インバウンドメールのスパムスコアリングとフィルタリングIssue <!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } スパムスコアリングの仕組み ServiceNow のメールサーバーを経由して送信されたすべてのメッセージは、スパムである可能性についてスコアリングされます。スコアリングの結果に基づき、ServiceNow は各メッセージにヘッダーを追加します。このヘッダーは、Email Filters プラグインを使用してお客様のインスタンス内でフィルタリングに利用できます。詳細については、Email Filters を参照してください。 スパムスコアリングの主な要件は次の 2 つです。 パフォーマンス:メッセージのスコアリングによってメール配信が遅延したり影響を受けたりしないこと精度:インスタンス内で適切にフィルタリングできるよう、メッセージが正確にスコアリングされること 注意:インスタンスがプライベートメールサーバーを使用している場合、この記事は該当しません。 Email Filters プラグインを使用してスパムをフィルタリングする方法 Email Filters モジュール内には、SPAM Assassin フィルターまたは [Move spam to junk folder] フィルターがあります。スパムヘッダーに基づくフィルタリングを有効にするには、フィルター条件を更新してください。メールには次のヘッダーのいずれか、または両方が含まれる場合があります X-ServiceNow-Spam-Flag:YES X-ServiceNow-Virus:INFECTED したがって、フィルター条件にはこれら両方のヘッダーに対する OR 条件を含める必要があります。 メールが迷惑メールフォルダーに移動された後、そのメールに対してインバウンドアクションは実行されません。 アドミニストレーターは独自のフィルターを作成することもできます。[System Mailboxes] > [Administration] > [Filters] に移動してモジュールを確認してください。 スパムスコアのヘッダー例 スパムスコアが低いメッセージ(スパムでない場合)のヘッダー: X-ServiceNow-Spam-Flag:NO X-ServiceNow-Spam-Score:1.428 X-ServiceNow-Spam-Level:* X-ServiceNow-Spam-Status:No, score=1.428 tagged_above=0 required=6.2 スパムスコアが高いメッセージのヘッダー: X-ServiceNow-Spam-Flag:YES X-ServiceNow-Spam-Score:999 X-ServiceNow-Spam-Level:********************************************************** X-ServiceNow-Spam-Status:Yes, score=999 tagged_above=0 required=6.2 ウイルスに感染した添付ファイルを含むメッセージのヘッダー: X-ServiceNow-Virus:INFECTED, message contains virus: Eicar-Test-Signature メールにはその他のスパム関連ヘッダーが含まれる場合がありますが、Email Filters では X-ServiceNow-Spam-Flag および X-ServiceNow-Virus:INFECTED 以外のヘッダーでフィルタリングすることはお勧めしません。その他のヘッダーとその内容は将来変更される可能性があり、インスタンスのスパム処理に影響を与える場合があります。 Email Filters プラグインを使用せずにスパムをフィルタリングする方法 Email Filters プラグインの有効化を推奨しますが、場合によってはこれが選択できないこともあります(Express インスタンスなど)。Email Filters プラグインが有効でない場合は、メールのプロパティを使用してフィルタリングします。スパムフィルタリングには、プロパティ glide.pop3.ignore_headers が使用され、次のカンマ区切りの値が設定されます:X-ServiceNow-Spam-Flag:YES,X-ServiceNow-Virus:INFECTED。メールのヘッダーにこれらの値のいずれかが含まれている場合、タイプが received-ignored に設定され、メールは迷惑メールフォルダーに移動されます。メールレコードのエラー文字列には、"Ignoring inbound email with subject <subject> or userEmail <sending email address>." というメッセージが表示されます。 アドミニストレーターは、プロパティからこれらの値を削除することでフィルタリングを無効にできます。 潜在的に悪意のある添付ファイルを含むメッセージはスコアリングされますか? はい。ヘッダー X-ServiceNow-Virus:INFECTED は、メールに 1 つ以上の悪意のある添付ファイルが含まれていることを示します。 異常を確認できるよう、ServiceNow のメールサーバーはメールの件名に "*** INFECTED ***" というテキストも挿入します。このテキストは、メールを読むユーザーに異常を知らせることを目的としています。自動フィルタリングにはヘッダーを使用してください。 メールが見つからない場合、スパムスコアリングによってインスタンスへの配信がブロックされましたか? いいえ。スパムスコアリングの一環として、メールがインスタンスからフィルタリング、ブロック、または隔離されることはありません。スコアリングされた後、インスタンスに送信されます。