(この記事はこちらの記事の翻訳版です。最新の記事では無いことをご了承くださいませ)

 

スパムルールとエンジンは最新にしてください。アプライアンスが最新の更新でない場合、最新のスパムメッセージを検出することは出来ません。現在の更新ステータスを確認す るには、アプライアンスの管理コンソールにおいて、システム, コンポーネントの管理, 更新ステータス で出来ます。アプライアンスはMcAfeeアップデートサーバより更新を受け取ります。これらの更新を受信するには、組織のファイアウォールの下記のポートが開いている ことを確認する必要があります:

 

スパム対策 エンジン:
MEG 7.6.2 もしくはそれ以降: HTTPS TCP 443,  tau.mcafee.com (組織の内部から外部へ)
EWS 5.6, MEG 7.0, MEG 7.5, そして MEG 7.6 up to 7.6.1: FTP TCP 21, ftp.nai.com (組織の内部から外部へ)。PASVモードを使用

 

スパム対策 ルール とストリーミングアップデート:
HTTP TCP 80,  http://su3.mcafee.com/su3,http://sav-su3-1.mcafee.com, 208.69.152.139, そして 192.187.128.17  (組織の内部から外部へ)

更に詳細については、KB72970 - Open ports required for the EWS/MEG 7.x Appliance (EWS/MEG 7.x アプライアンスの必要なオープンポート)を参照してください。

 

最大スキャンサイズ:
スパム対策スキャナのデフォルトの最大スキャンサイズ制限は250KBです。MEGスパム対策スキャナはこのサイズ制限を超えた電子メールメッセージはスキャンいたしませ ん。
この設定を確認または変更するには KB72143 - How to increase the EWS and MEG Appliance maximum message size for spam detection (EWS/ MEG アプライアンスのスパム検出の最大メッセージサイズを増やす方法)を参照してください。

 

スパムスコアとレポート:
すべてのメッセージに対してスパムスコアとレポートを追加してください。もし、スパムや誤検出されたメッセージをメールボックスに受信しているのであれば、McAfee スパムチームにレビューと修正を行われるために、このメールを提供することが出来ます。主な内部へのポリシーにて下記の変更が行われていることを確認してください(デフ ォルトポリシーに将来なるかもしれません)。

 

電子メール, 電子メール ポリシー, SMTP, スパム を選択してください。
スパム対策スキャンを有効にするために はい を選択してください。
スパム スコアの標識を追加するために、すべてのメッセージ対して を選択してください。
スパム レポートを添付 にて、すべてのメッセージ対して を選択してください。
OK をクリックしてください。
変更を適用してください。

 

スコア ベースのアクション:
追加のスコア ベースのアクション を スパム スコアが次の値以上の場合 5.0 と設定し、以下も実行 にて 修正した電子メールの隔離を設定してください。デフォルト設定では5ポイントまたはそれ以上で、10ポイントまたはそれ以上でデータを受け入れてからドロップ となっています。McAfeeスパムチームでは5ポイントよりも低いメッセージは正規のメールそして5ポイントまたはそれ以上のメッセージはスパムと考えています。その 為、デフォルトのスパム対策スキャン設定はスパムのような電子メールも通過を許可されてしまうかもしれません。スパムスコアを 5.0 から 10.0 の間の電子メールメッセージをブロックするには下記のようにスパム対策設定を変更してください:

 

電子メール, 電子メールポリシー, SMTP, スパム を選択してください。
スパム スコアが次の値以上の場合 の2番目のリストを有効にし、隣のテキストボックスに 5.0 を入力して下さい。
アクションでは データを受け入れてからドロップ(ブロック) を選択してください。
以下も実行 にて、修正した電子メールを隔離 を有効にしてください。
OK をクリックして、変更を適用してください。
スコアが 5.0 もしくはそれ以上の場合にスパムと見なされますが、この値は必要に応じて変更できます。更に低く4.2 に閾値を下げることも出来ますが、誤検出が少し増加する可能性があります。

 

スパム提出:
誤検出が発生した場合 (正規のメールが高いスコアを付けられたとき)もしくはスパムが未検出(スパムの電子メールに低いスコアが付けられたとき)、隔離から電子メールのコピーを入手してMc Afeeスパムチームにスパムやフィッシングサンプルを提出してください。

詳細な手順は KB59415 - How to submit spam and phishing samples to the McAfee Spam Analysis Team (McAfeeスパム解析チームにスパム/フィッシングサンプルを提出する方法)を参照してください。

 

送信者認証:
Global Threat Intelligence (GTI) メッセージレピュテーションは通常のスパム対策スキャンよりもはるかに速いスピードで大部分のスパムメッセージを識別することが出来、スパムの大量送信をより早く止める ことに役に立ちます。

電子メール, 電子メールポリシー, SMTP を選択してください。
内部へのポリシーグループにて送信者認証を開き、メッセージ レピュテーション タブを選択します。
検出上限しきい値 にて、検出上限しきい値で McAfee GTI  メッセージ レピュテーションを有効化します。
検出上限しきい値 の 検出しきい値 で、不審度が高い を設定します。
送信者がチェックに失敗した場合 のリストにて、利用可能なブロックアクションの一つを選択します。

 

送信者認証設定にて、不審なメッセージをブロックするため他に有効な設定があります。送信者認証ウィンドウの メッセージ レピュテーション タブにて、検出下限しきい値を有効にして検出しきい値を 不審 と設定することが可能です。送信者がチェックに失敗した場合 スコアに追加する 10 を設定するよう変更できます。SPF、送信者 ID、DKIM および FCrDNS タブに移動してください。各設定においては、送信者がチェックに失敗した場合のアクションで スコアに追加する 10 を設定できます。送信者認証ウィンドウ内で累積スコアおよびその他のオプション タブに移動してください(ノート: 使用するモニタの解像度によってはドロップダウンメニューを選択してからタブを選択しなければならない場合もあります)。このタブにて、追加されたスコアの合計を確認す る を選択します。スコアのしきい値 は20 のままにしておくことをお勧めします。GTOの検出下限しきい値, SPF,送信者 ID, DKIM および FCrDNS におけるスコアをチェックします。5スキャナのうち2つもしくはそれ以上のチェックに失敗した場合にこのしきい値に達した場合の設定アクションが実行されます。OK をクリックして変更を適用してください。送信者認証スコアはスパムスコアからは独立したものです。

 

重要: アプライアンスがMTAよりも内側にありMTAへのホップ数が設定されている場合 (次項で説明します)、拒否、クローズ、および拒否(ブロック) は使用しないでください。これによってGTI メッセージレピュテーションの検出がトリガされた場合、MEGは前段の接続するIPアドレスからのメールをすべて拒否してしまう可能性があるからです。I

 

もしMEGがMTAより組織の内側にある場合:
累積スコアおよびその他のオプション タブを選択して、MTAの内側の場合、送信者アドレスの電子メール ヘッダを解析する を有効にしてください。
OK をクリックしてください。
変更を適用してください。

 

ノート: GTI メッセージ レピュテーション にて席のメッセージがブロックされる問題に直面した時、KB62754 - Email Gateway/Secure Mail/Email and Web Security: TrustedSource FAQ を参照してください。

 

GTI フィードバック:
McAfee ではGTI フィードバックを有効にしていただくことをお勧めいたします。GTI フィードバックはMcAfeeにメッセージのメタデータを提出しGTIレピュテーションやスパムルールを改善いたします。
電子メール, 電子メールポリシー, SMTP, McAfee GTI のフィードバック を選択します。
脅威フィードバックを有効にします。
OK をクリックして変更を適用します。