Forefront Protection 2010 for Exchange Server (FPE 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。
Forefront管理シェルは、FPE 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。
このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。
この記事では、「Set-FseSpamConnectionFilter」コマンドレットについて記載します (他のコマンドレットについては、「FPE 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。
■名前
Set-FseSpamConnectionFilter
■概要
DNS禁止一覧 (DNSBL) の構成オプションを設定します。
■構文
| Set-FseSpamConnectionFilter [-DnsBlockAnyMatch <Boolean>] [-DnsBlockListIPAddressMatch <string[]>] [-Enabled <Boolean>] [-EnableDnsBlockList <Boolean>] [<CommonParameters>] |
■説明
DNS禁止一覧の構成オプションを設定します。この機能を有効にすると、Microsoft Forefront Protection 2010 for Exchange Server (FPE) は、DNS禁止一覧を参照して電子メール送信者のIPアドレスを検索し、メッセージを拒否する必要があるかどうかを判定します。Exchangeのエッジまたはハブ サーバーへの接続要求が発生するとすぐに、この検索を実行するFPEエージェントが実行されます。エージェントがメッセージを拒否した場合は、メッセージに対するウイルスのスキャンもフィルタリングも発生しないため、この処理は効率的です。
Exchange PowerShellコマンドとWindows PowerShellコマンドを組み合わせて使用することで、IP禁止一覧を管理できます。
IPアドレスを禁止一覧に追加するには、次のExchange PowerShellコマンドを使用します。
Add-IPBlockListEntry
禁止一覧に含まれている場合でも許可するIPアドレスを指定するには、次のExchange PowerShellコマンドを使用します。
Add-IPAllowListEntry
Forefront DNS禁止一覧を含む、すべてのForefrontスパム エージェントのログを有効または無効にするには、次のWindows PowerShellコマンドを使用します。
Set-FseLoggingOptions (-EnableSpamAgentLogging parameter)
Forefront DNS禁止一覧を含む、Forefrontスパム エージェントのログ ファイルを表示するには、次のWindows PowerShellコマンドを使用します。
Get-FseSpamAgentLog
■パラメーター
-DnsBlockAnyMatch <Boolean>
IPアドレスがForefront DNS禁止一覧に含まれている送信者から、何かの理由でメッセージを受信した場合に、そのメッセージを拒否するかどうかを示します。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、禁止一覧からいずれかの状態コードが返された場合は受信メッセージを拒否する必要があることを意味します。値 $false は、IP 禁止一覧によって返された状態コードが -DnsBlockListIPAddressMatchパラメーターで指定した値のいずれかに該当する場合にのみ、メッセージを拒否することを示します。つまり、$falseを使用するのは、拒否する送信者を限定する場合です。
-EnableDnsBlockListを$trueに設定した場合、電子メール送信者のIPアドレスがDNS禁止一覧で検索されます。
IPアドレスが一覧に含まれている場合、返される状態コードはループバックIPアドレスとして書式設定されます (-DnsBlockListIPAddressMatchを参照)。
| 必須 | false |
| 位置 | named |
| 既定値 | true |
| パイプライン入力を許可する | false |
| ワイルドカード文字を許可する | false |
-DnsBlockListIPAddressMatch <string[]>
受信メッセージを拒否するIPアドレス状態コードを指定します。省略可能です。送信者が一覧に含まれている場合は、IP禁止一覧が状態コードを返します。このパラメーターを使用して、メッセージを拒否する状態コードを限定します。このパラメーターを使用しない場合は、IP禁止一覧から状態コードが返されると、メッセージは拒否されます。
注意: このパラメーターを使用するには、-DnsBlockAnyMatchパラメーターの値を$falseに設定する必要があります。
DNS禁止一覧によって返される状態コードは次のとおりです。状態コードは、ループバック アドレスとして書式設定されます。禁止一覧の各タイプには標準の省略形が規定されています。複数の状態コードは配列として示します。
- 127.0.0.5 – 送信者のIPアドレスが、Exchange Hosted Servicesによって管理されている検証済みのスパム ソースの暫定リストに含まれています。(TBL)
