Skip Navigation
Expand
バラクーダのフィルタリングのための、タグ、隔離およびブロックのしきい値を使用する最善方法
Answer ID 8861   |   Last Review Date 12/11/2018

バラクーダのフィルタリングのための、タグ、隔離およびブロックのしきい値を使用する最善方法を教えてください。

環境:

受信イーメール

解決策:

インプリメントするスパムフィルターは、バラクーダ・ネットワーク・アプライアンスです。バラクーダ・ネットワークスは、スパムを判断するための方法としてポイント・システムを使用しています。スパムメッセージは通常迷惑メールと識別される特定の属性を持っています。これらの各属性はポイント値が割り当てられ、各メールに適用可能な全ての属性のためのポイントは、最終的なスパムスコアに到着するために一緒に追加されます。隔離又は拒否スコアかどうかメッセージの処理方法を決定するために、これらのスパムスコアは「プリファレンス:スパム設定」に記載されている3つのスコアと比較されます。

イーメールのためのデフォルト・スコア (Oracle のホスティンググループにより設定):

「プリファレンス>スパム設定」ページで推薦されるスコアはバラクーダページ自体に書き込まれています。但し、Oracleのホスティングチームは、そのページ上の推奨値と異なるように、デフォルトのスコアを設定しています。これは、拒否機能を最初に高く設定することをお薦めするからです。

メール拒否機能は、10の値に拒否スコアを設定することによって無効になります。拒否機能を無効化することによって、イーメールが拒否されていないことを確認することができ、正当な顧客のリクエストはメールボックスに配信されます。この設定のデフォルト値は9です。

注意:バラクーダで拒否機能が無効化されていたとしても、Oracle B2C Serviceアプリケーション上のルール設定に基づいて、イーメールが廃棄されることもあります。

デフォルトにより、隔離機能は「プリファレンス:スパム設定」ページで無効化されています。これによって、イーメールメッセージは、ホストされているメールボックスへ配信されることが保証され、Oracle B2C Serviceアプリケーション内のメールボックスの設定に基づいてインシデントになるように処理されます。

Oracleのデフォルトのスコアは、3.5 のタグスコアと(無効化)の隔離スコアと設定されています。隔離スコアを越えるスコアを持つイーメールメッセージは、インシデントの件名に#QUAR#が付加されます。

タグスコアと隔離スコアの間のスコアを持つイーメールメッセージはインシデントの件名に#TAG#が付加されます。

Oracleが設定するデフォルトスコアは:

タグ・スコア: 3.5
隔離スコア: 10.0 (無効化)
拒否スコア: 9.0

スコアの説明

タグ・スコア: メッセージがタグ値(3.5がデフォルト)以上のスパム・スコアを持つ場合、件名に"#TAG#"が追加されます。その後メールはテクメールに渡され、これらのメッセージから作成されたインシデントは件名の中に#TAG#を含みます。これは、潜在的なスパムとしてフラグメッセージに使用されます。

隔離スコア: メッセージが累積スコアを持っている場合、バラクーダは受信イーメールの件名に#QUAR#が含まれます。隔離機能が有効化されている場合、バラクーダはメッセージを隔離の中に保持し、そのメッセージはテクメールボックスに配信されません。最初にバラクーダにログインする際、最初に見られる画面に隔離されているメッセージが表示されます。この画面上で、隔離に保持されているメッセージを配信又は削除することができます。

拒否スコア: 値が以上に設定されている場合、スパムスコアが拒否スコアを越える全てのメッセージは配信又は隔離されません。その代わりに廃棄されます。サポートコンソールでメッセージは見られず、バラクーダの隔離を通して見ることもできません。すなわちこのメッセージは完全に失われることになります。

Note: スコアが隔離スコアより低い場合、拒否が優先され(隔離としてフラグされるのとは対照的に)、メッセージは拒否されます。同様に、隔離スコアがタグ・スコア未満である場合、隔離スコアが優先されます。この場合、#TAG#は件名行に含まれません(タグは無効化にする)。

