージ転送の改ざんの可能性を示しています。ARCは転送チェーンを介した認証の維持に役立ちます。一部のメール転送サービスはARCエラーを引き起こすことがあります。

マクロ対応ファイルが添付された電子メールを隔離

メールにマクロ対応のOfficeファイルが含まれている場合、ユーザーに警告します。このファイルは悪意のあるコードを実行する可能性があります。これは一般的なマルウェアの配信方法です。一部の正規のワークフローでマクロ対応ファイルを使うこともあるため、管理者はブロック前に確認してください。

実行ファイルが添付された電子メールを隔離

マルウェア感染を防ぐため、実行ファイルを含むメールをブロックします。実行ファイルはリスクの高いファイルタイプです。まれに正当なユースケース(例: ソフトウェア配布)が影響を受けることがあります。

パスワード保護された添付ファイル付きの電子メールを隔離

悪意のあるコンテンツを隠している可能性があるパスワード保護ファイルを含む電子メールをブロックします。攻撃者はしばしば検査を回避するために暗号化を利用します。正当なセキュアファイル転送もブロックされることがあります。

二重拡張子ファイルが添付された電子メールを隔離

二重拡張子(例: invoice.pdf.exe)を持つ添付ファイルを含む電子メールをブロックします。これは実行ファイルを隠すためによく使われるマルウェアの手法です。まれに正当な命名規則がこのルールをトリガーする場合があります。

内部ドメインスプーフィングの防止(SPAFエラー)

内部ドメインスプーフィングの防止(DKIMエラー)

内部ドメインスプーフィングの防止(DMARCエラー)

内部ドメインスプーフィングの防止(送信者ヘッダー)

ドメインから送信されているように見えるが認証チェックに失敗した電子メールを隔離し、内部スプーフィング攻撃を防ぐのに役立ちます。DNSレコードやリレーシステムの設定ミスが誤検知を引き起こすことがあります。

DKIMエラーの緊急メールをブロック

DKIM認証に失敗した「緊急」とマークされた電子メールをブロックします。攻撃者は緊急性を利用して受信者にプレッシャーをかけ、セキュリティチェックを回避することよくあります。このルールはソーシャルエンジニアリングの試みを防ぐのに役立ちます。しかし、一部の正当な緊急メールも転送やメールサーバーの設定ミスによりDKIMに失敗することがあります。

送信者

特定の送信者によって送信されたメッセージに適用されます

送信者のIPアドレス

特定のIPアドレスによって送信されたメッセージに適用されます新しいアドレスを条件として追加する場合、IPv4とIPv6の両方が受け入れられます。

送信者ドメイン

電子メールアドレスの特定のドメインの送信者からのメッセージに適用されます。

From / From Name

メッセージヘッダーに含まれる「From:」値。これは受信者に表示される表示名ですが、送信システムがそのアドレスに代わり送信する権限があることは確認されません。これは、攻撃者が送信者をスプーフィングする際によく使用されます。この条件は、「From:」電子メールヘッダーフィールドとエンベロープ送信者に含まれるドメインをドメインリストと比較するために使用されます。

件名

件名に特定の文字列(または正規表現)を含むか含まないメッセージに適用されます。

本文

メッセージ本文の指定した語句が検索されます。Strip HTMLタグ機能を使用して、HTMLタグ、属性、および値を削除し、テキストのみを保持することができます。本文テキストが検索されます。

添付ファイル名

特定の名前の添付ファイルを含むメッセージに適用されます。これには、アーカイブ内に含まれるファイルも含まれます。

最上位の添付ファイルのみを評価する - 有効にすると、アーカイブ内のファイルは評価されなくなります。

添付ファイル内のオブジェクトのフルパスを使用する - 有効にすると、ファイル名だけでなく、オブジェクトのフルパスが評価されます。

添付ファイルの拡張子

指定されたサイズを満たさないか、指定されたサイズ範囲内か、指定されたサイズを超える添付ファイルを含むメッセージに適用されます。

添付ファイルタイプ

特定のファイルタイプが添付されたメッセージに適用されます。ファイルタイプは選択しやすいようにグループで分類されています。複数のファイルタイプまたはカテゴリ全体を選択できます。ESET Cloud Office Securityは、ファイル拡張子に関係なく、実際のファイルタイプを検出します。同じことがアーカイブのコンテンツにも当てはまります。

