本記事では、BEC保護設定について以下の内容を説明しています。
BEC保護管理機能とは
BEC保護管理機能とは、「Business E-mail Compromise(ビジネスメール詐欺)」対策の機能です。
送信者アドレスがお客様ドメインと類似しているメールなど、ビジネスメール詐欺の特徴を持つメールをスパム判定することが可能です。
本設定により正常なメールが誤ってスパム判定されないように、管理者にてユーザに届くスパムメールの特徴をある程度把握されてから設定されることをおすすめいたします。
■参考情報
https://www.npa.go.jp/cyber/bec/index.html
BEC保護ポリシーの設定方法
- 管理者モード > 高度な脅威保護管理 > BEC保護設定 > BEC保護ポリシー へ移動し任意のレベルの保護設定の「編集」ボタンをクリックします。
- 「BEC保護ポリシールール」を設定します。
各項目の説明は以下の通りです。項目 説明 類似内部ドメイン ヘッダFromが自ドメインと類似している場合、スパムメールとして隔離します。
例として、自ドメインがcybersolutions.co.jpの場合、以下のようなヘッダFromのメールは隔離されます。
From: xxx@cypersolutions.co.jp
From: xxx@cybers01utions.co.jp
※自ドメインと全く同じドメインの場合(なりすましメール)は検知されません。類似外部ドメイン
メールヘッダーセキュリティポリシーのドメインを適用メールヘッダーセキュリティポリシーのルールに登録されているメールアドレスのドメインを類似外部ドメインリストに追加します。
受信メールのヘッダFromが類似外部ドメインリストのドメインと類似している場合、スパムメールとして隔離します。類似外部ドメイン
類似外部ドメインリストを指定入力したドメインを類似外部ドメインリストに追加します。
受信メールのヘッダFromが類似外部ドメインリストのドメインと類似している場合、スパムメールとして隔離します。
例として、類似外部ドメインリストに「gmail.com」が登録されている場合、以下のようなヘッダFromのメールは隔離されます。
From: xxx@gmai1.com表示名偽装 ヘッダFromの表示名の部分に異なるメールアドレスが含まれている場合、スパムメールとして隔離します。
例として、以下のようなヘッダFromのメールは隔離されます。
From: "taro@example.co.jp" <jiro@example.co.jp>
""内が表示名で<>内がメールアドレスです。
表示名にメールアドレスが含まれない場合は、検知対象外です。
From: "taro" <jiro@example.co.jp>内部ユーザアドレス ヘッダFromのローカルパート(@以前)と同一アカウントが存在する場合、スパムメールとして隔離します。
例として、「yamada@cybersolutions.co.jp」というアカウントが存在する場合、以下のようなヘッダFromのメールは隔離されます。
From: yamada@example.co.jp
From: yamada@gmail.com
From: yamada@cybersolutions.co.jpReply-to が不一致 ヘッダFromとReply-Toアドレスが不一致の場合、スパムメールとして隔離します。
例として、以下のようなメールは隔離されます。
From: aaa@example.co.jp
Reply-To: bbb@example.co.jp辞書を用いた検出 件名や本文に指定したキーワードが含まれる場合、スパムメールとして隔離します。
拒否条件式と同じような設定です。ドメイン管理者に通知 チェックを有効にすると、BEC保護ポリシーにて検知したメールを受信した場合にドメイン管理者あてに通知メールが送信されます。
通知メール例)をご参照ください。適用対象リスト この保護設定を適用させる受信者のメールアドレスを指定します。
ワイルドカード(*)が利用可能です。 - 設定内容に問題がなければ、状態を「有効」に変更して保存します。
メールヘッダーセキュリティポリシーの設定方法
親会社、銀行、取引先などBEC攻撃の対象となりやすい送信元メールアドレスを指定しBEC保護を行うための設定です。
指定したメールアドレスとヘッダFromが一致するメールについて、Envelope-From・Reply-Toが一致していない場合に警告メッセージをつけることができます。
「BEC保護ポリシー」とは別に明示的に保護したいメールアドレスがある場合に設定します。
設定方法は以下の通りです。
- 管理者モード > 高度な脅威保護管理 > BEC保護設定 > メールヘッダセキュリティポリシー へ移動します。
- 「メールアドレス」に保護したいヘッダFromのアドレスを入力します。
設定例1)
上記設定の場合、Fromヘッダが「admin@example.co.jp」のメールで
Envelope-FromとReply-Toが「admin@example.co.jp」と一致しない場合に、
メールヘッダーセキュリティポリシーに該当します。
設定例2)
上記設定の場合、Fromヘッダが「admin@example.co.jp」のメールで
Envelope-FromとReply-Toが「admin@example.co.jp」と一致するメール、
もしくはEnvelope-Fromが「aaa@example.co.jp」かつReply-Toが「bbb@example.co.jp」のメール以外は、メールヘッダーセキュリティポリシーに該当します。 - 警告メッセージを入力して、「保存」をクリックします。
「ドメイン管理者に通知」のチェックを有効にすると、メールヘッダーセキュリティポリシーに該当したメールを受信した場合に、ドメイン管理者へ通知を行います。
※通知メールのサンプルはこちら
メールヘッダーセキュリティポリシーに該当したメールを受信した場合、以下のように件名に警告メッセージがついて受信者へ届きます。