手順

1. [送信者フィルタ] → [ルール] の順に選択します。
   [ルール] 画面には、脅威の種類ごとに5つのタブがあります。
2. [DHA攻撃] タブをクリックします。
   [DHA攻撃] 画面が表示されます。
3. DHA攻撃のブロックを有効にするには、[有効にする] チェックボックスをオンにします。
4. 次の項目を設定します。
   • 監視期間: DHA攻撃を示すメッセージの割合が設定するしきい値を超えていないかどうかについて、IMSVAがメールトラフィックを監視する時間数。
   • 比率 (%): DHA脅威を含むメッセージについて許可する割合 (分子)。
   • メッセージ総数: しきい値の割合が算出されるDHAメッセージの総数 (分母)。
   • 送信先数の下限: しきい値として可能な受信者の最大数。
   • 存在しない受信者数: しきい値として可能な存在しない受信者の最大数。DHA攻撃には、受信者リスト内にランダムに生成されたメールアドレスが含まれることがあります。

     注意 LDAPサービスは存在しない受信者を判断するために実行中であることが必要です。

   次の例で考えます。

   監視期間: 1時間、比率: 20、メッセージ総数: 100、送信先数: 10を超える、存在しない受信者数: 5を超える

   DHAのブロックが有効な間の1時間ごとに、11人以上の受信者 (組織外の受信者6人以上を含む) に送信されたメッセージの20%を超えるメッセージを受信し、かつメッセージの総数が100を超える場合に、IMSVAは配信元IPアドレスによるブロックを開始します。

   ヒント 技術的には、LDAPサーバは必須ではありません。IMSVAのDHAルールは、Postfixから返されたDHAの結果も入手できます。Postfixが次にこれらの結果をLDAPサーバ経由またはその他の手段でFoxProxyに渡します。FoxProxyは結果を分析してDHA攻撃かどうか判断します。 LDAPサーバは、ユーザのメールボックスが存在するかどうかをPostfixが調べる手段の1つにすぎません。

5. [処理] で次のいずれかを選択します。
   • 一時的にブロック: そのIPアドレスからのメッセージを一時的にブロックし、ブロック期間終了後にアップストリームMTAからの再試行を許可します。
   • 常にブロック: そのIPアドレスからの今後のメッセージを永続的にブロックします。アップストリームMTAは再試行を実行できません。
6. (オプション)[一時的にブロック] を選択する場合は、ブロック期間を指定します。
7. [保存] をクリックします。