メールセキュリティー

$Date: 2018/02/20 09:45:09 $


■概要

メールセキュリティーは、ヤマハファイアウォール機器(以下、「ファイアウォール」と呼ぶ)のLAN1⇔LAN2間を通過するメールパケットに対して以下の2つのセキュリティー対策を実現するための機能です。

これらのチェックはクラウドサーバー上で実行されるため、ファイアウォールはインターネットに接続できる環境に設置する必要があります。また、ファイアウォール配下の端末(端末、スマートデバイスなど)やメールサーバーに対して特定のアプリケーションをインストールする必要はなく、使用している端末のメーカーやOSに依らず当機能を使用することが可能となっています。

システム構成は以下になります。

structure
  1. FWX120がLMSへアクティベーション
  2. メールサーバー<==>端末間でメールプロトコルのネゴシエーション
  3. FWX120がメールデータをYSCに転送
  4. YSCがメールデータをGTIに転送
  5. GTIがチェック結果をYSCに転送
  6. YSCがチェック結果をFWX120に転送
  7. FWX120は 6. の結果を基にメールを加工
  8. メールサーバー<==>端末間でメールデータの転送

ファイアウォール配下の端末とメールサーバーの間で送受信されるメールは、ファイアウォールを経由してヤマハが設置するセキュリティークラウド(以下、「YSC:Yamaha Security Cloud」と呼ぶ)に転送されます。YSCではメールのウイルススキャンを実行すると同時に、メール本体をインテル セキュリティ(マカフィー社)が設置するGTI(Global Threat Intelligence)サーバー(以下、「GTI」と呼ぶ)に転送します。GTIではスパムメールの判定を行います。YSCおよびGTIでのスキャンが完了するとファイアウォールに結果が通知されます。


■用語の定義

本ドキュメントで使用している用語を以下に定義します。


■使用上の注意

メールセキュリティーには以下の使用制限がありますので注意してください。

利用規約

当機能をご利用いただくには以下の利用規約への同意が必要となります。

ライセンス認証

当機能は有償サービスにより提供される機能になります。ご利用いただくには、以下のライセンス製品のいずれかを購入していただく必要があります。ライセンス認証についてはこちらを参照してください。

対応プロトコル

送信プロトコルは「SMTP」、受信プロトコルは「POP3(APOPも含む)」に対応しています。

※ SMTPのパイプライン処理には対応していません。
※ SMTP over SSL/TLSやPOP3 over SSL/TLSには対応していません。

推奨端末数

10端末程度

※ 弊社の検証用環境で「複数の端末から約50KBのメールを1秒以内に受信できること」という条件を満たすことができる台数を想定しています。この台数は使用されるネットワークの負荷やメールサイズなどによって変わりますので、参考値としてお考えください。

検査対象のメールパケット

ファイアウォールのLAN1⇔LAN2間を通過するメールパケットが検査対象となります。

メールサーバーをLAN1ポート配下のローカルネットワーク側の環境に設置し、LAN1ネットワーク内でメールの送受信を行う構成では、ファイアウォールを通過するメールパケットを正しく検出できません。その場合、ファイアウォールを透過モードに設定し、メールパケットがLAN1⇔LAN2間を通過する構成に変更してください。透過モードについてはこちらを参照してください。

WAN側回線の帯域

ファイアウォール内を通過するメールパケットをクラウドサーバーに転送するため、WAN側回線の帯域が狭いと処理に時間がかかってしまうことがあります。WAN側回線にはFTTH、ADSL、CATVなどのブロードバンド回線を使用することを推奨します。

最大サイズ制限

チェックするメールのサイズ(本文+添付ファイル)には上限があり、このサイズ以上のメールはチェックしません。上限サイズはmail security max sizeコマンドで変更でき、初期値は5MBとなっています。

※ このサイズを大きくするとパフォーマンスに影響するため、値を大きくすることについては推奨しません。

HTTPプロキシ非対応

LMSとのライセンス認証やYSCとの通信にはHTTPSを使用していますが、HTTPプロキシ機能には対応していません。

アンチウイルススキャンに未対応のファイル

以下のファイルはアンチウイルスのスキャン対象外になります。

ポリシーフィルター設定

メールセキュリティーを使用するときは、メールセキュリティー用のポリシーフィルターの設定に変更する必要があります。

メールセキュリティーを使用する設定に変更すると、以下の場合にポリシーフィルターでメールパケットがブロックされ、メールの送受信ができなくなることがあります。メールセキュリティー用のポリシーフィルターについては、「FWX120 メールセキュリティー ポリシーフィルター 設定例」を参考にしてください。