- 127.0.0.15 – 送信者のIPアドレスが、Hotmailによって管理されている検証済みのスパム ソースの暫定リストに含まれています。(VBR)
- 127.0.0.16 – 送信者のIPアドレスが、システムを悪用するソースのリストに含まれています。このようなソースには、スパムの送信に使用可能なオープン プロキシを作成するワームやウイルスなどがあります。(XBL)
- 127.0.0.18 – 送信者のIPアドレスが、Spamhauseによって管理されている検証済みのスパム ソースの暫定リストに含まれています。(SBL)
- 127.0.0.19 – 送信者のIPアドレスが、セキュリティが侵害されたIPアドレス (たとえば、スパムの送信に使用されるオープン プロキシとして侵害されたシステムなど) の暫定リストに含まれています。(CBL)
- 127.0.0.20 – 送信者のIPアドレスが、マイクロソフトによって管理されている検証済みのスパム ソースの暫定リストに含まれています。(MSBL)
- 127.0.0.21 – 配信状態通知一覧に、送信者のIPアドレスが含まれています。この一覧は、”Joe Job” (偽装された送信者データによるスパム攻撃) に対する保護を提供します。(DBL)
- 127.0.0.22 – 送信者のIPアドレスが、SpamCopによって管理されている検証済みのスパム ソースの暫定リストに含まれています。(SpamCop)
注意: “暫定リスト”では、IPアドレスからのスパムの送信が停止された時点で、そのアドレスがリストから削除されます。
| 必須 | false |
| 位置 | named |
| 既定値 | named |
| パイプライン入力を許可する | false |
| ワイルドカード文字を許可する | false |
-Enabled <Boolean>
スパム接続フィルターを有効にします。省略可能です。指定可能な値は$falseおよび$trueです。セットアップ中にスパム機能を選択した場合の既定値は$trueです。選択しなかった場合の既定値は$falseです。スパム接続フィルターを使用するには、特定のExchangeおよびActive Directoryリソースでさまざまなアクセス許可を設定する必要があります。Set-FseSpamFilteringコマンドレットは、これらのアクセス許可を設定し、スパム接続フィルターを含むすべてのスパム機能を有効にします。したがって、Set-FseSpamFilteringコマンドレットを使用してすべての機能を有効にしてから、このパラメーターを使用して、スパム接続フィルターを有効または無効にします。
注意: この設定の変更を有効にするには、Microsoft Exchange Transportサービスを停止してから、再度開始する必要があります。再起動機能を使用しないでください。
| 必須 | false |
| 位置 | named |
| 既定値 | see description |
| パイプライン入力を許可する | false |
| ワイルドカード文字を許可する | false |
-EnableDnsBlockList <Boolean>
DNS禁止一覧機能を有効または無効にします。省略可能です。指定可能な値は$falseおよび$trueです。既定値の$trueは、FPEのDNS禁止一覧で送信者のIPアドレスが検索されることを意味します。
| 必須 | false |
| 位置 | named |
| 既定値 | true |
| パイプライン入力を許可する | false |
| ワイルドカード文字を許可する | false |
<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。
■入力
■出力
■メモ
■例
例1
Set-FseSpamConnectionFilter -DnsBlockAnyMatch $false -DnsBlockListIPAddressMatch 127.0.0.5,127.0.0.18
例1:出力結果
| There is no output if the command completes successfully. |
例1:説明
-DnsBlockAnyMatchの値を$falseに変更し、-DnsBlockListIPAddressMatchを使用して、状態コード127.0.0.5および127.0.0.18のメッセージのみを拒否します。
■関連するリンク
- Get-FseSpamConnectionFilter
[参考]
- Forefront Protection 2010 for Exchange Server : ホーム
http://www.microsoft.com/japan/forefront/protection-for-exchange/default.mspx - Microsoft Forefront Protection 2010 for Exchange Server
http://technet.microsoft.com/ja-jp/library/cc482977.aspx - Forefront Protection 2010 for Exchange Server : ホワイト ペーパー
http://www.microsoft.com/japan/forefront/protection-for-exchange/white-papers.mspx - Updates for Microsoft Forefront and Related Technologies
http://technet.microsoft.com/en-us/forefront/ff899332
コメント
[…] Set-FseSpamConnectionFilter […]