SpamTitan設定関連 FAQ
| Q/A | 内容 |
| Q1 | ファイアーウォールの内側に於いて、複数サーバー、複数ドメインに於いて運用設定を行いたいのですが、スパムタイタン側と、各々のサーバー側で設定する 作業を具体的に教えてください。 |
| A1 | スパムタイタンではメールリレーのためにドメインを登録します。 各既存のMTAサーバーでは何も変更する必要はありません。 スパムタイタンの設定が終わった後全ての受信メールをスパムタイタンで受けるようにDNSサーバーMXレコードを変更してください。 ◎SpamTitanは外側のメール中継サーバーとして機能させます。 |
| Q2 | SpamTitan運用時にフィルタリング条件操作を、各ドメイン毎に権限委譲できますか。 |
| A2 | 各ドメイン単位でWebログイン認証を定義できます。 |
| Q3 | フィルタリング条件は各メールアドレス毎に「受信」や「破棄」と云った 設定ルールを適用できるのでしょうか。 |
| A3 | フィルタ条件はドメイン単位で設定可能です。ユーザー単位の設定も可能です。 但し、 ユーザー単位でフィルター後のアクションを設定することはできません。 |
| Q4 | ユーザポリシーはどのようなタイミングでできるのでしょうか。いつの間にか出来上がっています。 |
| A4 | ユーザポリシーが出来上がるタイミングは、 1、ユーザが隔離レポートを受け取った場合に、その内容に従ってSpamTitanの管理画面(自分自身のUI)にログインした時 2、隔離レポート内のオプションを変更した時。 3、全体の管理者がユーザポリシーを追加した時 の3点ですが、管理者がユーザポリシーを作成する事は殆どありません。ユーザポリシーがなければドメインポリシーが適用されます。 |
| Q5 | SpamTitanには「レートコントロール機能」(一定時間に同一IPからの連続した接続検知制御)はありますか? |
| A5 | SpamTitanでは「レートコントロール機能」は搭載されていません。SpamTitanの設置環境において外部MTA-SpamTitan-内部MTAという設置環境を想定しています。この場合SpamTitanに接続されるIPは一定であり、このような環境ではレートコントロールは機能しません。 SpamTitanでは一般的なレートコントロール機能を搭載する事も可能ですが上記の理由によってあえて搭載していないわけです。他の機能(受信者リスト等)でDos攻撃等に対応できます。 |
| Q6 | SpamTitanのISOイメージをダウンロード後インストールしました。バージョンは4.0.5となっていますが、最新の4.0.7にアップグレードする方法を教えてください。 |
| A6 | 次のステップで4.0.7にアップグレードします。 1、System Setup>System UpdatesからCheckUpdates Now:のStartボタンをクリックします。 2、4.0.6と4.0.7のアップデートモジュールが自動的にダウンロードされます。(各Doneが出れば完了です) ◎ダウンロードが完了すると一度DushBoardリンクをクリックして画面をリフレッシュしてください。 3、このページの下側にAvailable Updates項目に4.0.6と4.0.7のモジュールが表示されています。 4、4.0.6からInstallリンクをクリックしUpdate,同様に4.0.7のInstallリンクもクリックします。 ◎4.0.7へのアップグレードが完了するとSpamTitanのログイン画面に言語選択項目が表示されています。 備考1:1のCheckUptatesでUnable Update等のメッセージでダウンロードできなない場合、SystemSetup>NetworkのDNSサーバの設定を調べてください。4.0.5を最初にインストールした時デフォルトで数個のDNSサーバアドレスが書き込まれていますが、DNSサーバのIPアドレスは貴社環境に一致したDNSサーバのIPアドレスのみに設定しておいてください。 ◎あるいはSpamTitanが設置されている環境のF/WによるDownLoad不可かもしれません。Updateや運用に必要なF/Wポートリストに関しては電子メールにてお問い合わせ下さい。 備考2:時間の設定でj手動設定で時間が設定どうりにならない場合には、Spamtitanを一度再起動させてください。 |
