SMTPANOMALY – SMTPの異常

メソッドの説明

企業環境ではメールは決まったやり方で送信されるという前提に基づく検知メソッド。このメソッドでは、明示的に定義されたメールサーバ以外を経由したメールの送信または送信の試みを検知できます。

また、SPAMCounterパラメータを使用して、1つのステーションからのメール送信数の増加の検知を有効にできます。増加数はMultiplicatorパラメータで指定します。このパラメータは、平均数のメールが他のステーションに送信された回数を定義します。平均は、1時間あたりMinimalMailLimitを超えるメッセージを送信したステータスのみについて計算されます。このメソッドでは、TCP/25 (SMTP)、TCP/465 (Secured-SMTP)、およびTCP/587 (メッセージ送信サービス)トラフィックのみ扱います。メールサーバからのフローおよび応答数に基づいて、メール数およびそれらのメールが実際に送信されたかどうかが推測されます。この情報は、生成されたイベントの詳細に記載されます。イベントターゲットは、メール送信が試みられたすべてのメールサーバを表しています。

ServersFilterオプションは、メールを送信できる正当なSMTPサーバを識別します。StrictModeオプションの値を「strict」に設定した場合は、フィルタによってメソッドに割り当てられたIPアドレスがイベントソースである必要があります。ExcludeMailServersオプションの値を「exclude」に設定すると、ServersFilterリストのIPアドレスが検知から除外されます。IgnoreSecuredSMTPオプションを使用して、安全なSMTPトラフィック(ポートTCP465)を無視できます。IgnoreScansオプションの値を「ignore」に設定すると、(メール送信としては)小さすぎる送信は無視されます。IgnoreTCP587オプションを使用して、メッセージ送信サービス(ポートTCP587)を無視できます。

このメソッドは、以下のサブメソッドで構成されます。

• UndefinedServer: 監視対象のネットワークで不正なSMTPサーバと通信するクライアントをレポートします。検知は、許可されているSMTPサーバのユーザ定義リストに基づいて行われます。

• SpammingClient: 大量のメールメッセージの送信によってSPAMの送信元と考えられる監視対象ネットワーク内のデバイスをレポートします。

メソッド設定

このメソッドは、組織のIPアドレスのみに適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチとインターネット接続回線です。

メソッドパラメータ

• ServersFilter: 監視対象ネットワークで使用できるメールサーバのIPアドレスを定義するフィルタ名。

• StrictMode: 割り当て済みのフィルタによって定義される、ネットワークの外側から来るメールトラフィックの除外。

• ExcludeMailServers: ServersFilterパラメータによって定義されているIPアドレスからの送信トラフィックを検知から除外します。

• IgnoreSecuredSMTP: 安全なSMTPサービス(TCP/993)のトラフィックを検知から除外します。

• IgnoreTCP587: メッセージ送信サービス(TCP/587)のトラフィックを検知から除外します。

• IgnoreScans: ポートスキャンとして認識されたトラフィックを検知から除外します。

• SPAMCounter: 送信メール数の増加の検知の有効化。

• MinimalMailLimit: 1つのデバイスから送信された最小メール数の閾値。

• Multiplicator: 1つのデバイスから送信されたメール数に関する動的な閾値の計算に使用される係数。閾値は、この係数とネットワーク平均の積として計算されます。

• IgnoreSYNflows: TCP SYNフラグのみを持つフローの除外。このオプションは、TCPフラグが正しく割り当てられたフローデータが存在する場合(のみ)、適用することをお勧めします。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます(検知のプロファイラ部分にあるStrictModeパラメータに従います)。

結果の解釈

このメソッドでは、スキャンの試行を検知できるだけでなく、スパイウェアに感染したデバイスも発見できます。また、意図的に、または誤った設定によって、企業のメールサーバ以外を使用している社員も検知できます。