メッセージの特徴
「'To' Address」(送信先アドレス)
メッセージの To ヘッダを分析します。Cc および Bcc の受信者を含むすべてのメッセージの受信者を分析するには、「Recipient's address」(受信者のアドレス) テストを使用します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Always Match」(常に一致)
メッセージを分析しません。このテストの戻り値は、常に true になります。このアクションは、メッセージの特徴に関係なく実行されます。
「Attachment name」(添付ファイル名)
Content-Type ヘッダと Content-Disposition ヘッダを解析し、ファイルタイプの識別機能を使用する場合は、ファイルのコンテンツ自体も解析します。このテストは、メッセージの各添付ファイルのファイル名を特定します。%%ATTACHMENT_NAMES%% テンプレート変数を展開します。
「Arguments」(引数) ボタンを押すと、以下のオプションが表示されます。
-
「Use true file type identification for filename extensions」(ファイル名の拡張子特定にファイルタイプの識別機能を使用する):ファイル名の拡張子を特定するのにファイルタイプ検出機能を使用するようにテストを変更します。Content-Type ヘッダと Content-Disposition ヘッダに示されたファイル名と共に、ファイル自体も確認します。アーカイブは自動的に展開されるため、他のファイル内のファイルをテストできます。PureMessage は、設定された最大レベルまでの必要なレベルまで、指定されたファイル タイプを検索します。最大再帰深度は、/opt/pmx/etc/tft.conf で設定します。
ドキュメントタイプのテストには、アプリケーション固有のファイル拡張子 (.doc、.xls など) を使用します。PureMessage によりサポートされている拡張子のリストを表示するには、以下を実行します。
pmx-list-true-filetypes --verbose - 「Match-type」(照合タイプ):一致に関する演算子。ドロップダウンリストに含まれるオプションの説明については、「演算子」セクションをご覧ください。
- 「Match values」(照合値):照合するファイルタイプ。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Attachment size」(添付ファイルのサイズ)
メッセージの各添付ファイルのサイズを分析します。このテストは、テキスト/プレーンやテキスト/html のメッセージ本文を含む、MIME 添付ファイルに適用されます。%%ATTACHMENT_NAMES%% テンプレート変数を展開します。
「Attachment true filetype」(添付ファイルのファイルタイプ)
.zip、.tgz ファイルなどのアーカイブファイルを含むメッセージの添付ファイルの中身を検索します。アーカイブファイルは自動的に展開されるため、他のファイル内にあるファイルをテストできます。PureMessage は、設定された最大レベル以下の必要なレベルまで、指定されたファイルタイプを検索します。最大再帰深度は、opt/pmx/etc/tft.conf で設定します。%%ATTACHMENT_NAMES%% テンプレート変数を展開します。
「Attachment type」(添付ファイルのタイプ) や「Attachment name」(添付ファイル名) といった同様のテストの代わりにこのテストを使用する利点は、このテストで指定したファイルタイプとファイルタイプが一致しない限り、メッセージにアクションが実行されないことです。たとえば、「Attachment type」(添付ファイルのタイプ) テストでは、ファイルの実際のタイプが異なる場合でも、メッセージの Content-Type ヘッダでファイルタイプが一致した場合にアクションが実行されてしまいます。したがって、メッセージに Microsoft Word の添付ファイルが含まれているように見えても、ファイル拡張子が偽装されていて、実際は .jpeg ファイルが含まれている可能性があります。
このテストを使用すると、特定のファイルタイプまたはファイル タイプのグループを検出できます。サポートされているファイルグループのリストを表示するには、以下を実行します。
pmx-list-true-filetypesこれらのグループ内の特定のファイル拡張子を表示するには、以下を実行します。
pmx-list-true-filetypes --verbose「Arguments」(引数) ボタンを押すと、以下のオプションが表示されます。
- 「Match-type」(照合タイプ):一致に関する演算子。ドロップダウンリストに含まれるオプションの説明については、「演算子」セクションをご覧ください。
- 「Match values」(照合値):照合するファイルタイプ。
「Attachment type」(添付ファイルのタイプ)
Content-Type ヘッダと Content-Disposition ヘッダを解析し、ファイルタイプの識別機能を使用する場合は、ファイルのコンテンツ自体も解析します。このテストは、メッセージの各添付ファイルのタイプを特定します。%%ATTACHMENT_NAMES%% テンプレート変数を展開します。
「Arguments」(引数) ボタンを押すと、以下のオプションが表示されます。
-