| Q7 | SpamTitanを既存の外向けのMTAと内部MTAの中間に配置したい場合 (インターネット---外向けMTA(MX)---SpamTitan---内部MTA)では SpamTitanのフロントラインコンテントコントロール機能(システム設定>メールリレータブ内)は機能しますか? |
| A7 | 外部から最初のSMTP接続を受けるのは外向けのMTAですので、HELOリジェクト機能、RBL参照機能は機能しません。 しかしSpamTitanのアンチスパムエンジン>内部ネットワーク設定に外部用MTAのIPアドレスを書き込んで置く事によってSpamTitanは受信メッセージのヘッダーが外部用MTAによって付加されたものであるかを検査(区別)します。 これによって送信者のドメインの正当性などを検査しますのでフロントラインコンテントコントロールの一部の機能は動作します。 従って、このような環境の場合には内部ネットワーク設定に外部用MTAのIPアドレスは必ず書き込んで置いてください。 ◎SpamTitanの前段にMTAが存在する場合におけるフロントラインコンテンツコントロールで機能する項目 1、不明送信者ドメイン拒否 2、SPF機能 RBL、HELO拒否等は機能しません。結果としてSpamメールの検疫数が増加する傾向となります。 |
| Q8 | 外向けMTAとしてSpamTitanを設置(インターネット---SpamTitan---内部MTA)し、SpamTitanの受信者検査でリストを使用しています。SpamTitanを送信用としても使用する場合にシステム設定>メールリレー>信頼できるネットワークに内部側のLANセグメントを記述した場合、受信者検査(ダイナミック認証)が働きません。 |
| A8 | 内部セグメント(xx.xxx.xxx.0/24等)を設定するとセグメント内の全てのクライアントアドレスが許可される為、ダイナミック受信者検査が機能しません。 この場合「信頼できるネットワーク」に下記の設定を追加します。 1、127.0.0.1/8 (デフォルト) 2、!192.168.0.254/32 (内部MTAのIPアドレスで、このアドレスは除外する) 3、192.168.0.0/24 (セグメント内のクライアントからの送信を許可する) ◎この場合、内部クライアントが内部MTAを送信用に使用している場合には項目2は外さなければなりません。 従ってダイナミック受信者検査機能は使用できません。(LISTよる認証は可能です) |
| Q9 | スパムとして検疫されたメッセージを誤って削除してしまいました。復旧はできるでしょうか? |
| A9 | 検疫から削除されたメッセージは復旧できません。履歴でステータスがSpamDeletedとなっているものは不可能です。 |
| Q10 | SpamTitanの受信ユーザアドレスの認証方式の「ダイナミック認証」とはどのような認証方法でしょうか? |
| A10 | SpamTitanが中継する先のMTAにユーザ認証(ユーザアカウントが存在するかどうか)できる機能があるものを利用します。例えば中継先のMTAがPostfixであればmail.cfの local_recipient_maps = unix:passwd.byname $alias_maps、Exchange2003の場合にはメッセージ配信タグ>受信者フィルタリング機能の設定を使用する等、他のMTAでも同等の機能があると思われます。(Postfix,Instagate(Exim)では動作確認されています) ◎Windows2000サーバー+Exchange2000の場合にはダイナミック認証は使用できません。2000サーバのADのLDAP認証をご利用下さい。 ユーザ認証する場合としない場合の相違点を参照下さい。 |
| Q11 | SpamTitanの受信ユーザアドレスの認証で、ユーザ情報のキャッシュをクリアするにはどうすればいいでしょうか? 中継先のMTAのメールボックスに追加/削除しても、SpamTitanのダイナミック認証に反映されないようです。 |