この動作は、使用しているファームウェアのリビジョンによって異なります。

Rev.11.03.13の場合

メールセキュリティーの使用 メールセキュリティー用のポリシーフィルター メール送受信 備考
ライセンス有効期間外、
またはYSCへのアクセスに失敗
(メールセキュリティーを利用できない)
ライセンス有効期間内
(メールセキュリティーを利用できる)
使用しない 設定なし 送受信可能送受信可能 (メールセキュリティー使用前)
使用する 設定なし 送受信可能送受信できない コマンドからメールセキュリティーを使用する設定に変更した場合
(=メールセキュリティー用のポリシーフィルターが未設定)
使用する 設定あり送受信できない 送受信可能
(セキュリティーチェックあり)
かんたん設定ページからメールセキュリティーを使用する設定に変更した場合(※)
(=メールセキュリティー用のポリシーフィルターは設定済)

(※) かんたん設定ページでプロバイダ、または透過型ファイアウォールの設定をした場合、かんたん設定ページからメールセキュリティーを使用する設定に変更すると、メールセキュリティー用のポリシーフィルターの設定が自動で適用されます。

Rev.11.03.18以降の場合

メールセキュリティーを利用できない場合の動作はmail security inactive transferコマンドの設定にしたがいます。

メールセキュリティーの使用 メールセキュリティー用のポリシーフィルター メール送受信 備考
ライセンス有効期間外、
またはYSCへのアクセスに失敗
(メールセキュリティーを利用できない)
ライセンス有効期間内
(メールセキュリティーを利用できる)
使用しない 設定なし 送受信可能 送受信可能 (メールセキュリティー使用前)
使用する 設定なし 送受信できない 送受信できない コマンドからメールセキュリティーを使用する設定に変更した場合
(=メールセキュリティー用のポリシーフィルターが未設定)
使用する 設定あり mail security inactive transferコマンドの設定値 送受信可能
(セキュリティーチェックあり)
かんたん設定ページからメールセキュリティーを使用する設定に変更した場合(※)
(=メールセキュリティー用のポリシーフィルターは設定済)
reject(初期値)
=送受信できない
pass
=送受信可能

(※) かんたん設定ページでプロバイダ、または透過型ファイアウォールの設定をした場合、かんたん設定ページからメールセキュリティーを使用する設定に変更すると、メールセキュリティー用のポリシーフィルターの設定が自動で適用されます。

機器の入れ替え

機器の故障等によりライセンス登録済みのファイアウォールを入れ替える場合は、交換後の本体のシリアル番号を販売代理店にご連絡ください。


■対象機種

機種リビジョン
FWX120Rev.11.03.13以降

■機能詳細

メールチェックの方式

端末⇔メールサーバー間でやり取りされるメールパケットは、ファイアウォールで一旦TCPセッションを終端し、ファイアウォールが端末/メールサーバーと通信を行うようになります。

  1. 端末がメールを送受信
         <=======================================>
    [端末]-----[ファイアウォール]---(Internet)---[メールサーバー]
  2. ファイアウォールがメールパケットを検出すると、端末⇔ファイアウォール、ファイアウォール⇔メールサーバーにTCPセッションを分割します
         <=====>                <================>
    [端末]-----[ファイアウォール]---(Internet)---[メールサーバー]
  3. ファイアウォールがメールデータをYSCに転送しメールチェックを行います
                                      [GTI] ^
                                        |   |
                                      [YSC] v
                                <=====>|
    [端末]-----[ファイアウォール]---(Internet)---[メールサーバー]

検出時の動作

スパムメールやウイルスメールを検出したときは以下の動作をします。

以下、各機能に関する詳細説明です。

ホワイトリスト

ホワイトリストとは、メールセキュリティーでスパムメールやウイルスメールと判定されたメールを正常なメールとして処理することを許可する機能です。

ホワイトリストにはFromアドレスとToアドレスが設定でき、検出した不正なメールのFromヘッダーまたはToヘッダーに含まれるメールアドレスと比較し、設定したキーワードと一致した場合に適用されます(Cc、BccフィールドはToヘッダーに含まれます)。スパムメールやウイルスメールと判定されたメールのうち、ホワイトリストの条件と合致したメールには、以下のXヘッダーを付加するのみで、件名にプレフィックスは付加しません。

スパムX-Yamaha-Mail-Security: operation=(XXXXX); result=spam; match=white
ウイルスX-Yamaha-Mail-Security: operation=(XXXXX); result=virus; match=white
スパム+ウイルスX-Yamaha-Mail-Security: operation=(XXXXX); result=spam+virus; match=white

※ (XXXXX):送信時はsend、受信時はreceive

ライセンス認証

メールセキュリティーは、ライセンス管理サーバーに対してアクティベートされているときに使用することができます。ライセンス認証については、LMSクライアントの外部仕様書を参照してください。