「Use true file type identification for file type」(ファイルタイプの特定にファイルタイプの識別機能を使用する):ファイルタイプ検出を使用するようにテストを変更します。宣言された Content-Type ヘッダと Content-Disposition ヘッダと共に、ファイル自体も確認します。アーカイブは自動的に展開されるため、他のファイル内のファイルをテストできます。PureMessage は、設定された最大レベル以下の必要なレベルまで、指定されたファイルタイプを検索します。最大再帰深度は、/opt/pmx/etc/tft.conf で設定します。
添付ファイルタイプのテストには、Mime ファイルタイプを使用する必要があります。PureMessage によりサポートされている Mime タイプの完全なリストを表示するには、以下を実行します。
pmx-list-true-filetypes --verbose - 「Match-type」(照合タイプ):一致に関する演算子。ドロップダウンリストに含まれるオプションの説明については、「演算子」セクションをご覧ください。
- 「Match values」(照合値):照合するファイルタイプの文字列または文字列リスト。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Body size」(本文のサイズ)
メッセージ本文のサイズを分析します。
「Content-Type」(コンテンツタイプ)
メッセージの Content-Type ヘッダの値を分析します。
「Envelope from」(送信者)
メッセージの「Envelope from」(送信者) の値を分析します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Envelope group」(送信者/受信者グループ)
メッセージの方向に応じて送信者グループまたは受信者グループを分析し、指定されたグループと照合します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Envelope to」(受信者)
メッセージの「Envelope To」(受信者) の値を分析します。個々の受信者または受信者リストを指定します。ただし、複数の受信者に送られたメッセージのテスト結果が true の場合は、指定されたアクションがすべての受信者に実行されます。たとえば、添付ファイルのあるメッセージが 5 人の受信者に送信され、そのうち 2 人が「Envelope To」(受信者) テストに指定されたリストに一致し、「Drop attachment」(添付ファイルを除外する) アクションも指定されている場合は、5 人の受信者のいずれも添付ファイルを受信しません。
service@example.com が joe@example.com にマッピングされている場合、「Envelope To」(受信者) のアドレスは joe@example.com です。詳細については、「管理者レファレンス」の「ポリシールール」セクションの「アドレスマップ」をご覧ください。(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Header contains word or phrase」(特定の語句を含むヘッダ)
特定の語句についてヘッダをチェックします。
「Arguments」(引数) ボタンを押すと、以下のオプションが表示されます。
- 「Comparator」(コンパレータ):選択した場合は、照合で大文字と小文字を区別するかどうかを指定できます。大文字と小文字を区別するには、「i;octet」も入力する必要があります。表示されるチェックボックスが選択されていないか、空白の場合、一致項目に関しては大文字と小文字が区別されなくなります。
- 「Match-type」(照合タイプ):一致に関する演算子。ドロップダウンリストに含まれるオプションの説明については、「演算子」セクションをご覧ください。
- 「Header names」(ヘッダ名):検索する特定のメールヘッダ。
- 「Match values」(照合値):照合するファイルタイプの文字列または文字列リスト。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Header exists」(ヘッダの有無)
特定のヘッダが存在するかどうかをチェックします。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Header size」(ヘッダのサイズ)
メッセージヘッダのサイズを分析します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Message contains a virus」(ウイルスを含むメッセージ)
メッセージのウイルスを検索します。
「Message contains credit card number」(クレジットカード番号を含むメッセージ)
主要なクレジットカードに共通している連続した番号について、メッセージを検索します。このテストは、認証を実施するチェックサム式である、Luhn アルゴリズムに基づいています。サポートされているクレジットカードは、American Express、MasterCard、Visa、Visa Electron、Discover Card、Diners Club、および China Union Pay です。
/opt/pmx/etc/creditcard.conf 内の creditcard_number_limit 設定により、特定のメッセージで PureMessage が検索する数値セクションの数が指定されます。デフォルトでは、PureMessage は、次の処理段階に進む前に、クレジットカード番号を含んでいる可能性がある 9つの番号セクションを検索します。
このテストで検索できない場合のアクションを /opt/pmx/etc/scanlimit.d/phrase.conf で指定できます。
「Arguments」(引数) ボタンを押すと、以下のオプションが表示されます。
