FPE 2010のForefront管理シェルで使用できるコマンドレット (Set-FseAdvancedOptions) について

スポンサーリンク

Forefront Protection 2010 for Exchange Server (FPE 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。

Forefront管理シェルは、FPE 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。

このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。

この記事では、「Set-FseAdvancedOptions」コマンドレットについて記載します (他のコマンドレットについては、「FPE 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。

■名前

Set-FseAdvancedOptions

■概要

詳細なスキャン オプションを設定します。

■構文

Set-FseAdvancedOptions [-AdditionalTypeChecking <int>]
     [-ConvertExtensionType <string>] [-DeleteCorruptedCompressed <Boolean>]
     [-DeleteCorruptedUuencode <Boolean>] [-DeleteEncryptedCompressed <Boolean>]
     [-DeletePartialMessages <Boolean>] [-EnableFixBareCRLF <Boolean>]
     [-EnableInboundFileFiltering <Boolean>] [-EnableOutboundFileFiltering <Boolean>]
     [-EnableReverseDNSLookup <Boolean>]
     [-EnableSenderFilteringBySmtpAddress <Boolean>]
     [-EngineErrorAction <ScanErrorActionEnum>]
     [-HighCompressedZipCorrupted <Boolean>]
     [-HostedServiceOptedIn <Boolean>]
     [-HostedServiceRescanContentFilter <Boolean>]
     [-HostedServiceRescanVirus <Boolean>] [-InternalAddress <string>]
     [-MaxCompressedFileSize <int>] [-MaxContainerFileInfections <int>]
     [-MaxContainerFileSize <int>] [-MaxNestedDepthCompressedFiles <int>]
     [-MaxNestedObjects <int>] [-MaxUncompressedFileSize <int>]
     [-MultipartRARCorrupted <Boolean>]
     [-QuarantineCorruptedCompressed <Boolean>]
     [-QuarantineOnTimeout <Boolean>] [-ScanAllAttachments <Boolean>]
     [-SMTPExternalHosts <string>] [-UseDomainsDat <Boolean>]
     [<CommonParameters>]

■説明

他のコマンドレットにはないさまざまなスキャン オプションを設定します。具体的なスキャン オプションとして、圧縮ファイルの処理、エンジン エラーが発生したときに実行するアクション、追加の種類のチェック、受信ファイルおよび送信ファイルのフィルタリング、内部アドレスの指定、外部ホストの指定、ドメイン ネーム システム (DNS) の逆引き参照の有効化などがあります。

■パラメーター

-AdditionalTypeChecking <int>
スキャンする追加のファイルの種類を指定します。省略可能です。-ScanAllAttachmentsパラメーターを無効にしている場合に使用します。これにより、以前にウイルスに感染したことが判明しているファイルのみがスキャンされるようになります。-AdditionalTypeCheckingパラメーターを使用することで、スキャンするファイルの種類を追加できます。指定可能な値の範囲は0~2147483647 (既定値は0) です。追加するファイルの種類の設定の詳細については、サポート オンラインにお問い合わせください。

必須false
位置named
既定値0
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-ConvertExtensionType <string>
削除後のすべての添付ファイルに付ける拡張子の種類を指定します。省略可能です。このフィールドは1~3文字の文字列です。既定値は”txt”です。次の文字は使用できません。

  • / : * ? ” < > |

3文字を超える文字列または空文字列 (“”) を入力すると、既定値に戻ります。

必須false
位置named
既定値txt
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-DeleteCorruptedCompressed <Boolean>
壊れた圧縮ファイルを削除するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、壊れた圧縮ファイルが削除されることを意味します。この値を$falseに変更すると、スキャンできるかどうかに関係なく、壊れた圧縮ファイル全体がスキャン エンジンに送信されます。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-DeleteCorruptedUuencode <Boolean>
壊れたUuencodeファイルを削除するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、壊れたUuencodeファイルが削除されることを意味します。この値を$falseに変更すると、スキャンできるかどうかに関係なく、壊れたUuencodeファイル全体がスキャン エンジンに送信されます。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-DeleteEncryptedCompressed <Boolean>
暗号化された圧縮ファイルを削除するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、暗号化された圧縮ファイルが削除されることを意味します。スキャン エンジンはファイルを復号化できないため、ウイルスが暗号化された圧縮ファイルに潜んでいると、検出できない可能性があります。

