本記事では、BEC保護設定について以下の内容を説明しています。
BEC保護管理とは
BEC保護管理機能とは、「Business E-mail Compromise(ビジネスメール詐欺)」対策の機能です。
送信者アドレスがお客様ドメインと類似しているメールなど、ビジネスメール詐欺の特徴を持つメールをスパム判定することが可能です。
本設定により正常なメールが誤ってスパム判定されないように、管理者にてユーザに届くスパムメールの特徴をある程度把握されてから設定されることをおすすめいたします。
■参考情報
https://www.npa.go.jp/cyber/bec/index.html
BEC保護ポリシーの設定方法
※BEC保護ポリシーは許可設定(IPホワイトリスト・許可送信者・許可条件式)よりも優先されます。
- 管理者モード > 高度な脅威保護管理 > BEC保護設定 > BEC保護ポリシー へ移動し任意のレベルの保護設定の「編集」ボタンをクリックします。例えば、財務部門、マネージャ、一般社員など、メールアドレスの重要度に応じて、異なるレベルで設定可能です。
- 「BEC保護ポリシールール」を設定します。
各項目の説明は以下の通りです。項目 説明 外部ドメイン ヘッダFromが外部ドメインの場合、スパムメールとして隔離します。 類似内部ドメイン ヘッダFromが自ドメインと類似している場合、スパムメールとして隔離します。
例として、自ドメインがcybersolutions.co.jpの場合、以下のようなヘッダFromのメールは隔離されます。
From: xxx@cypersolutions.co.jp
From: xxx@cybers01utions.co.jp
※自ドメインと全く同じドメインの場合(なりすましメール)は検知されません。類似外部ドメイン
メールヘッダーセキュリティポリシーのドメインを適用メールヘッダーセキュリティポリシーのルールに登録されているメールアドレスのドメインを類似外部ドメインリストに追加します。
受信メールのヘッダFromが類似外部ドメインリストのドメインと類似している場合、スパムメールとして隔離します。類似外部ドメイン
類似外部ドメインリストを指定入力したドメインを類似外部ドメインリストに追加します。
受信メールのヘッダFromが類似外部ドメインリストのドメインと類似している場合、スパムメールとして隔離します。
例として、類似外部ドメインリストに「gmail.com」が登録されている場合、以下のようなヘッダFromのメールは隔離されます。
From: xxx@gmai1.com表示名偽装 ヘッダFromの表示名の部分に異なるメールアドレスが含まれている場合、スパムメールとして隔離します。
例として、以下のようなヘッダFromのメールは隔離されます。
From: "taro@example.co.jp" <jiro@example.co.jp>
""内が表示名で<>内がメールアドレスです。
表示名にメールアドレスが含まれない場合は、検知対象外です。
From: "taro" <jiro@example.co.jp>内部ユーザアドレス ヘッダFromのローカルパート(@以前)と同一アカウントが存在する場合、スパムメールとして隔離します。
例として、「yamada@cybersolutions.co.jp」というアカウントが存在する場合、以下のようなヘッダFromのメールは隔離されます。
From: yamada@example.co.jp
From: yamada@gmail.com
From: yamada@cybersolutions.co.jp送信者アドレスの比較
Mail-FromヘッダーとEnvelope-Fromヘッダーを比較ヘッダFromとEnvelope-Fromアドレスが不一致の場合、スパムメールとして隔離します。
例として、以下のようなメールは隔離されます。
From: aaa@example.co.jp
Envelope-From: bbb@example.co.jp送信者アドレスの比較
Mail-FromヘッダーとReply-Toヘッダーを比較ヘッダFromとReply-Toアドレスが不一致の場合、スパムメールとして隔離します。
例として、以下のようなメールは隔離されます。
From: aaa@example.co.jp
Reply-To: bbb@example.co.jp送信者アドレスの比較
Envelope-FromヘッダーとReply-Toヘッダーを比較Envelope-FromとReply-Toアドレスが不一致の場合、スパムメールとして隔離します。
例として、以下のようなメールは隔離されます。
Envelope-From: aaa@example.co.jp
From: bbb@example.co.jp辞書を用いた検出 件名や本文に指定したキーワードが含まれる場合、スパムメールとして隔離します。
拒否条件式と同じような設定です。電子署名付きメールを信用する 「有効」を選択した場合、電子署名付きのメールはBEC保護設定の検知対象外となります。 通知
ドメイン管理者に通知チェックを有効にすると、BEC保護ポリシーにて検知したメールを受信した場合にドメイン管理者あてに通知メールが送信されます。
通知メール例)をご参照ください。適用対象リスト この保護設定を適用させる受信者のメールアドレスを指定します。
ワイルドカード(*)が利用可能です。 - 設定内容に問題がなければ、状態を「有効」に変更して保存します。
メールヘッダーセキュリティポリシーの設定方法
親会社、銀行、取引先などBEC攻撃の対象となりやすい送信元メールアドレスを指定しBEC保護を行うための設定です。
指定したメールアドレスとヘッダFromが一致するメールについて、Envelope-From・Reply-Toが一致していない場合にスパムメールとして隔離することが可能です。
「BEC保護ポリシー」とは別に明示的に保護したいメールアドレスがある場合に設定します。
設定方法は以下の通りです。
- 管理者モード > 高度な脅威保護管理 > BEC保護設定 > メールヘッダセキュリティポリシー へ移動します。
- 「メールアドレス」に保護したいヘッダFromのアドレスを入力します。ワイルドカード (*) が利用可能です。
設定例1)
上記設定の場合、Fromヘッダが「admin@example.co.jp」のメールで
Envelope-FromとReply-Toが「admin@example.co.jp」と一致しない場合に、
メールヘッダーセキュリティポリシーに該当します。
設定例2)
上記設定の場合、Fromヘッダが「admin@example.co.jp」のメールで
Envelope-FromとReply-Toが「admin@example.co.jp」と一致するメール、
もしくはEnvelope-Fromが「aaa@example.co.jp」かつReply-Toが「bbb@example.co.jp」のメール以外は、メールヘッダーセキュリティポリシーに該当します。