- 「Search attachments」(添付ファイルを検索する):選択すると、このテストでは、.tgz ファイルと .zip ファイル内の添付ファイルを含む、添付ファイルの内部も照合します。たとえば、.zip ファイル内の .doc ファイルに埋め込まれた .xls ファイルに現れる語句を検出できます。
- 「Search all attachments, even after a match」(一致後でもすべての添付ファイルを検索する):「Search attachments」(添付ファイルを検索する) オプションと共に指定すると、このテストでは、一致が見つかったかどうかに関係なく、すべての添付ファイルを検索します。「Search attachments」(添付ファイルを検索する) のみを指定すると、最初の一致が見つかると同時に関連アクションが実行されるため、残りの添付ファイルは検索されません。「Message contains word or phrase」(特定の語句を含むメッセージ) テストに「Drop attachment」(添付ファイルを除外する) などのアクションを組み合わせている場合は、最初の一致が見つかった添付ファイルのみが除外され、残りはコンテンツに関係なく配信されるので、問題があります。
「Message contains suspicious attachments」(疑わしい添付ファイルを含むメッセージ)
メッセージの添付ファイルで「Suspect Attachment Names」(疑わしい添付ファイル名) リストに指定したファイル名またはファイル拡張子をチェックし、Content-Type ヘッダと Content-Disposition ヘッダで「Suspect Attachment Types」(疑わしい添付ファイルのタイプ) リストに指定した添付ファイルのタイプをチェックします。
「Arguments」(引数) ボタンを押すと、以下のオプションが表示されます。
-
「Use true file type identification」(ファイルタイプの識別機能を使用する):宣言された Content-Type ヘッダと Content-Disposition ヘッダと共に、ファイル自体も確認します。アーカイブは自動的に展開されるため、他のファイル内のファイルをテストできます。PureMessage は、設定された最大レベルまでの必要なレベルまで、指定されたファイル タイプを検索します。最大再帰深度は、/opt/pmx/etc/tft.conf で設定します。
一般的なアーカイブ形式のほとんどがサポートされています。疑わしい添付ファイルをテストする新しいルールを作成する場合、以下に説明する非推奨の「Inspect archives」(アーカイブを検査する) 引数の代わりに、この引数を指定することをお勧めします。
- 「Inspect archives」(アーカイブを検査する):ファイルタイプの識別機能が有効でない場合でも、メッセージに添付されたアーカイブファイル (.zip ファイルなど) 内でこのテストを有効にします。このテストは、ファイルに添付されたアーカイブファイルのコンテンツで、疑わしい添付ファイル名のリストに一致するファイルを検査します。.zip アーカイブ (プレーンおよび暗号化されたもの) のみがサポートされており、上位アーカイブのみが検査されます。アーカイブにネストされたアーカイブが含まれる場合、ネストされたアーカイブは検査されません。
「Message contains the specified virus」(指定されたウイルスを含むメッセージ)
指定されたウイルス名を分析し、自動的に「Message contains a virus」(ウイルスを含むメッセージ) テストを実行します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Message contains unscannable data」(検索できないデータを含むメッセージ)
メッセージのウイルス検索に失敗し、メッセージにウイルスが見つからない場合に true を返します。このテストは、事前に「Message contains a virus」(ウイルスを含むメッセージ) テストを実行している場合にのみ効果があります。これは、何らかの理由 (暗号化など) で検索できないメッセージとウイルスを含むメッセージを区別するために使用されます (いずれの場合もテストの戻り値は true です)。
cantscan.conf ファイルを編集して、PureMessage により許可または拒否される検索不可能なコンテンツのタイプを指定します。
「Message contains word or phrase」(特定の語句を含むメッセージ)
このテストには、「contains」(~を含む) 演算子と「Matches regex」(正規表現と一致) 演算子のみを使用してください。「is」(~である) テストおよび「matches」(一致) テストはメッセージのテキスト全体を比較するので、通常、特定の語句を検索する場合には適していません。
「Arguments」(引数) ボタンを押すと、以下のオプションが表示されます。
- 「Search attachments」(添付ファイルを検索する):選択すると、.tgz ファイルと .zip ファイル内の添付ファイルを含む、添付ファイルの内部も照合します。たとえば、.zip ファイル内の .doc ファイルに埋め込まれた .xls ファイルに現れる語句を検出できます。