| A11 | ユーザ認証方式がダイナミック認証時のみキャッシュが働きます。 このキャッシュ情報をクリアするには、 レポートタグ>システム情報 からPostfixを一時停止し、再度開始してください。 ダイナミック認証におけるSpamTitanが中継するMTAのユーザアカウントを追加/削除した場合、それらのアカウントがSpamTitanではすぐに反映されませんので、追加/変更時にはこの操作が必要です。 ●詳細: address_verify_positive_expire_time = 31d (アドレス ベリファイ ポシティブ期限=31日 ●メールアドレスの確認で、有効と判断した結果がキャッシュから消されるまでの時間 ====================== address_verify_positive_refresh_time = 7d (アドレス ベリファイ ポシティブ リフレッシュ期限=7日 ●メールアドレスの確認で、有効と判断した結果が保存される時間。 ====================== address_verify_negative_expire_time = 3d (アドレス 検証ネガティブ期限=3日) ●メールアドレスの確認で、無効と判断した結果がキャッシュから消されるまでの時間。 =============================== address_verify_negative_refresh_time = 3h (アドレス 検証ネガティブリフレッシュ期間=3時間 ●メールアドレスの確認で、無効と判断した結果が保持される最低時間。 (キャッシュ更新が必要となるまでの時間) |
| Q12 | SpamTitanを実際に導入された顧客様における全メッセージに対するスパムなどのパーセンテージはどの位なんでしょうか? |
| A12 | ユーザ様の環境やユーザ数の状況、Spamtitanの設定にも左右されますが、1日1500通の受信メッセージを処理されている場合の実例では、 受信メッセージ1500通に対して、 1,ユーザ認証でブロック 53% (ユーザ認証がList方式、中継先MTAのダイナミック認証やLDAP認証を使用している場合) 2, HELO 拒否 27% 3, RBL で拒否13% 4, クリーンメール 4% 5. Spamとして隔離 3% ウイルスメールは1ヶ月に1回受信するかしないかで、Spamをブロックすることによってウイルメールが極端に減少しています。 |
| Q13 | SpamTitanを導入し、アウトバンドメールに関しては内部MTA-->SpamTitan-->インターネット としていますが、STからISPのMTA経由で送信したい場合にどう設定すればいいでしょうか? |
| A13 | SpamTitanのメールリレー設定で、ドメイン入力に「*」(アスタリスクのみ)、宛先IPにISPのMTAのアドレスを入力してください。 内部MTA-->SpamTitan-->ISP-MTA-->インターネット となります。 |
| Q14 | SpamTitanのユーザ数ライセンス情報の見方ですが、最大ユーザ数と平均ユーザ数がありますがどのような意味を持っているのでしょうか? |
| A14 | 過去5日間における1日あたりの最大ユーザ数と平均ユーザ数を表します。 SpamTitanのユーザライセンスは平均ユーザ数を見ています。 |
| Q15 | SpamTitanのAutoLearn(自動学習)範囲設定値とスパムと判定する閾値(ドメイン、ユーザポリシー)の関連性はどのようになってますか? |
| A15 | AutoLearn設定におけるデフォルト設定値は0.1以下、10以上(をスパム)として設定されています。またドメインポリシーやユーザポリシにおける「スパムと判定するスコア閾値」は5となっています。 AutoLearnの場合の0.1から10という閾値は、SpamtItanの経験的設定値であり、これは変更しない方がよいでしょう。(Spam Assasinは少なくともヘッダーで3ポイント、ボディーで3ポイント、合計6ポイントが計算に必要な値です。スパム閾値を0.1とすれば、スパムでない閾値は最低5.9という値以上でなければなりません) ポリシ設定に置けるスパムとする閾値は5から7までを可変し、スパムでないのにスパムと判定されたメッセージ数が多ければ5から+1(あるいは+0.5)増やしてどのようななるかを調整します。 AutoLearnにおける閾値と、ポリシ設定における「これ以上をスパムとする閾値」との関連性はSpamtitanにおけるスコア判定の流れをご参照下さい。 1,スパムでないのにスパム(擬陽性)として検疫されたメッセージが多い場合、「これ以上をスパムとする」閾値をプラス側に増加、あるいは送信元アドレスをホワイトリストに追加。(特に重要) 2. スパムなのにクリーンメールとして配信(疑陰性)が多い場合、「これ以上をスパムとする」閾値をマイナス側に増加、あるいは明白なメッセージであればブラックリストに登録して下さい。 |