必須false
位置named
既定値false
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-DeletePartialMessages <Boolean>
断片化されたSMTPメッセージ (Content-type: message/partial) を削除テキストで置き換えるかどうかを指定します。省略可能です。ウイルスが複数のメッセージ断片にまたがって含まれている場合、検出できない可能性があります。既定値の$trueは、断片化されたSMTPメッセージが削除されることを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-EnableFixBareCRLF <Boolean>
FPEで空の復帰コードと空の改行コードを修正するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$falseは、単独の”CRLF”の組み合わせが修正されないことを意味します。$trueを指定すると、RFC 2822 Internet Message Format仕様に準拠しないMIMEメッセージが、この仕様に準拠するように修正されます。単独のキャリッジ リターン (CR, 0x0d) と単独の改行コード (LF, 0x0a) は”CR-LF”の組み合わせに置き換えられます。

単独のキャリッジ リターンまたは単独の改行コードを含むメッセージの解析方法は、電子メール クライアントによって異なる場合があります。FPEの仕様では、これらのメッセージは、Microsoft Office OutlookおよびOutlook Expressと同じように解析されます。この機能を有効にすると、これらのメッセージがRFC 2822仕様に準拠するように変更され、結果としてすべての電子メール クライアントで同じように解析されるようになります。この機能を無効にすると (既定では無効)、Office OutlookおよびOutlook Express以外の電子メール クライアントでは、単独のキャリッジ リターンまたは単独の改行コードを含むメッセージの解析がFPEとは異なる場合があるため、ウイルスを検出できない可能性があります。システムのパフォーマンスを最大にするために、この機能は既定では無効になっています。

重要: 単独のキャリッジ リターンまたは単独の改行コードを含むメッセージの解釈がOffice OutlookおよびOutlook Expressとは異なる電子メール クライアントを使用している組織の場合は、セキュリティを最大にするためにこの機能を有効にすることをお勧めします。

必須false
位置named
既定値false
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-EnableInboundFileFiltering <Boolean>
FPEで受信ファイルをフィルタリングするかどうかを指定します。省略可能です。既定値の$trueは、受信と見なされるファイルに対してトランスポート スキャンによるファイル フィルタリングが実行されることを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-EnableOutboundFileFiltering <Boolean>
FPEで送信ファイルをフィルタリングするかどうかを指定します。省略可能です。既定値の$trueは、送信と見なされるファイルに対してトランスポート スキャンによるファイル フィルタリングが実行されることを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-EnableReverseDNSLookup <Boolean>
FPEで、-InternalAddressパラメーターの値にサーバーのドメイン名以外のエントリが含まれている場合に、メッセージが受信であるか送信であるかを判断するのに DNS 逆引き参照を使用するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$falseは、DNS逆引き参照を無効にすることを意味します。送受信の判別は、キーワードおよびファイルのフィルタリングで使用されます。有効にすると、FPEではDNS逆引き参照によってドメイン名が取得され、送受信が判別されます。無効にすると、FPEではReceivedヘッダーとExchange Transport Agentからのセキュリティで保護されたルーティング情報に基づいて送受信が判別されます。

必須false
位置named
既定値false
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-EnableSenderFilteringBySmtpAddress <Boolean>
FPEで、sender-domainフィルター リストの照合時に送信者の表示名と送信者の電子メール アドレスの両方に対するフィルターを使用するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueでは、送信者の表示名と送信者の電子メール アドレスが異なる場合、両者に対してフィルターが適用され、どちらか一方が送信者ドメイン フィルター リスト内に存在していれば一致したと見なされます。$falseを指定すると、メールボックスの表示名のみが使用され、電子メール アドレスは無視されます。

注意: この設定は、オンデマンド スキャンでは使用されません。

必須false
位置named
既定値true
パイプライン入力を許可するfalse
ワイルドカード文字を許可するfalse

-EngineErrorAction <ScanErrorActionEnum>
スキャン エンジン エラーが発生した場合に、FPE が実行するアクションを設定できます。省略可能です。指定可能な値は次のとおりです。