メールセキュリティーを利用できない場合のメール送受信動作

メールセキュリティーを利用できない場合(※)の動作は、mail security inactive transferコマンドの設定値に依存します。このコマンドは、Rev.11.03.18以降のファームウェアでのみ使用できます。

(※) メールセキュリティーを利用できない場合とは、以下を指します。

以下、各機能に関する詳細説明です。


■コマンド仕様

以下のコマンドを新設します。

○メールセキュリティーを使用するか否か

[書式]
mail security use SW
no mail security use [SW]
[設定値及び初期値]
[説明]
メールセキュリティーを使用するか否かを設定する。
off から on に設定を変更したときに、統計情報はクリアされる。

○メールセキュリティーでチェックする送信ポート番号

[書式]
mail security port smtp PORT [PORT ..]
no mail security port smtp [PORT ..]
[設定値及び初期値]
[説明]
メールセキュリティーで使用する送信ポート番号を設定する。
最大で4つまで設定することができる。

○メールセキュリティーでチェックする受信ポート番号

[書式]
mail security port pop PORT [PORT ..]
no mail security port pop [PORT ..]
[設定値及び初期値]
[説明]
メールセキュリティーで使用する受信ポート番号を設定する。
最大で4つまで設定することができる。

○メールセキュリティーで件名に付与する文字列

[書式]
mail security prefix TYPE PREFIX
no mail security prefix TYPE [PREFIX]
[設定値及び初期値]
[説明]
メールセキュリティーで不正なメールの件名に付与する文字列を設定する。

○メールセキュリティーでチェックするメールサイズの上限

[書式]
mail security max size SIZE
no mail security max size [SIZE]
[設定値及び初期値]
[説明]
メールセキュリティーでチェックするメールサイズの上限を設定する。

○アンチスパム判定の判定基準

[書式]
mail security spam level LEVEL
no mail security spam level [LEVEL]
[設定値及び初期値]
[説明]
アンチスパム判定の判定基準を設定する。

○SMTPで送信するメールのサイズが上限を超えたときの動作

[書式]
mail security smtp size overflow TYPE
no mail security smtp size overflow [TYPE]
[設定値及び初期値]
[説明]
メールサイズの上限を超えたメールを通過させるか否かを設定する。

○SMTPで送信するメールが不正なメールと判定したときの動作の設定

[書式]
mail security smtp detect illegal mail ACTION
no mail security smtp detect illegal mail [ACTION]
[設定値及び初期値]
[説明]
SMTPで送信するメールが不正なメールと判定されたときの動作を設定する。
transfer を指定した場合、不正なメールであることを本文に記載し、送信する元のメールを添付ファイルとしたメールを、mail security smtp to address コマンドで指定した宛先に転送する。
reject を指定した場合、不正なメールの送信元に 554 エラーを返し、SMTP サーバーにはメールを送らない。

○メールセキュリティーで機器が送信するメールの送信元アドレスの設定

[書式]
mail security smtp from address ADDRESS
mail security smtp from address ACCOUNT
mail security smtp from address auto
no mail security smtp from address
[設定値及び初期値]
[説明]
メールセキュリティーで送信するメールの送信元アドレスを設定する。
ADDRESSには、@ (アットマーク)を含むメールアドレス全体を指定する。
ACCOUNTには、@ より前のユーザー名を指定する。ACCOUNT形式の場合、@ 以降のドメイン名には、受信したメールのFROMアドレスの @ 以降を使用する。

○メールセキュリティーで機器が送信するメールの宛先アドレスの設定

[書式]
mail security smtp to address ADDRESS
mail security smtp to address ACCOUNT
mail security smtp to address auto
no mail security smtp to address
[設定値及び初期値]
[説明]
メールセキュリティーで送信するメールの宛先アドレスを設定する。
ADDRESSには、@ (アットマーク)を含むメールアドレス全体を指定する。
ACCOUNTには、@ より前のユーザー名を指定する。ACCOUNT形式の場合、@ 以降のドメイン名には、受信したメールのFROMアドレスの @ 以降を使用する。

○ホワイトリストの定義

[書式]
mail security white-list pattern NUM [from=KEYWORD] [to=KEYWORD]
no mail security white-list pattern NUM
[設定値及び初期値]
[説明]
ホワイトリストを定義する。
KEYWORDを省略すると全一致を示す'*'が設定される。

○ホワイトリストセットの定義

[書式]
mail security white-list set NUM LIST_NUM [LIST_NUM]
no mail security white-list set NUM
[設定値及び初期値]
[説明]
ホワイトリストセットを定義する。