| Q16 | pam Quarantine Reportメール受信は一日に何回等設定できるのでしょうか? また、そのレポートメールはHTML形式で送信されるのでしょうか?そのメール上でDeliver等操作できるのでしょうか? |
| A16 | これは回数/1日という設定は無く、1回/1日(日報)、週報、月報という形で設定します。またレポートメールはHTMLメールです。この中で隔離されたメッセージの操作(配信等)ができます。 |
| Q17 | メールデータのバックアップは取れるのでしょうか? |
| A17 | SpamTitanはメールセキュリティーアプライアンスとして設計されていますので、一般的なメールアーカイバー装置のようなメッセージ蓄積の機能はありません。 バックアップされるのはネットワーク設定部分、ドメイン/ユーザポリシ、など主に運用上の設定部分のみです。 |
| Q18 | SpamTitanを利用しており、こちらではアウトバンドにもSpamTitanを通過させるようにしています。 内部のユーザからSpamメッセージの発信が多く、メッセージは検疫に蓄積されたままで21日の期限切れ(デフォルト)まで保持されていますが検疫数が多くて困っています。このような場合どうすればいいでしょうか? |
| A18 | ドメインポリシにおけるアウトバンド設定のデフォルトでは、スパムの処理が「検疫に隔離」となっています。 アウトバンドに関してはスパム処理を「拒否」とした方がいいでしょう。拒否とした場合、内部の送信者にスパムメッセージをバウンスさせます。 |
| Q19 | SpamTitanの設定でスパムアンチスパムエンジン>内の「ペンパルズホワイトリスト」とはどのような機能でしょうか? |
| A19 | ローカルユーザのよって送信されたメッセージの受信者が返すリプライメッセージは、ペンパルスソフト・ホワイトリストにリストされて低スパムスコアで受信されます。 これはローカルユーザが発信するメッセージのリプライ受信時において、擬陽性メッセージとして受信する可能性を少なくしています。 メッセージを受信すると、スパムタイタンはそのメッセージが送信に対する受信であるかをチェックし、送信に対するリプライメッセージであれば、経過時間(送信したメッセージから何秒で返信されたか)はスパムエンジンスコアから大幅に減数さるように計算されます。 返信がより早ければ、減数も大きくなります。 ペンパルボーナススコアのデフォルト値は3(減点)となっています。(ゼロに設定すると本機能は無効となります) これはスパムタイタンのローカルユーザ(スパムタイタンを送信用として使用している)が送信したメールの返信であることを認識しているとするスパムスコア減点の初期値です。 例として、 1、内部からの外部宛の返信メールであり、内部から送信後 (age0) 38分42秒(2322秒)後返信されたとします。 スパムスコアは5であり、スパムとして判定されるはずですが、実際には1.808として計算されています。 5-1.808=3.192という値が減算されており、この3.192はボーナス値3に0.192 が加算された減点値となっています。 2、同様に返信メールが(age0)51分04秒で帰ってきた場合、このスパムスコアは5であるが3.189程減点されて1.811が最終スコアとなっています。このように送信メールの返信時間間隔によりペンパルホワイトデフォルト値3に0.xxx更に加算されてて、この加算値は返信の時間により、早ければより減点を多く取るようになっています。 3、次の例:返信メールが4時間38秒の場合ではage1 と表示されており、スパム計算が1.899となっていた場合、最終スパムスコアは-0.774となっている。この場合、1.899-(-0.774)=2.673の減点となりますが、ボーナスデフォルト値3より少ない値となっています。 (ペンパズに関しては検証中です) ペンパルズ・ソフトホワイトリストは受信メール、および内部から内部のメールで機能しますが、送信メールでは機能しません。 |
| Q20 | SpamTitanのバックアップではドメインポリシー、および個人のポリシー(W/Bリスト)のバックアップはできるのでしょうか? |
| A20 | バックアップできています。バックアップされない項目としては、ログファイル、検疫メッセージ(全て)です。 これらのバックアップを行うには相当の容量のバックアップとなりますので、バックアップ項目には入っていません。 |