  • Ignore – ファイルを検疫し、エラーをログに記録します。
  • SkipDetect – ファイルを検疫し、エラーをログに記録して、状態が”Detected”の”EngineError”エントリを管理者に表示します。
  • Delete – ファイルを削除し、エラーをログに記録して、状態が”Removed”の”EngineError”エントリを管理者に表示します。これが既定値です。
必須false
位置named
既定値Delete
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-HighCompressedZipCorrupted <Boolean>
FPEが、高圧縮.zipファイルを壊れた圧縮ファイルとして処理するかどうかを指定します。省略可能です。FPEは、高圧縮の.zip形式のファイルを読み取ることができません。そのため、高圧縮.zipファイルにウイルスが潜んでいると、検出できない可能性があります。指定可能な値は$falseおよび$trueです。既定値の $true は、高圧縮の.zipファイルを壊れた圧縮ファイルと見なすことを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-HostedServiceOptedIn <Boolean>
Microsoft Forefront Online Protection for Exchange (FOPE) などのホストされているサービスからメールを受信するかどうかを示します。指定可能な値は$falseおよび$trueです。既定値の$falseは、ホストされているサービスからメールを受信しないことを意味します。この場合、再スキャン パラメーター (-HostedServiceRescanVirusと -HostedServiceRescanContentFilter) は無視されます。値$trueは、ホストされているサービスによってメールがスキャンされ、ウイルスとスパムの再スキャン オプションが強制されることを示します。

必須false
位置named
既定値false
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-HostedServiceRescanContentFilter <Boolean>
FOPEなどのホストされているサービスから受信した電子メールを再度フィルタリングするかどうかを示すフラグです。指定可能な値は$falseおよび$trueです。既定値の$falseは、FPEで送信元サービスのすべての”スタンプ動作”が受け入れられ、メールの再フィルタリングは実行されないことを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-HostedServiceRescanVirus <Boolean>
FOPEなどのホストされているサービスから受信した電子メールに対して、ウイルスの再スキャンを実行するかどうかを示すフラグです。指定可能な値は$falseおよび$trueです。既定値の$falseは、FPEで送信元サービスのすべての”スタンプ動作”が受け入れられ、メールの再スキャンは実行されないことを意味します。

必須false
位置named
既定値True
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-InternalAddress <string>
FPEで内部アドレスを識別する際に使用されるドメイン名を指定します。省略可能です。既定値はシステムのドメイン名です。ドメインは、セミコロンで区切って入力し、全体を引用符で囲みます。例:

     “microsoft.com;microsoft.net;example.com”

名前またはIPアドレスを入力できます。空白文字は使用しないでください。外部ファイルを使用して内部アドレスを入力するには、-InternalAddressパラメーターではなく、-UseDomainsDatパラメーターを使用します。

注意: このエントリにはサブドメインも含まれます。たとえば、contoso.comにはsubdomain.contoso.comとsubdomain2.contoso.comが含まれます。contoso.netやcontoso.orgなどの代替ドメインは個別に入力する必要があります。

必須false
位置named
既定値no value
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-MaxCompressedFileSize <int>
.zipまたは他の圧縮コンテナー ファイル内のファイルの最大圧縮サイズを示します。省略可能です。このサイズより大きなファイルは、壊れた圧縮ファイルとして扱われます。サイズはMB単位で指定します。有効な値の範囲は0~2047です。既定値は20で、20MBより大きな圧縮ファイルがすべて削除されます。

必須false
位置named
既定値20
パイプライン入力を許可するfalse
ワイルドカード文字を許可するfalse

-MaxContainerFileInfections <int>
圧縮ファイルに含まれていることが許容される感染最大数を指定します。省略可能です。この上限を超えると、ファイル全体が削除され、”ExceedinglyInfected”ウイルスが検出されたというインシデントのログが記録されます。 を指定すると、1件の感染が見つかった場合、コンテナー全体が削除されます。この場合、ログに記録されるインシデントには、”コンテナーが削除されました”と追記されます。最大値を2147483647として、すべての整数が有効です。既定値の5は、感染数が6以上になると圧縮ファイルが削除されることを意味します。

