IPアドレスが分かっている自社メールシステムからのメールをEOPでスパム判定されたくない

概要

以下のような構成の際に、自社メールシステムからのメールを確実にExchange Onlineで受信したい

構成1:自社メールシステム(IP特定可能)から、自社Office365へのメール送信

構成2:自社メールシステム(IP特定可能)から、自社Office365や他社へのメール送信

EOPの仕組み

ポイント

大別すると、EOPは以下の2つの観点でスパム判定を行っている。

観点1. メールの送信元

まず

  • 接続フィルター
  • Microsoftブロックリスト
  • Spamhaus

で、不正なIPからのメール送信ではないことを確認する。また、不正なIPからでなくても、短時間に大量のメールを送信するようなメール送信元はここでブロックされることもある。

観点2. メールの中身

送信元チェックを潜り抜けたメールは

  • マルウェアフィルター
  • スパムフィルター
  • フィッシングフィルター

の3つでコンテンツのチェックが入る。フィッシングフィルターについては昨年登場した新機能でブログに書いた↓

ATP AntiSpoofingについて

スパム判定されたくない方法

観点1. メールの送信元

接続フィルターに送信元メールシステムのIPアドレスを記載することで、

  • Microsoftブロックリスト
  • Spamhaus

を回避できる。

観点2. メールの中身

ルール(トランスポートルール)に送信元メールシステムのIPアドレスを記載することで、

  • スパムフィルター
  • フィッシングフィルター

を回避できる。ただし

  • マルウェアフィルター

は回避できない。

まとめ

以下のようなメール経路が、最もスパム判定されない経路である。

実装方法についての議論

接続フィルターの代わりに受信コネクタを作成する

Exchangeエンジニアの中には、受信コネクタを作成する事で、Microsoftブロックリストを回避できると案内を受けた人もいると思う。私もその1人であるが、受信コネクタはそもそもMicrosoftブロックリスト回避のための機能ではないし、どちらにせよSpamhausは通ってしまうので、確実にスパム判定を回避できるとは言えない。また、Exchange Onlineエンジニアの間で言われる引き込みの法則という副作用により、冒頭の2の構成で、他テナントへのメールも自テナントに引き込んでしまう動作となる(2,3年前の話。仕様が変わってなければ今も)

受信コネクタがさまざまな条件でメール送信元を指定できるのに対して、接続フィルターはIPアドレスしか指定できない弱点があるが、確実な回避・引き込みの法則を避けるという点で、IPアドレスが判明しているなら、受信コネクタより接続フィルターを利用するのが良いと考える。

接続フィルター 受信コネクタ
対象 CIDR(IPアドレス) ドメイン、トランスポートルール
効果 Microsoftブロックリスト、Spamhausの回避 対象のメールが受信コネクタを使うため、Microsoftブロックリストに追加されにくい?
副作用 なし 引き込みの法則により、広範囲のメールを自テナントに引き込んでしまう

トランスポートルールの代わりに、SPFレコードを登録する

社内メールシステムといえどインターネットを通って(自社の)Exchange Onlineに着信するので、SPFレコードを記載し、スパム信頼レベルを下げる(=信頼できるメールである可能性を高め、スパム判定されにくくする)施策は有効である。しかしながら、SPFレコードはメールの信頼度を高める手段の1つであり、SFPレコードを登録してもその他の要因によってスパム判定されてしまう可能性はないとはいえない。確実にスパム判定を回避するなら、トランスポートルールの方が有用である。

トランスポートルール SPFレコード
対象 さまざまなルール IPアドレス
効果 スパムフィルター、フィッシングフィルターの回避 メールの信頼度の向上
スパム回避効果 確実 ほぼ確実

Posted by tera