| Q21 | SpamTitanの検疫レポート送信をドメインポリシーでONとしており、夜中の0:00に配信されるように設定していますが、時折この時間以外の時間に配信されるユーザがあります。 全てのユーザが一律設定時間に配信と考えていました。 |
| A21 | 各ユーザに送られる検疫通知メールの中、下側にある設定項目の変更リンク、 ====================================== レポート配送頻度: 日 | 曜日 | 金曜日 | 月 | 不要 レポートに含む項目: 全検疫隔離項目 | 直前レポート以降の追加項目 検疫エリア全体や特定メッセージの閲覧は、 ここをクリック Send me a new report now containing: 全検疫隔離項目 | 直前レポート以降の追加項目 ====================================== この中の何れかの設定項目変更リンクを、エンドユーザがクリックした場合、その時点で該当ユーザに通知メッセージが配信されますので、エンドユーザ様の検疫メールに対する挙動によります。何もしなければ設定された時間に配信されます。 多くのユーザ様が存在し、ドメインポリシーで全員に検疫メール通知がなされている場合等、あたかも検疫メッセージが不特定時間に配信されているようにも思える結果となります。 |
| Q22 | SpamTitanのフィルタールール>グローバルホワイトリストに登録されている送信者ドメインや、送信者メールアドレスはフロントラインコンテントコントロールで有効でしょうか? |
| A22 | 無効です。フロントラインを通過したメッセージのスパム検査で機能します。 |
| Q23 | 日本語のメールマガジンなどでスパムスコア「TVD_SPACE_RATIO」や、「FM_FRM_RN_L_BRACK」という項目で高得点(2.219等)でスパム検疫されます。何とかならないでしょうか? |
| A23 | スパムスコア「TVD_SPACE_RATIO」は、スペースと非スペースの文字の比率本文で水平空白文字が0~10%の割合で出現するパターン)、「FM_FRM_RN_L_BRACK」はFromに "<" があって ">" が無いパターン。 Fromに日本語があるとマルチバイト中の 0x3c や 0x3e にマッチして誤判したりしますので、メールマガジン等、メールサブジェクトに長い言葉がある場合によく検知されます。 この送信元をホワイトリストに登録するか、あるいはスパム判定値がデフォルトの「5」であれば+2.3~2.5を加算して様子を見てください。 |
| Q24 | コンテンツフィルター>ファイル拡張子フィルターでファイル拡張子フィルタをOFFにしているにも係わらず、特定拡張子の添付ファイルをもったメールを「Banned Attachement」(禁止された添付ファイル(不正添付))として検疫してしまいます。 |
| A24 | ファイル拡張子フィルターのファイル拡張子を定義するための設定であり、こちらをONとしてください。そして、アンチスパムエンジン>ドメインポリシ(ドメイン毎)ーページの「添付ファイルタイプフィルタ:」項目が表示されますので、こちらで拡張子フィルタ機能をON/OFできます。ONの場合、検疫に隔離、タグ付け配信、拒否の3種の処置を設定できます。ドメイン毎に設定してください。更にユーザポリシで個別設定も可能です。 |
| Q25 | SpamTitaをhttpssアクセスとして認証局より発行の証明書の入力はSSLページでできますが、中間証明書の入力はどのようにすればいいでしょうか? |
| A25 | 現バージョン(V4.10)において中間証明書のGUI入力はできませんので、個別対応となります。ご一報下さい。 |
| Q26 | 中継先MTAのユーザ認証ができるかどうか(SpamTitanのダイナミック認証設定時)を試すにはどのようにすればいいでしょうか? |
| A26 | 中継先MTAと同セグメント上のPCのDosコマンドtelnet xxx.xxx.xxx.xxx 25 としてSMTP接続し、HELO、MAIL FROM後RCPT TO:とし(アカウント存在無し、ドメインは正当)の送信先を入力し、SMTPコード450あるいは550を中継先MTAが返すとユーザの存在性を検査できています。 250であればユーザの存在性は確認できていません。(xxx.xxx.xxx.xxxは中継先MTAのIPアドレス) |
| Q27 | 履歴データの保管日数指定できるでしょうか? また最大保管日数は? |