個々のイーメールのスコアを評価

Oracle B2C Service のEGW_SAVE_EMAIL_HEADERS設定が有効化されている場合、インシデント・スレッド内の連絡先の横にあるエンベロープ・アイコンをクリックすることによって、インシデントのイーメールヘッダーを見ることができます。エンドユーザーがイーメール(お問い合わせページ又はマイ・スタッフ質問ページではない)を通してインシデントを提出又は更新した時のみこのエンベロープは表示されます。詳しい情報は アンサーID7705: Eメールから作成されたインシデントのEメール・ヘッダーの進入 をご覧ください。

Eメールヘッダー内の次に似たセクションをお探しください。

X-Barracuda-Spam-Score: 2.07
X-Barracuda-Spam-Status: No, SCORE=2.07 using per-user
scores of TAG_LEVEL=3.5 QUARANTINE_LEVEL=9.0
KILL_LEVEL=1000.0 tests=HTML_ATTR_UNIQUE,
HTML_IMAGE_RATIO_04, THREAD_INDEX, THREAD_TOPIC,
X_PRIORITY_HIGH
X-Barracuda-Spam-Report: Code version 3.02, rules version 3.0.17279
Rule breakdown below pts rule name description
----------------------------------------------------------------------------
0.30 THREAD_TOPIC Thread-Topic: ...(Japanese Subject)...
0.12 X_PRIORITY_HIGH Sent with 'X-Priority' set to high
0.30 THREAD_INDEX thread-index:
AcO7Y8iR61tzADqsRmmc5wNiFHEOig==
0.18 HTML_IMAGE_RATIO_04 BODY: HTML has a low ratio of
text to image area
1.17 HTML_ATTR_UNIQUE BODY: HTML appears to have random
attributes in tags

この場合、受信メールのために計算されたスコアは2.07となります。 ヘッダーの次の行内では、TAG_LEVEL、QUARANTINE_LEVEL、およびKILL_LEVELは, バラクーダで設定されているTag, Quarantine, 及び Block スコア に対応します。これによって、それぞれのEメールがお客様のスコアと比較して測定させます。破線以下のセクションでは、Eメール内の属性に基づいてどのようにEメールのスパムスコアが計算されたかのブレイクアウトです。

適切なスコアの決定

メールボックスのためのバラクーダにスコア値を決定するためにスパム・メッセージと正当なメッセージの両方のスコアを確認することができます。拒否、又は隔離されるべきであるイーメールのスパムスコアを評価することにより、タグ、隔離、又は拒否受信メールのために使用するしきい値を決定することができます。

プリフェレンス>隔離設定ページ(ディフォルトは無効化)で、隔離機能を無効化することによってスコアを試すことができ、その後タグと隔離スコアを調整します。着信インシデントの件名行を調べることによって、サポートコンソールの2つのレベルのスコアを確認することができます。このプロセスの間、拒否機能は無効化されているべきであります。(拒否スコア10)

スコア値を決定するには、いくつかの実験が必要です。隔離スコアに対しての希望値をタグスコア値に設定し、拒否スコアに対する希望値を隔離スコアに設定します。このアプローチでは、タグスコアが隔離アクションをシミュレートし、隔離スコアが拒否アクションをシミュレートします。サポートコンソール内では、 #TAG# の付いたインシデントは隔離として考慮されるべきインシデントとして表示されます。#QUAR# のついたインシデントは拒否として考慮されるべきインシデントとして表示されます。


何日か着信インシデントの様子を見ます。タグと隔離スコアがどのように作業し効果的であるか測定するために、件名に#TAG# or #QUAR#が含まれたインシデントのスパムスコアを確認します。全く正当なメッセージの件名には、 #QUAR#  は含まれないはずです-- 拒否が有効化されている場合、これらのメッセージは拒否されてしまいます。正当なメッセージが#QUAR# でフラッグされる時、これらのメッセージのスパムスコアを評価し、隔離スコアをそれ以上の値に上げます。