必須false
位置named
既定値5
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-MaxContainerFileSize <int>
感染ファイルが検出されたときにFPEがクリーニングまたは修復を試みるコンテナー ファイルの最大サイズをメガバイト (MB) 単位で指定します。省略可能です。すべての正の整数値は有効で、最大値は2047です。既定値は25で、25MBより大きなコンテナー ファイルはクリーニングされません。許容最大サイズより大きな感染ファイルは削除され、”LargeInfectedContainerFile”ウイルスとして報告されます。

必須false
位置named
既定値25
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-MaxNestedDepthCompressedFiles <int>
圧縮ファイル内のオブジェクトの最大入れ子深度数を指定します。省略可能です。この指定を超えると、FPEにより圧縮ファイルが削除され、”ExceedinglyNested”ウイルスが検出されたことを示す通知が送信されます。最大値を2147483647として、すべての正の整数が有効です。既定値は5です。0を指定すると、入れ子深度は無制限になります。

必須false
位置named
既定値5
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-MaxNestedObjects <int>
MSG、TNEF、MIME、およびUuencodeドキュメントで入れ子にできる任意の種類のドキュメントの最大数を指定します。省略可能です。この上限を超えると、ドキュメント全体が削除またはブロックされ、”ExceedinglyInfected”ウイルスの検出が報告されます。最大値を2147483647として、すべての正の整数が有効です。既定値は30です。

必須false
位置named
既定値30
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-MaxUncompressedFileSize <int>
.zipまたはマルチパート.rarアーカイブ ファイル内のファイルの非圧縮最大サイズを示します。省略可能です。この許容サイズより大きなファイルは削除され、”Large Uncompressed File Size”として報告されます。サイズはMB単位で指定します。有効な値は0~2047です。既定値は100で、非圧縮時のサイズが100MBを超える.zipファイルまたはマルチパート.rarファイル内のすべてのファイルが削除されます。

必須false
位置named
既定値100
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-MultipartRARCorrupted <Boolean>
FPEが、マルチパート.rarファイルを壊れた圧縮ファイルとして処理するかどうかを指定します。省略可能です。マルチパート.rarファイルでは、アーカイブ ファイルが2つ以上の.rarファイルに分割されます。このため、ウイルスが複数の.rarファイルに潜んでいると検出できない可能性があります。指定可能な値は$falseおよび$trueです。既定値の$trueは、FPEがこれらのファイルを壊れた圧縮ファイルと見なし、-DeleteCorruptedCompressedパラメーターの設定に従って処理することを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-QuarantineCorruptedCompressed <Boolean>
壊れた圧縮ファイルを検疫するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、壊れた圧縮ファイルを検疫することを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-QuarantineOnTimeout <Boolean>
スキャン プロセスの間にタイムアウトが発生したときに、FPEでファイルまたはメッセージを検疫するかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、ファイルまたはメッセージが検疫されることを意味します。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-ScanAllAttachments <Boolean>
FPEですべての添付ファイルをフィルタリングするかどうかを指定します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、すべての添付ファイルがスキャンされることを意味します。$falseに変更すると、高リスクのファイルのみがスキャンされます。マルウェアは他のファイルの種類として存在する可能性があるため、既定値の$trueはそのままにしておくことをお勧めします。

必須false
位置named
既定値true
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-SMTPExternalHosts <string>
FPEでメッセージが受信 (“Inbound”) かどうかを判別するとき、外部ファイルと見なす必要がある IP アドレスを指定します。省略可能です。電子メールのExchange環境への配信にエッジ トランスポートまたはハブ トランスポートを使用している場合、エッジ トランスポート サーバーのIPアドレスを入力すると、FPEでは、使用するフィルターとスキャン ジョブを決定する際、そのサーバーから送信されたメールはすべて受信として扱われます。エッジ トランスポートまたはハブ トランスポートのIPアドレスを入力しなかった場合は、内部ロジックを使用して受信メッセージかどうかが判別されます。IPアドレスは、セミコロンで区切って入力し、スペースは含めず、全体を引用符で囲みます。詳細については、-EnableReverseDNSLookupパラメーターを参照してください。

