この機能は、ビジネスメール詐欺(BEC)や表示名によるなりすまし攻撃から保護するために設計されています。この攻撃では、脅威者が信頼できるユーザー(役員、ベンダー、同僚など)の表示名と類似した表示名を使用して、受信者を騙し、送金や機密情報の開示などの行動を取らせます。表示名が保護されたユーザーと密接に一致するにもかかわらず、別の電子メール・アドレスから送信されている場合に検出されます。包括的な保護は、複数の防御層を通じて提供されます:
•コア検出エンジン:高度な名前の類似性検出(Jaro-Winklerアルゴリズム)を使用して、電子メールの表示名が保護されたユーザーと密接に一致するが、別の電子メールアドレスから発信された場合を識別します。管理者は、類似度のしきい値(0.0~1.0)を設定できます。1.0は完全一致を要求し、より低い値は「Jon Smith」と「John Smith」のようなバリエーションをキャッチするためのファジーマッチングを可能にします。
•保護されたユーザー管理:管理者は、価値の高いターゲット(経営幹部、財務担当者、人事担当者など)を指定して監視することができます。各保護対象ユーザーの個人アドレスリストには、正当な代替アドレスを管理することができ、個人アカウントから組織にメールを送信した際の誤検知を防止します。
•無料メールプロバイダのアクションなりすまし攻撃がよく発生するフリーメールプロバイダー(Gmail、Yahoo、Outlook.com、Hotmail、ProtonMail、iCloud、AOL、その他多数)からのメッセージにより厳しいポリシーを適用します。このようなリスクの高い送信元に対しては、個別にアクションを設定します。
•柔軟なレスポンスアクション:メッセージの拒否、セキュリティレビューのための隔離、警告ヘッダーの追加(X-DisplayName-Spoof)、「DISPLAY NAME SPOOFED」などのメッセージ付き件名のタグ付け、スパムフォルダーへのメッセージの移動など、複数のレスポンスオプションから選択できます。一般的な一致とフリーメールプロバイダーからの一致では、異なるアクションを設定できます。
•きめ細かい除外:複数の除外オプションで誤検出を防止:許可リストに登録されたIPアドレス、認証セッション、ドメインメールサーバー、ワイルドカードパターン(*@company.com、user*@domain.com、admin@*.com)をサポートする設定可能な送信者除外リスト。
•Sieveの統合:上級ユーザは、新しいvnd.mdaemon.display_name_protectionおよびvnd.mdaemon.sender_is_free_emailSieveテストを使用して、カスタムポリシーを作成することができます。
設定
表示名保護を有効にする
表示名保護を有効にし、その設定を構成するには、このチェックボックスをクリックします。
表示名のなりすましが検出された場合
保護対象ユーザーの1人になりすましが検出された場合のアクションを選択します:
...メッセージを拒否する
メッセージを拒否する
...メッセージを隔離する
メッセージを受け入れるが、レビューのために隔離に移動する。
メッセージを受け入れる
このオプションは、メッセージは受け入れるが、メッセージにヘッダーを追加したり、メッセージのスコアを調整するなど、他のアクションを実行したい場合に使用します。
メッセージにヘッダーを追加する
表示名のなりすましが検出されたときにメッセージを隔離または受け入れることにした場合、このオプションを使用してメッセージにカスタムヘッダを追加できます。
ヘッダー名:
デフォルトのカスタムヘッダ名はX-DisplayName-Spoof
ヘッダー値:
デフォルトのカスタムヘッダ値は疑わしい
...tag subject with
表示名のなりすましが検出されたときにメッセージを隔離するか受け入れるかを 選択する場合、メッセージの Subject ヘッダの先頭にこのテキストを追加できます。デフォルト値は*** DISPLAY NAME SPOOFED ***ですが、お好きな値に設定できます。
...[xx]点をメッセージの得点に加える
このオプションを使うと、表示名のなりすましが検出されたときにメッセージの スコアにポイントを加算することができます。デフォルトでは3.0点が加算されます。
