Microsoft365 ライセンス保有していると”Exchange Online Protection” (EOP)というメールセキュリティ対策が利用できます。
Microsoftの公開情報を見てみますと、たしかにメールセキュリティ対策は可能なのですが、公開情報そのものが理解しにくいです。
理解しにくい理由は、もともと英語で書かれていた内容が機械翻訳で無理やり翻訳されているので、「内容が理解しずらい」のと「間違った理解を招いてしまう翻訳になる」という二面性があるからです。
言い換えると、公開情報を読む上で
・表現があいまいで内容がまったく理解できない
・翻訳精度が悪くて、内容がまったく理解できない
ということが起こっています。
このような公開情報からEOPの機能と動作に関することを深堀してみていきます。
公開情報からはなかなか読み解くことができない情報も含めて追記していきます。
EOPサービス概要と機能
“Exchange Online Protection” (EOP)の機能と仕組みについておさらいしておきます。
EOPはメールセキュリティ対策のクラウドサービスです。
メール利用すると、かならず「悪意のあるメール」が発生します。
そのメールとは「マルウェア」「フィッシング詐欺」「迷惑メール」がです。
この悪意のあるメールを開けたりしてパソコンに感染したり、フィッシングサイトへ誘導され重要な情報を盗まれたりします。
EOPは、このような悪意のあるメールに対してのフィルタリング機能を提供しています。
フィルタリングの仕組み
メールサーバの情報は外部DNSへMXレコードとして登録されており、外部からのメールは、いったんEOPへ届くよう設定されています。
Microsoftの公開情報
https://learn.microsoft.com/ja-jp/microsoft-365/security/office-365-security/eop-about?view=o365-worldwide
概要図をみてみますと、EOPへ届いたメールは以下の順序で処理されているのがわかります。
EOPの処理
- 接続フィルター
- マルウェア対策
- メールフロー(ポリシーのフィルター)
- コンテンツフィルター
概要をみても「なんとなくわかる」程度でした。
しかし、どういった場面で具体的なポリシーが適用されたり、処理過程での動作については公開情報からはなかなか読み取れません。
そこで、簡単に以下に纏めました。
| 処理 | 動作 |
|---|---|
| 接続フィルター | 送信者のメールサーバ(SMTPサーバ)が正常なサーバかどうかをチェックする。 |
| マルウェア | マルウェアポリシーの内容に沿ってマルウェアがあるかを検査する。 マルウェアメールは「検疫」機能へメール移設・保留し、通常メールは通貨させる。 |
| メールフロールール | Exchange Online ルールが存在している場合、ルールに従ったメールフロー処理を行う。 |
| コンテンツフィルター | メールの内容をフィルターする。メールコンテンツが「迷惑メール」「詐欺メール(フィッシングメール)」かどうかを判定する。 |
「接続フィルター」の判定には、マイクロソフト独自の情報とサードパーティの情報を加味して、相手先の送信サーバが有効かどうかを判定します。有害とみなされた相手先からのメールは「破棄」されます。
なお、EOP上にログ取得できるのは、この「接続フィルター」を通ったメールのみ適用されます。
マルウェア対策
マルウェア対策ポリシーの内容を見てみましょう。
マルウェア対策のポリシーといっても、設定できることは少なくて、
・マルウェア検出時の動作(メール削除する、管理者にメール通知する、とか)
・ゼロアワー自動消去(ZAP)
・メール添付ファイル拡張子の指定
くらいですね。
なにかしらの詳細なポリシーで挙動を制御できると期待していたのですが、そういったものはありません。
ここで「ゼロアワー自動消去(ZAP)」という見慣れない用語がでてきました。
ゼロアワー自動消去(ZAP)というのは、新種マルウェアメール受信後の処理概要といえます。
たとえばメールが正常に受信後、「そのメールは新種のマルウェアメールだった」と判明した場合、いままでですと、受信トレイに残ったままですよね。
この受信したメールに対して一旦Exchange Online のメールボックスからマルウェアメールを回収し、マルウェアメールとして「検疫」する機能です。
迷惑メール対策
迷惑メール対策ポリシーの内容を見てみましょう。
迷惑メール受信時の挙動を制御できます。
ここでは、メール受信許可・拒否の項目がきめることができます。また、迷惑メール受信時の挙動で、通常では「迷惑メールフォルダ」へ移設する迷惑メールをEOP上の検疫にまわすこともできます。
迷惑メール判定に重要なことが1つあります。
「しきい値」という項目があります。
「しきい値」というのは、「バルク苦情レベル(BCL)」というものの値です。
どうゆうことかと言いますと、この「しきい値」の値によって、迷惑メールの判定を厳しくしたり、ゆるくしたりできます。
既定では「7」ですが、「6」以下が推奨されているようです。もちろん、バルクメールを厳しくして組織に迷惑メールを受信させないこともできます。この場合、必要なメールも迷惑メールとして処理されることがありますので気をつけてください。
| BCL | 説明 |
|---|---|
| 0 | バルク送信者からのメッセージではありません。 |
| 1,2,3 | 苦情がほとんどないバルク送信者からのメッセージです。 |
| 4,5,6 | 苦情の件数がさまざまなバルク送信者からのメッセージです。 |
| 8,9 | メッセージは、多くの苦情を生成するバルク送信者から送信されます。 |
3.まとめ
Microsoft365のメールを利用する際には、このEOPが無償で利用できます。
マイクロソフトから「メールフィルターの機能が提供されていること」自体にあまり気づきにくいと思います。
デフォルトのEOP設定でもメール利用はできます。しかし、このEOPを利用することでセキュリティ担保したり、迷惑メールやフィッシングメールといった組織外からの悪意のあるメールを防御したりできます。
もちろんメールフィルタリングは完璧なものは存在しませんので、不審な内容や送信先からのメールは削除するか検査するなどの個別対応が今も必須です。
とはいっても、EOPの機能はあまり知られていないので、メールの安全利用に少しでも役にたてると思います。