- 「Search all attachments, even after a match」(一致後でもすべての添付ファイルを検索する):「Search attachments」(添付ファイルを検索する) オプションと共に指定すると、このテストでは、一致が見つかったかどうかに関係なく、すべての添付ファイルを検索します。「Search attachments」(添付ファイルを検索する) のみを指定すると、最初の一致が見つかると同時に関連アクションが実行されるため、残りの添付ファイルは検索されません。「Message contains word or phrase」(特定の語句を含むメッセージ) テストに「Drop attachment」(添付ファイルを除外する) などのアクションを組み合わせている場合は、最初の一致が見つかった添付ファイルのみが除外され、残りはコンテンツに関係なく配信されるので、問題があります。
- 「Match-type」(照合タイプ):一致に関する演算子。ドロップダウンリストに含まれるオプションの説明については、「演算子」セクションをご覧ください。
- 「Match values」(照合値):照合するファイルタイプの文字列または文字列リスト。
添付ファイルの最大サイズと検索するメッセージごとの最大時間を /opt/pmx/etc/phrase.conf で設定できます。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Message failed to scan」(検索できないメッセージ)
メッセージを検索できない場合に true を返します。このテストは、「Attachment name」(添付ファイル名)、「Attachment true filetype」(添付ファイルのファイルタイプ)、「Attachment type」(添付ファイルのタイプ)、「Message contains credit card number」(クレジットカード番号を含むメッセージ)、「Message contains word or phrase」(特定の語句を含むメッセージ)、および「Message contains suspicious attachments」(疑わしい添付ファイルを含むメッセージ) のコンテンツテスト内でのみ使用できます。
このテストは、主に、何らかの理由 (ファイルタイプを認識できないなど) で検索できないメッセージと不要なコンテンツを含むメッセージを区別するために使用されます (いずれの場合も各種コンテンツテストの戻り値は true であるため)。PureMessage により許可または拒否される検索不可能なコンテンツの種類を指定するには、/opt/pmx/etc/scanlimit.d/ のファイルを編集します。「Message contains word or phrase」(特定の語句を含むメッセージ) テストおよび「Message contains credit card number」(クレジットカード番号を含むメッセージ) テストに対して検索不可能なコンテンツオプションを設定するには、/opt/pmx/etc/scanlimit.d/phrase.conf を使用します。添付ファイルのテストには、/opt/pmx/etc/scanlimit.d/tft.conf> を使用します。
「Message has offensive content」(不快な表現のメッセージ)
メッセージに表示されるテキストを分析し、「Offensive Words」(不快な言葉) リストのコンテンツと比較します。このテストは、一致項目を検索する前に Base64/Quoted-Printable コード化テキストを復号し、HTML マークアップを排除します。
「Message is a bounce (Anti-Spam Module or Extended Policy Module)」(メッセージはバウンスメール (Anti-Spam Module または Extended Policy Module))
メッセージが配信不能レポートのメッセージの形式であるかどうかを解析します。
「Arguments」(引数) ボタンによって、「Use BATV to detect valid bounces」(BATV を使用して有効なバウンスメールを検出) のオプションが表示されます。このオプションが選択されている場合、PureMessage では正規のバウンスメールに対してのみ特定のアクションを実行ますBATV (Bounce Address Tag Validation) を使用しているメッセージは、次の処理ステップにに渡されます。
このテストは外部ホストから送信されてきたメールに対して実行され、「Apply BATV watermark」(BATV ウォーターマークを適用する) のアクションと連携して使用される必要があります。このアクションは、ポリシーの「Mail from internal hosts section」(外部ホストからのメールのセクション) で設定され、各送信メッセージにプライベートシグネチャを追加します。
このテストとアクションの両方が設定された場合、PureMessage でこのシグネチャが受信メッセージに含まれている場合に検出できるようになります。これによって、PureMessage では正規のバウンスメッセージと後方散乱のスパムメッセージとを区別できます。後方散乱メールの詳細については、ソフォスの Web サイトのサポートデータベースの文章をご覧ください。
「Message is from blocked IP」(ブロックされた IP からのメッセージ)
SophosLabs の IP ブロックリストデータに対して送信者の IP アドレスをチェックします。「IP Blocking Exception」(IP ブロッキングの例外) リスト、「Trusted Relay IPs」(信頼できるリレー IP) リスト、および「Internal Hosts」(内部ホスト) リストに定義された IP アドレスは除外されます。
このテストは、MTA レベルの代わりにポリシーレベルで IP ブロッキングを実行します。これは IP ブロッカサービスが実行されている場合にのみ有効です。ポリシーでこのテストを使用すると、ブロックされた IP アドレスからのメッセージをより柔軟に処理できますが、MTA レベルでメッセージを拒否する方法と比べて効果的ではありません。