類似度のしきい値(0.0~1.0):
このしきい値以上の類似スコアを持つ名前にフラグが立てられます。閾値が1.0の場合、保護されたユーザーの表示名と完全に一致する必要があります。デフォルト値は1.0です。
ニックネームと短縮形のバリエーションを検出する
有効にすると、一般的なファーストネームのバリエーションが一致として扱われます。例えば、"Bob Smith "は "Robert Smith "と一致し、"Matt Jones "は "Matthew Jones "と一致します。
無料メールプロバイダアクション
無料メールプロバイダからのメッセージにより厳しいアクションを適用します。
なりすまし攻撃は、無料メールプロバイダ(Gmail、Yahoo、Outlook.comなど)のアドレスから発信されることがよくあります。なりすましメッセージが無料のプロバイダから発信された場合に、異なるアクションを適用したい場合は、このオプションを有効にします。
無料メールプロバイダからのなりすましが検出された場合:
なりすましが検出されたが、送信者が無料メールプロバイダのアドレスである場合に実行するアクションを選択します。
メッセージを拒否する
メッセージの受信を拒否します。
...メッセージを隔離する
メッセージを受け入れるが、確認のため隔離する。
メッセージを受け入れる
このオプションは、メッセージは受け入れるが、メッセージにヘッダーを追加したり、メッセージのスコアを調整するなど、他のアクションを実行したい場合に使用します。
メッセージにヘッダーを追加する
表示名のなりすましが検出されたときにメッセージを隔離または受け入れることにした場合、このオプションを使用してメッセージにカスタムヘッダを追加できます。
ヘッダー名:
デフォルトのカスタムヘッダ名はX-DisplayName-Spoof
ヘッダー値:
デフォルトのカスタムヘッダ値はSuspected-FreeEmailProvider
...tag subject with
フリーメールプロバイダーからの表示名のなりすましが検出された場合に、メッセー ジを隔離するか受け入れるかを選択すると、このテキストをメッセージの Subject ヘッダーの先頭に追加できます。デフォルト値は*** DISPLAY NAME SPOOFED ***ですが、お好きな値に設定できます。
...メッセージのスコアに [xx] ポイントを追加する
このオプションを使用すると、フリーメールのプロバイダから発信された表示名のなりすましが検出された場合、メッセージのスコアにポイントが加算されます。デフォルトでは5.0点が加算されます。
保護されたユーザ
このエリアには、表示名保護のために追加したすべてのユーザーが一覧表示されます。ユーザーを編集または削除するには、ユーザーを選択し、[編集]または [削除] をクリックします。
 | 保護ユーザーの追加 このボタンをクリックすると、表示名のなりすましから保護したいユーザーを追加するための[保護されたユーザー]ページが開きます。 |
除外
許可リストに登録されたIPアドレスからのメッセージを除外する
デフォルトでは、IPs AllowlistのIPアドレスから送信されたメッセージは、Display Name Protectionの設定から除外されます。許可リストに登録された IP アドレスにこれらの設定を適用する場合は、このボックスのチェックを外します。
認証セッションからのメッセージを除外する
既定では、認証セッションを介して送信されるメッセージは、表示名保護設定から除外されます。セッションが認証されている場合でもこれらの設定を適用する場合は、このボックスのチェックを外します。
ドメインメールサーバーからのメッセージを除外する
ドメインメールサーバーから送信されるメッセージは、デフォルトで表示名保護の設定から除外されます。これらのサーバーからのメッセージであってもこれらの設定を適用したい場合は、このチェックボックスをオフにします。
例外 - ドメイン
これらの設定を構成する際に、ページ上部の「ドメイン:」ドロップダウンリストで特定のドメインを選択した場合、そのドメインは設定を保存した後、ここに表示されます。対応するドメインの[表示/編集]リンクをクリックして表示名保護設定を確認または編集するか、[リセット]をクリックしてドメインの設定をデフォルトのグローバル値にリセットします。