注意: このオプションは、-InternalAddress (またはDomains.datファイル) で指定したリストを編集して、FPEサーバー自体のドメイン以外のドメイン名を追加した場合にのみ関係します。

SMTPExternalHostsリストのIPアドレスをチェックして、メッセージが受信として既に判別されている場合を除き、FPEでは以下の方法でメッセージが受信かどうかが確認されます。

Exchangeによって提供されている”AuthenticationSource”の値を確認します。AuthenticationSourceの値が”Partner”または”Organization”の場合、SMTP送信者のドメイン名 (SMTP プロトコルから取得) がInternalAddressリストに含まれているときにのみ、そのメッセージは、内部ソースから送信されたもの (つまり、”Not Inbound”) と見なされます。それ以外の場合、そのメッセージは受信 (“Inbound”) と見なされます。ExchangeのAuthenticationSourceの値が”Anonymous”の場合は、メッセージのヘッダーのドメイン名とInternalAddressリスト内のドメイン名が比較されます。ヘッダーのどのドメインもInternalAddressリスト内のドメインと一致しない場合、そのメッセージは、外部ドメインから送信されたもの、つまり受信 (“Inbound”) と見なされます。-EnableReverseDNSLookupが有効になっている場合は、メッセージのヘッダーに指定されたドメイン名を使用してドメイン名比較を実行する代わりに、メッセージのヘッダーのIPアドレスに対してReverseDNSLookupを実行してドメイン名が取得されます。

注意: FPEでは、メッセージが”Not Inbound”かつ”Not Outbound”であるとき、”Internal”であると見なされます。

必須false
位置named
既定値no value
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-UseDomainsDat <Boolean>
FPEで内部アドレスの識別に使用されるドメイン名が外部ファイルDomains.datに含まれていることを示します。その場合、-InternalAddressパラメーターを使用してドメイン名を入力することはありません。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$falseは、内部アドレスを指定する場合、-InternalAddressパラメーターを使用して入力することを意味します。$trueを指定した場合は、-InternalAddressパラメーターではなく、Domains.datファイルを使用して内部アドレスを指定します。

Domains.datはデータ フォルダーにある空のテキスト ファイルです。このテキスト ファイルには、すべての内部ドメイン名をそれぞれ別の行に入力します。-InternalAddressパラメーターのエントリと異なり、すべてのサブドメインを個別に入力する必要があります。

注意: Domains.datファイルは、毎日02:00 (午前2時00分) に再ロードされます。ファイルに加えた変更は、この時点で有効になります。

必須false
位置named
既定値false
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: VerboseDebugErrorActionErrorVariableWarningActionWarningVariableOutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。

■入力

■出力

■メモ

■例

例1

 Set-FseAdvancedOptions -MaxContainerFileInfections 0 -MaxNestedObjects 5 -MaxNestedDepthCompressedFiles 2 

例1:出力結果

There is no output if the command completes successfully.

例1:説明

ウイルス発生時に、次の各オプションを変更することに決定しました。すなわち、コンテナー ファイル感染最大数を0に設定し (1つの感染が見つかるとコンテナー ファイルを削除する)、オブジェクトの最大入れ子深度数を30から5に変更し、圧縮ファイルの最大入れ子深度数を5から2に変更しました。

例2

 Set-FseAdvancedOptions -MaxContainerFileSize 20 

例2:出力結果

There is no output if the command completes successfully.

例2:説明

コンテナー ファイルの最大サイズを 20 MB に変更します。これは、FPEがクリーニングを試行する最大サイズのコンテナー ファイルです。

例3

 Set-FseAdvancedOptions -InternalAddresses &quot;172.16.37.5;172.16.39.25&quot; 

例3:出力結果

There is no output if the command completes successfully.

例3:説明

セミコロンで区切られたリストが内部アドレスと見なされるようにします。

■関連するリンク

  • Get-FseAdvancedOptions

[参考]