ポリシーレベルで IP アドレスをブロックする場合も、「PureMessage Manager レファレンス」の「「Local Services」(ローカルサービス) タブ」セクションにある「MTA の IP ブロッキングを有効または無効にする」の説明に従って拡張 IP ブロッキング機能を有効にすることをお勧めします。
「Message size」(メッセージサイズ)
合計メッセージサイズを分析します。
「Never match」(照合しない)
メッセージを分析しません。このテストの戻り値は、常に false になります。このアクションは、メッセージの特徴に関係なく実行されます。
「Number of attachments」(添付ファイル数)
メッセージの添付ファイルの総数を分析します。
「Number of recipients」(受信者数)
メッセージの受信者の総数を分析します。
「Percentage of 8-bit characters」(8ビット文字の割合)
メッセージ本文に含まれる 8ビット (非 ASCII) 文字の総数を分析します。メッセージが 7ビットのみ (すべて ASCII) かどうかをチェックするために使用します。
「Received header」(Received ヘッダ)
メッセージの Received ヘッダを分析します。
「Recipient's address」(受信者のアドレス)
メッセージの To、Cc、および Bcc の各ヘッダを分析します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Relay」(リレー)
メッセージをローカルドメインに渡すサーバーのホスト名または IP アドレスを分析します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Reply-to header」(Reply-to ヘッダ)
メッセージの Reply-to ヘッダを分析します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Sender's address」(送信者のアドレス)
メッセージの From ヘッダを分析します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Spam probability」(スパム確率)
メッセージのスパム確率を計算します。メッセージが複数のスパム確率テストを経由する場合、スパム確率のためのメッセージの検索は一度だけ行われ、そのスコアが保存されます。これにより、メッセージを何度も検索しなくても、さまざまなスパム確率範囲に基づいて異なるアクションを実行できます。
「Spam rule hit」(スパムルールに一致)
メッセージが違反しているスパムルールの名前を分析し、自動的に「Spam probability」(スパム確率) テストを実行します。設定されているルールのリストについては、「Anti-Spam Rules」(スパム対策ルール) ページをご覧ください。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Subject」(件名)
メッセージの件名のコンテンツを分析します。
(複数のテストの式をサポートしています。詳細については、「テストの式」をご覧ください。)
「Verify Message DKIM Header」(メッセージの DKIM ヘッダを検証する)
DomainKeys Identified Mail (DKIM) は、メッセージの署名および検証に使用する認証フレームワークであり、送信者のドメインに基づいています。このテストは、送信アドレスのソースを検証して、認証を実行します。一部またはすべての送信メッセージに DKIM シグネチャを追加するように PureMessage を設定するには、「定義済みのアクション」セクションの「Sign message with DKIM header」(DKIM ヘッダでメッセージに署名する) をご覧ください。DKIM 検証は、使用できる DNS サーバーに保存されたパブリックキーへのアクセスに依存します。テストを有効にするには、これも設定する必要があります。一般的な情報については、www.dkim.org をご覧ください。
このテストは、DKIM シグネチャのメッセージヘッダを分析します。これにより、PureMessage で DKIM シグネチャのあるメッセージのソースを検証できます。このテストでは、メッセージが指定された値に一致する場合に true が返されます。
以下の値で説明するさまざまな可能性に対応するには、複数のテストを作成します。
「Configurable Values」(設定可能な値):
このテストに「Contains」(~を含む) および「Matches」(一致) などの一致に関する演算子を使用する場合、横のテキストボックスに次の 4つの値のいずれかを入力します。
- 「pass」(合格) - シグネチャが検出され、検証されました。
- 「none」(なし) - DKIM シグネチャがありません。
- 「fail」(不合格) - DKIM シグネチャは存在しますが、検証できません。
- 「invalid」(無効) - 何らかの理由でメッセージを検証できません。たとえば、DNS タイムアウトや、DNS ホスト名が無効であるなどの原因が考えられます。
特定のテスト結果に基づいたメッセージの隔離を計画している場合、この理由のためにメッセージが隔離されていることをエンドユーザーに通知する隔離ダイジェストを作成できます。詳細については、「PureMessage Manager レファレンス」の「Quarantine」(隔離) タブのセクションにある「隔離ダイジェストルールの管理」をご覧ください。