| A27 | 履歴ページの右上側の「設定」リンクで、3、5、1週間、2週間、3週間、1ヶ月の6種類の保管日数から選択可能です。最大1ヶ月となります。 |
| Q28 | 履歴にFalse Positiveというタイプがありますが、これは何を意味していますでしょうか? |
| A28 | タイプFalsePositiveは一般的に「擬陽性」としてスパムでないのにスパムとして判定されたという事を意味します。SpamTitanでは一度スパムとして検疫されたメールを管理者、あるいはユーザ検疫(検疫通知メールを受け取ったユーザ)によって該当するメールを選択して「Deliver」リンクをクリックし配信に変更されたものです。このメールの履歴はFalsePositiveとなります。 |
| Q29 | SpamTitanがダウン後、正常に立ち上がらない。 コンソールに; THE FOLLOWING FILE SYSTEM HAD AN UNEXPECTED.... ufs: /dev/da0s1f (/var) Enter Full pathname of shell or Return for /bin/sh: というメッセージが表示される。 |
| A29 | SpamtitanのHardDisk装置)ファイルシステムに何か障害があった(上記の場合/var)場合、 1、Return キーで#プロンプトが表示された場合には、 2、# fsck -y /dev/da0sif (上記の場合) ファイルシステムを修復します。 修復できた場合には、login: プロンプトが表示されますので、adminおよびパスワードを入力してメニューより再起動を一度かけてください。(GUIからの再起動でも可) その後、立ち上がると、すぐにバックアップを行い現状の設定をバックアップしておきます。 ◎HDを交換するか、あるいはこのまま様子見を行い再発するようであればHD交換が必要です。 |
| Q30 | クラスタ構成で運用する場合、検疫の管理はどのようになりますか?1つのサーバ(メイン)で検疫されるのでしょうか? |
| A30 | DNSあるいは負荷分散装置等でSpamtitanクラスタサーバにはそれぞれ検疫されます。(単一サーバに集中しての検疫ではありません)。 各クラスタで検疫されたメール情報はメインサーバから検疫通知メールが送信されます。この内容は検疫リストの右側にある「アクション:配信、ホワイトリスト、削除」 にリンクは実際にされたノードのIPアドレスになっています。従ってリンクは各ノードの情報が含まれており、単一サーバをのみではありません。各ノードに検疫されていても、検疫通知メールは、メインノードから発信されます。 また、Spamtitanの各種設定は 全てのノードで一番最後に設定した内容が全てのノードにすぐに反映されます。 |
| Q31 | クラスタ構成での運用でマスターノードが故障・交換の場合に対処法は? |
| A31 | クラスタノード(マスターノード)が壊れた場合には、 1、セカンドノード上でクラスタ設定を全てクリアしておきます。 (もしクリアしていないと、破損したマスタノードが立ち上がった時、未設定状態をセカンドノード以降にコピーさせないように考慮) 2、セカンドノードをマスタとして再登録(現時点ではマスタのみの登録、3台以上のノードであれば3台目のノードも登録) 3、旧マスタノードを再構築し、クラスタ設定にてセカンドノードとして登録この時、時刻設定と検疫>設定>サーバーHTTPアドレスは現在のマスタノードIPがコピーされているので旧マスタノード(本機)のアドレスを記述しておく事。 この状態にて設定は全て元に戻り、問題なく稼働します。 ◎セカンドノード(以降)が壊れた場合には、クラスタ設定のセカンドノード設定のみでOKですので簡単です。 |
| Q32 | SpamTitan V5.02を使用しています。ドメインポリシーでSpam検知時の処置としてPassed(taggedとしています。 この場合ブラックリストに登録されている送信元からのメールを受信すると履歴には「Blacklisted」を認識していますが、メールは受信者にタグ付配信されます。BlackListedなので拒否してほしいのですが。 |
| A32 | スパム検知の処置が「Passed(tagged)」の場合このような挙動をします。処置が「検疫」「拒否」の場合にはBlacklisted登録された送信元からのメールはそれぞれ検疫、拒否されます。 本件調査中です。 |