UTM Juniper SSG利用時のホワイトリスト判定について調べてみる

2016/03/01 ネットワーク

ssg-whitelist
UTMとして導入実績の多いSSG。UTMはUnified Threat Managementの略で、日本語で統合脅威管理といいます。
簡単に言うと脅威に関する対応を行うことができるアプライアンス機器
ここで指す脅威とはウイルス、スパムメール、社内の情報漏えいなど。
SSGはjuniperというメーカーの代表的なUTMです。
SSGはWebGUIで、その殆どを設定でき、使い勝手もいいんですが生産中止のようで、メーカーとしては後継機種のSRXシリーズに移行していってます。
SRXは同じメーカーですが、OSに互換性がなく、CLIを利用して設定していくタイプですので、SSGに慣れている身としてはやや使いにくい。SSGを導入したお客様は多いのですが、こういう状況、困ったもんです。

スポンサーリンク

1.ssgのスパム機能についてお問合せ

そのSSGを導入しているお客様から、先日、ちょっとしたお問い合わせを頂きました。
あるメールアドレス(ここではhoge@hoge.comとします)をスパムに判定されたくないので、ホワイトリストに登録したのだが、必ずスパムとして判定されてしまうというのです。
早速、該当するメールを確認すると、たしかに件名にSPAMという文字が付いています。
まずは、送信元メールアドレスがホワイトリストに登録されているかを確認してみます。
SSGのWebGUIからアクセスしてホワイトリストの項目を表示。

という形でワイルドカードを使って登録してありました。
次にSSG側のログを確認します。
該当時間の記録がログの中に残ってます。

※IPは実際のものと異なります。
確かにSSGの利用するSBL(スパムブラックリスト)に送信元サーバのIPが登録されている旨、ログが残っています。
でも、これはホワイトリストにメールアドレスを登録すれば回避できるのでは、と考えました。
しかしホワイトリストには該当メールアドレスは登録されています。何故、スパムとして判定されるのか?
困った時にはマニュアルを参照。
で、納得しました。
スパムの判定には順番があり、一番にIPを元にしたSBL、二番目にホワイトリスト・ブラックリストをチェックします。
一番目のSBLでチェックされ、スパムと判定されると、次の判定はパスしてメールを配送するのがスパム判定のフローのようです。
今回の場合、SBLでスパム判定されていますので、ホワイトリストにメールアドレスやドメインを登録しても結果としてスパム判定されてしまいます。

2.回避策

これを回避するには、送信元メールサーバをIPアドレスでホワイトリストに登録すること。
ホワイトリストはSBLの後でチェックすると書きましたが、IPアドレスベースのホワイトリストはSBLより先にチェックされます。
早速、送信元IPの111.111.222.222をホワイトリストに登録。
登録後、スパムチェックのテストを実行。
テストは WebGUIから実行できないので、CLIから行います。
具体的な手順は以下の通り

  1. sshクライアントでSSGにログイン
  2. 以下のコマンドを実行
  3. コマンドの結果を確認
  4. ホワイトリストとマッチすると、上記のメッセージが表示されます。

その後、お客様にスパムと判定されないことを確認頂きました。
SBLに載っているメールサーバからメールを許可するということが通常の運用だと無いので、気にしない点ですよね、この辺り。
でも誤検知や、どうしても通したいメールがあるときは、こんなイレギュラーな対応を覚えておくと便利だと思います。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

l2tp-vpn-setting

RTX-1200を使ってl2tp/ipsecを設定。自宅・オフィスへ接続する

今やスマートフォンやタブレットは一人に一台という勢いで普及しています。 どこにいても情報を見る

forti-security

UTM Fortigateのセキュリティを強化する設定

Fortigateを利用しているユーザーは多いと思います。その割に利用されていないのは、Fort

fortigate-firm-up

Fortigateのファームウェアをconfigを残したままv4.0からv5.0へアップグレードする

Fortigateのファームウェアv4.0は2014年3月でEOLを迎えます。(ファームウェアの

network-NXR2

Century Systems NXRシリーズでl2tp/ipsecリモートアクセス環境を構築

l2tp/ipsecは殆どのクライアント環境で利用できる安全なリモートアクセス用のVPNです。

rtx1210_firmware

RTX-1200/1210のファームウェアをリビジョンアップする手順

RTX-1200/1210には幾つかの方法でファームウェアを更新することが出来ます。 簡単に行

ssg-tcp-syn-check

SSG5/140での不具合 tcp-syn-check

UTMってもう、ネットワーク機器の主流の一つになってますよね。最近は単純なFireWallを見つ

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク