強化されたメールマルウェア検索

強化されたメールコンテンツ検索を実行できます。

強化されたコンテンツ/ファイルプロパティ検索

最高レベルのメールマルウェア対策を提供します。これはデフォルトでオンになっています。

この設定内容は、受信メッセージと送信メッセージの両方に適用されます。

スキャンされなかったメールの処理

検索できないメッセージの扱いを選択できます。選択できるアクションは次のとおりです。

• 隔離
• 削除
• 件名にタグを追加

この設定は、受信メッセージのみに適用されます。

特定のメッセージを検索できない理由はさまざまです。

• ファイルにアクセスできない: ファイルは正しく識別されますが、ソフトウェアがファイルにアクセスできず、ファイルの展開や検索ができません。
• ファイルが破損している: ファイルが破損しているため、アクセスできません。
• ファイルは正しく識別されるが、予期しないコンテンツが検出される: ファイルは正しく識別され、アクセスも許可されますが、予期しないコンテンツが検出されます。ウイルス対策スキャンのプロセスでエラーが発生します。
• 検索がタイムアウトになる: 検索中、ウイルス対策スキャナでタイムアウトが発生します。この原因はいくつかあります。例をいくつか挙げると、多層の入れ子構造でファイルが圧縮されている場合や、ウイルススキャナの時間制限を超過した場合などがあります。
• サイズの大きい圧縮ファイル: 圧縮されている添付ファイルのサイズが大きすぎて検索を実行できません。添付ファイルが多重な入れ子構造で圧縮されている、含まれている圧縮ファイルのサイズが大きすぎる、あるいは添付ファイル内の圧縮ファイルの数が多すぎる可能性があります。

ここではいくつかの例を挙げました。これ以外にも理由があることが考えられます。

「受信許可/ブロック」リストに追加されているメールアドレスやドメイン、およびソフォス製品で暗号化されたメールは検索されません。

また、膨大な数の URL を含むメッセージも隔離されます。詳細は、クリック時の URL 保護を参照してください。

クリック時の URL 保護

これは「Email Advanced」ライセンスのみで使用可能で、デフォルトでオンになっています。

「クリック時の URL 保護」がオンになっている場合、受信メッセージに含まれる URL の参照先が、元の場所から Sophos Email Security に書き換えられます。

リンクをクリックすると、Sophos Email Security で SXL ルックアップが実行され、悪質なリンクの場合はブロックされます。URL が安全である場合は、事前に設定した、リンクのクリック時のアクションが実行されます (ポリシーの設定内容に依存します)。たとえば、「リスク - 中」の Web サイトを「許可」に設定済みの場合、リンクを確認し、悪質なリンクでないと確認できた場合は、リンクの元の参照先が表示されます。

許可する場合、リンクの表示先がわかるように、書き換えられた URL の行頭にドメイン名が表示されます。例: d=domain.com。

次のレピュテーションレベルに基づいて、Web サイトを処理するアクションを選択できます。

• リスク - 高: 不正サイト、マルウェアを含むサイト、フィッシングサイトなど。
• リスク - 中: スパムや匿名プロキシに関するサイトなど。
• 未検証: レピュテーションが検証できない Web サイト。

「リスク - 高」の Web サイトに対して、「許可」を選択することはできません。

また、プレーンテキストやデジタル署名付きなど、メッセージの形式に応じて、メール内の URL を書き換えるかどうかを設定することもできます。

• プレーンテキスト形式のメッセージ: HTML 形式ではないテキスト形式のメールを指します。HTML 形式を使用しない場合、URL の書き換えがオンに設定されると、エンコードされた URL がすべてメールに表示されます。URL の書き換えを回避するには、「プレーンテキスト形式のメッセージ内の URL を書き換える」オプションを選択解除します。
• デジタル署名されたメッセージ: URL の書き換えにより、S/MIME、PGP、および DKIM によって署名されたメッセージの署名が破損することがあります。URL の書き換えを回避するには、「デジタル署名されたメッセージ内の URL を書き換える」オプションを選択解除します。

詳細は、URL の許可リストを参照してください。

また、膨大な数の URL を含むメッセージも隔離されます。隔離の理由は、「スキャンできないコンテンツ」です。このようなメッセージのいずれか 1つを解放すると、それは配信され、URL は書き換えられません。セキュリティ上の理由から、上限数は公表していません。

Intelix 脅威解析

これは「Email Advanced」ライセンスのみで使用可能で、デフォルトでオンになっています。

アクティブな悪意のあるコンテンツを含むと思われるメールを、隔離された仮想環境に送信し、そこで開いてチェックします。SophosLabs Intelix™ は、静的解析および動的解析を使用して、メッセージ内の脅威を検出します。静的解析は、複数の機械学習モデル、ニューラルネットワーク、グローバルレピュテーション、ファイルのディープスキャンなどを活用します。動的解析は、サンドボックスでマルウェアを実行して、脅威の性質と機能を明らかします。

悪意のあると思われるメッセージは、仮想化環境で実行され、詳細に検査されます。

安全なメッセージは通常どおり配信されます。

Intelix 脅威には、次の 2つのカテゴリがあります。

• Intelix 悪意あり: 既知の脅威や検証済みの脅威を含むメッセージ。
• Intelix 疑わしい: 既知の脅威や検証済みの脅威は含まないが、疑わしい特性のあるメッセージ。

「Intelix 悪意あり」メッセージに対しては、次のアクションを選択できます。

• 隔離
• 削除

「Intelix 疑わしい」メッセージに対しては、次のアクションを選択できます。

• 隔離
• 配信
• 削除
• 件名にタグを追加

「Intelix サービスの場所」がオンになっている場合、任意の場所を指定することができます。

偽装対策

これは「Email Advanced」ライセンスのみで使用可能で、デフォルトでオンになっています。

この機能は、有名企業や組織内の重要な人物 (VIP) を送信元に装ったメールを検出します。

この機能がメールを検出した場合に実行するアクションを選択します。

疑わしいメールにバナーを追加する場合は、バナーに表示されるアクションを選択できます。

次のオプションから選択します。

• 送信者のブロック: 送信者のメールアドレスがブロックリストに追加されます。
• ソフォスへのスパムメッセージの報告: ユーザーは、疑わしいメッセージを SophosLabs に報告できます。これはソフォスの偽装検出に役立てられます。

「ソフォスへのスパムメッセージの報告」をオンにした場合、ユーザーがメール内で「送信者をブロック」をクリックすると 、メッセージを SophosLabs に報告するオプションが表示されます。これは、ソフォスの検出方法を改善し、新たな脅威について学ぶために役立ちます。

バナーは HTML 形式のメールのみに適用でき、プレーンテキスト形式のメールには適用できません。

VIP のメールアドレスは、「VIP の管理」で追加できます。

詳細は、偽装対策と VIP の管理を参照してください。

S/MIME 保護の設定

S/MIME (Secure/Multipurpose Internet Mail Extensions) を使用してメッセージを保護できます。受信メッセージ、送信メッセージ、またはその両方を保護します。

ポリシーで使用する前に、「設定 > セキュア MIME 設定」で、S/MIME 保護をオンにし、設定する必要があります。詳細は、S/MIME 設定を参照してください。

受信メッセージは、メールに添付されている証明書と照合して確認できます。

Sophos Email Security は、サードパーティから証明書を受信するまで、サードパーティの自己署名証明書によって署名された受信メッセージを確認できません。このような証明書は、「グローバル設定 > セキュア MIME 設定 > 外部 S/MIME 証明書」でアップロードする必要があります。詳細は、外部 S/MIME 証明書を参照してください。

Sophos Email Security に、送信メッセージを暗号化して署名するために必要な S/MIME 証明書がすべてない場合、代わりに「プッシュ暗号化」を使用してメッセージを暗号化しようとします。詳細は、送信メッセージの処理を参照してください。

受信メッセージを復号化したり、送信メッセージを暗号化したりできます。

メッセージが S/MIME によるチェックに失敗した場合は、次のようなアクションを選択できます。

• 受信メールを隔離、削除、または受信者に通知するために件名にメッセージを追加して配信する。
• 送信メールを削除、隔離、配信、またはバウンスする。
• 送信メッセージの場合、「配信時にメッセージ全体をプッシュ暗号化」を選択できます。詳細は、送信メッセージの処理を参照してください。

受信メッセージの処理

受信メッセージの場合、S/MIME オプションのいずれか 1つだけ (「受信メッセージの検証」または「受信メッセージの復号化」) を設定した場合、メッセージの外部レイヤーのみが処理されます。選択したオプションが受信メッセージの種類と一致しない場合、メッセージは失敗します。

受信メッセージの場合、Sophos Email Security によって処理されたメッセージを検証または復号化する場合は、失敗時のアクションを「配信」に設定することができます。ユーザーが、使用しているメールソフトウェアに証明書と秘密鍵を保存している場合などが考えられます。

たとえば、「受信メッセージの検証」を選択したが、メッセージが署名されていない場合、メッセージは失敗します。または、「受信メッセージの復号化」を選択したが、メッセージが暗号化されていない場合、メッセージは失敗します。

受信メッセージの処理方法は、オンになっている S/MIME 設定によって異なります。

「受信メッセージの検証」をオンにし、「受信メッセージの復号化」をオフにすると、メッセージは次のように処理されます。

「受信メッセージの検証」をオフにし、「受信メッセージの復号化」をオンにすると、メッセージは次のように処理されます。

送信メッセージの処理

Sophos Email Security は、S/MIME を使用できない場合、「プッシュ暗号化」で暗号化されたメッセージを配信できます。たとえば、Sophos Email Security に、S/MIME が機能するために必要な証明書がすべてない場合などに実行できます。

この機能をオンにするには、次の手順を実行します。

1. 「送信」メッセージの「失敗時のアクション」で、「隔離」または「配信」を選択します。
2. 「配信時にメッセージ全体をプッシュ暗号化」を選択します。

「配信」を選択した際、S/MIME 暗号化に失敗すると、Sophos Email Security はプッシュ暗号化を使用してメッセージを暗号化し、すぐに送信します。

「隔離」を選択した際、S/MIME 暗号化に失敗すると、Sophos Email Security はプッシュ暗号化を使用してメッセージを暗号化し、メッセージは、管理者によって隔離からリリースされると送信されます。プッシュ暗号化の詳細は、メール暗号化を参照してください。