 (Absolutely no legitimate messages should have #QUAR# in the subject -- since these messages will end up being blocked when blocking is enabled. )

同様に、件名に#TAG#が付いたインシデントは隔離されることを示しています。あまりにも多くの正当なメッセージの件名内に#TAG#が付けられるようであれば、0.2または0.3の単位でタグスコアを少し増やします。例えば、タグスコアの値を3.5から始め、3.7又は3.8へ増やし、必要なようであればそれ以上に増やしていきます。

いくつかのスパムメッセージが#TAG# 又は #QUAR なしのインシデントを作成しているようであれば、タグ及び/又は隔離スコアを少なくすることによって、これらのインシデントは少なくとも隔離又は拒否されます。

スコアを調整する時、 件名に#TAG#が付く正当なメッセージを最小限の数で保持しながら、#QUAR# 又は #TAG# の付かないわずかな数のスパムメッセージがサポートコンソールに入るようバランスを見つける必要があります。可能であれば、#TAG#でフラグされる正当なメッセージが0となるべきです。

スコアの調整をした後、1週間、一ヶ月とお客様が満足する十分な時間の間、設定された構成のためにシステムをしばらく実行させます。スパム インシデントが適切にブロックされているかどうか確認するためにスコアを評価し続け、件名に#QUAR#が含まれる正当なインシデントが0にな るようにします。

 #QUAR# と #TAG#によってフラッグされるインシデントについて適切な設定ができましたら、拒否と隔離をサイトへ実装することができます。タグに使用する値を隔離スコアに設定します。そして隔離に使用する値を拒否スコアに設定します。次に、隔離機能を有効化します プリファレンス>バラクーダの隔離設定ページ。 隔離を有効化するには、隔離有効化のフィールドで はい(Yes)をクリックし、その後そのセクションの見出しで変更を保存 をクリックします。

これで、バラクーダの隔離で疑わしいメッセージを維持しながら、最小量のスパムを受信します。イーメールメッセージのスパムスコアによって隔離された全ての正当なメッセージを配信し、隔離されたスパムを削除するために、隔離を毎日又は、毎週確認することができます。

例: 出発点として次のスコアで開始できます。

タグ・スコア = 3.5
隔離スコア = 9.0 (with Quarantine disabled) 隔離が無効化状態
拒否スコア = 10 (拒否が無効化状態) 受信されるインシデントを確認することによって、#QUAR#の代わりに #TAG# で作成された多すぎるスパムメッセージがあることを判断し、これらは完全にブロックされるべきであるので、隔離スコアを8.0にドロップすることを決定します。この追加評価を通して、3.5はタグ・スコアの値には低すぎ、あまりにも多くの正当なメッセージが隔離されるので、4.2へ設定した場合、タグ・スコアが最適に動作するかどうか判断するために、さらにテストします。

従ってテストに基づきますと、ベストに動作するように見えるスコアは以下のようになります。

タグ・スコア= 4.2
隔離スコア = 8.0 (with Quarantine disabled) 隔離が無効化状態
拒否スコア = 10 (to disable blocking) 拒否が無効化状態

この構成で実行した場合、メールボックスに拒否と隔離を実施する準備ができているかどうかを判断するために、以下のようにスコアを編修します。

タグ・スコア = 4.3 (which disables tagging of incidents) (インシデントのタグを無効化した場合)
隔離スコア= 4.2
拒否スコア= 8.0 (so blocking is enabled) (拒否機能は有効化状態)

この時、隔離機能を有効化する必要があります。プリファレンス>隔離設定ページ

タグを無効化するには件名に#TAG#が付くインシデントを含む)、タグスコアを隔離スコアより大きくなるよう設定します。インシデントをタグ付けしたい場合は、隔離スコアより少なくなるようタグ・スコアを設定します。これで隔離しきい値をさらに修正するべきかどうかを評価することができます。

Notify Me
The page will refresh upon submission. Any pending input will be lost.