最上位の添付ファイルのみを評価する - 有効にすると、アーカイブ内のファイルは評価されなくなります。

受信時刻

特定の日付の前後または特定の日付範囲内に受信されたメッセージに適用されます。

SPF 結果
SPF結果 - Fromヘッダー
SPF 結果 HELO

SPF(Sender Policy Framework)評価の結果を含むメッセージに適用されます。

合格 - IPアドレスはそのドメインから送信することが許可されています(SPF修飾子"+")。

失敗 - SPFレコードには送信サーバーまたはIPアドレス(SPF修飾子"-")が含まれません

ソフト失敗 - IPアドレスはそのドメインから送信することが許可されているか、許可されていない場合があります(SPF修飾子"~")。

中立 - IPアドレスがそのドメインから送信することが許可されていることを宣言したくない、SPFレコードに記述されているドメイン所有者を意味します(SPF修飾子"?")

不明 - NoneのSPFの結果は、そのドメインから発行されたレコードがないか、確認可能な送信者ドメインを特定のIDから決定できなかったことを意味します。

SPFの詳細については、RFC 4408をお読みください。

DMARC 結果

SPF、DKIMまたは両方の検証に成功または失敗したメッセージに、あるいは不明の場合に適用されます。

DKIM

DKIMの検証に成功または失敗したメッセージに、あるいは不明の場合に適用されます。

ARC

ARCの検証に成功または失敗したメッセージに、あるいは不明の場合に適用されます。

ヘッダ

電子メールのメッセージヘッダーフィールド名と値は条件として使用されます。比較タイプ:

ヘッダー名 - ヘッダー名を比べ、指定したヘッダー名が存在する場合に条件が満たされます。

ヘッダー値 - ヘッダー名とヘッダー値を比べ、選択した一致タイプに応じてヘッダー値にのみ一致タイプが使用されます。この条件を満たすには、指定するヘッダー名が完全に一致する必要があります(一致タイプはヘッダー名の値に影響しません)。

マルウェア検査結果

ドロップダウンメニューから、ルールを適用するメッセージを選択します。任意:未検査、駆除、感染、無効。

フィッシング検査結果

ドロップダウンメニューから、ルールを適用するメッセージを選択します。任意:未検査、駆除、フィッシング、無効。

迷惑メール検査結果

ドロップダウンメニューから、ルールを適用するメッセージを選択します。任意:未検査、駆除、迷惑メール、無効。

検査結果

ドロップダウンメニューから、ルールを適用するメッセージを選択します。任意:無効、マルウェア、フィッシング、迷惑メール、分析中、エラー、駆除、未検査。

隔離メッセージ

メッセージは受信者に配信されず、メール隔離に移動されます。

メッセージを削除

感染したメッセージを削除します。

添付ファイルを削除

メッセージ添付ファイルを削除します。メッセージは添付ファイルなしで受信者に配信されます。

検査をスキップ

メッセージは、マルウェア、フィッシング、迷惑メール保護によって検査されません。

所有者に通知

メールの受信者/所有者に通知するために送信される件名とメッセージのテキストを定義します。メッセージテキストのすべてのパラメーターは、中括弧で囲む必要があります(例: {ParameterName})。

管理者に通知

管理者の電子メールを入力し、通知として管理者に送信される件名とメッセージのテキストを定義します。メッセージテキストのすべてのパラメーターは、中括弧で囲む必要があります(例: {ParameterName})。

サブジェクトプレフィックスの追加

件名にプレフィックスを追加します。

次のルールを評価

他のルールを評価し、ユーザーは複数の条件群と複数のアクションを定義し、特定の条件で実行できます。

迷惑メールに移動

メッセージは、ユーザーのメールボックスの迷惑メール/スパムフォルダーに移動されます。

本文バナーを追加

バナーがメールメッセージに追加され、受信者に表示されます。バナーがメッセージに含まれる場合の見た目をカスタマイズできます。