○ホワイトリストセットの有効化

[書式]
mail security white-list set enable NUM
no mail security white-list set enable [NUM]
[設定値及び初期値]
[説明]
ホワイトリストセットを指定する。
このコマンドで定義したホワイトリストセットのみが有効となる。
同時に有効にできるホワイトリストセットは1つのみである。

○メールセキュリティーを利用できない場合のメール送受信の動作

[書式]
mail security inactive transfer ACTION
no mail security inactive transfer [ACTION]
[設定値及び初期値]
[説明]
メールセキュリティーを利用できない場合の動作を設定する。
メールセキュリティーを利用できない場合とは、ライセンス有効期間外、または、YSCへのアクセスに失敗した場合を指す。
[ノート]
このコマンドはRev.11.03.18以降で設定可能。

○メールセキュリティーの統計情報を表示する

[書式]
show status mail security [history]
[設定値及び初期値]
[説明]
メールセキュリティーの情報を表示する。

○ホワイトリストの統計情報を表示する

[書式]
show status mail security white-list [history]
[設定値及び初期値]
[説明]
ホワイトリストにより許可されたメールの情報を表示する。

○メールセキュリティーの検出履歴をクリアする

[書式]
clear mail security history
[説明]
メールセキュリティーの検出履歴をクリアする。

○メールセキュリティーのホワイトリスト情報をクリアする

[書式]
clear mail security white-list history
[説明]
メールセキュリティーのホワイトリスト情報をクリアする。

○YSCへの接続タイムアウトの設定

[書式]
ysc connection timeout TIME
no ysc connection timeout [TIME]
[設定値及び初期値]
[説明]
YSCへの接続タイムアウトを設定する。

○YSCへのメールスキャン要求に対するタイムアウトの設定

[書式]
ysc request timeout TIME
no ysc request timeout [TIME]
[設定値及び初期値]
[説明]
YSCへのメールスキャン要求に対するタイムアウトを設定する。

○YSCへの接続リトライ回数の設定

[書式]
ysc retry COUNT
no ysc retry [COUNT]
[設定値及び初期値]
[説明]
YSCへの接続リトライ回数を設定する。

○YSCとの通信状態を表示する

[書式]
show status ysc
[説明]
YSCとの通信状態を表示する。

○YSCとの通信状態確認用カウンタ情報をクリアする

[書式]
clear status ysc
[説明]
YSCとの通信状態用カウンタ情報をクリアする。

■設定例

以下の設定をするとメールセキュリティーは有効になります。端末側でメーラーの設定を変更する必要はありません。

mail security use on

メールセキュリティーを使用する場合、ポリシーフィルターの設定によりメールを送受信できなくなることがあります。ポリシーフィルターの設定については、ポリシーフィルター設定例を参考にしてください。

また、当機能はライセンス認証が行われている必要があります。ライセンス認証についてはこちらを参照してください。
ライセンス認証の結果は以下の方法で確認できます。


■GUI

GUIからメールセキュリティーの設定を行う場合は、プロバイダ設定に対するポリシーフィルターが自動設定されます。詳細はポリシーフィルター設定例を参考にしてください。

不正なメールを検知すると、ダッシュボードのメールセキュリティーガジェットに検出されたメールの情報が表示され、警告の表示もされます。


■SYSLOG

当機能において出力されるSYSLOGメッセージの一覧を以下に示します。実際に出力される各メッセージの先頭には"[MAIL_SEC] "というプレフィックスが付与されます。

レベル出力メッセージ内容
INFODetect spam mail (スコア)スパムメールを検出した
Detect virus mail (ウイルス名)ウイルスメールを検出した
Detect spam(スコア) + virus mail (ウイルス名)スパム+ウイルスメールを検出した
SMTP: Mail size is over (サイズ)メールサイズが上限サイズを超えている
POP3: Mail size is over (サイズ)
SMTP: can't scan mailYSCとの通信でエラーになった
POP3: can't scan mail
Match white-list pattern (ID)ホワイトリストと一致した
White list set (ID) enabled by configurationホワイトリストの設定が有効になった
Reject mail transfer for inactive licenseライセンス有効期間外のため、メールの送受信が行われなかった
Reject mail transfer for failure to access YSCYSCへのアクセスに失敗したため、メールの送受信が行われなかった
DEBUG[ID] Connect IPアドレス:ポート番号YSCに接続した
[ID] SSL connect errorYSCに接続できなかった
[ID] Can't connect to YSC(エラーコード)
[ID] Read error from YSC(エラーコード)YSCとの通信エラー
no such domain name (YSCのFQDN)YSCの名前解決ができなかった

■関連文書