すべてのフィルタリングは Email Filters プラグインを使用してインスタンス内で行われます。メールが見つからない場合、アドミニストレーターは迷惑メールフォルダーでメールを検索してください。見つからないメールを検索する最善の方法は、メールの送信者からメッセージ ID を取得し、インデックス検索でメールテーブル全体を検索することです。日時の制限なしに message-id と Type(received または received-ignored)の両方を検索する場合、フィルターは次のようになります。 例:message_id=<20130219220111.3B45A1A131C@bulk.service-now.com>^type=received^ORtype=received-ignored 見つからないメールの特定の詳細については、KB0563560 - Missing email in an instance を参照してください。 メールが遅延している場合、スパムスコアリングによってインスタンスへの配信が遅延しましたか? いいえ。スパムスコアリングのアーキテクチャには、遅延を防ぎ、メール配信への影響を防ぐためのフェイルセーフが組み込まれています。ServiceNow は配信を優先するため、スコアリングによって許容できない遅延が発生した場合、パフォーマンスと配信を最大限に確保するためにスコアリングを一時的に無効にします。 スパムスコアが気に入らない場合はどうすればよいですか? ServiceNow はスパムスコアリングを継続的に改善していますが、スコアリングアルゴリズムへの個別の要望には対応できません。スパムスコアリングが自社の要件を満たしていない場合は、インスタンスの Email Filters でスコアリングされたメールのフィルタリングをオフにしてください。 2017 年 6 月 29 日以降、SPF チェックがメールのスパムスコアにより大きく影響するようになりました。スパムとしてフラグが立てられるには、メッセージの合計スコアが 6.2 以上である必要があります。SPF ソフト失敗(SPF_SOFTFAIL)はスコアに 3.5 を加算し、SPF ハード失敗(SPF_FAIL)はスコアに 4.0 を加算します。自社の SPF レコードが正確かつ最新であることを確認することをお勧めします。そうしないと、一部のメッセージが誤ってスパムとしてマークされる場合があります。 組織またはお客様からインスタンスに送信されたメールがスパムとしてマークされた場合はどうすればよいですか? Email Filters を設定してカスタムフィルターを作成し、組織・お客様・パートナーからのメールを許可リストに追加することで、スパムとしてマークされないようにできます。なお、次の設定を行うと、サンプルドメインを含むすべてのメールの Email Filter がスキップされます。より細かく制御するには、ヘッダーを解析してさまざまなパラメーターを確認するコンディションスクリプトを作成することもできます。 また、インスタンスの Email Filters でスコアリングされたメールのフィルタリングをオフにすることも可能です。 別の方法として、メールヘッダーのスパムスコアの詳細を分析し、メールがスパムとしてスコアリングされた理由を特定して対処することもできます。スパムスコアの理由は X-ServiceNow-Spam-Status ヘッダーで確認できます。以下に例を示します。 X-ServiceNow-Spam-Status:No, score=6.8 tagged_above=-999 required=6.2 tests=[BAYES_00=-1.9, DKIM_INVALID=0.1, DKIM_SIGNED=0.1, HEADER_FROM_DIFFERENT_DOMAINS=0.001, HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001, MISSING_MIMEOLE=1.899, NORDNS_LOW_CONTRAST=1.274, RCVD_IN_BL_SPAMCOP_NET=1.347, RCVD_IN_SBL_CSS=3.335, RDNS_NONE=0.793] これらは SpamAssassin のルールです。個々のルールへの対処方法については SpamAssassin のドキュメントを参照し、実施するアクションについてはメール管理者にご相談ください。 スパムスコアリングを使用したくない場合、オフにする方法は? スパムスコアリングは、ServiceNow のメールインフラストラクチャを経由するメールに対して自動的に行われます。スパムスコアリングを希望しない場合は、インスタンスの Email Filters でスコアリングされたメールのフィルタリングをオフにしてください。 Release<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 特定のリリースに限定されません。 Cause<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Resolution<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Related Links<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Email filters Incoming emails with infected attachments are not marked as SPAM Malicious email attachments fail to get extracted from the email log causing some files that are present in Phish emails to not get copied into security incidents