はじめに

ESA のモニタリングからメールサマリーなどをご確認いただくと、メッセージの内訳が確認できます。これらのメッセージはどのようにカウントされているのかとお問合せをいただくことがございますが、これらはメール数単位(MID)ではなく、受信者数単位(RID)でカウントされるものとなります。

動作例の紹介

上で紹介したようにメッセージ数は受信者数単位(RID)でカウントされます。また、メッセージはどれか一つにカテゴリのみにカウントされる動きとなるため、複数のカテゴリに該当する場合は、メッセージパイプラインの中で最初に処理されるほうでカウントされます。以下にいくつか例を紹介します。

例1:
受信したメールに5つの受信者アドレスが含まれていて、対象のメールがESAによりスパムと検出された場合は、「スパム検出」に5が加算される動きとなります。

例2:
受信したメールに5つの受信者アドレスが含まれていて、対象のメールがESAによりスパムおよびウイルスと検出された場合は、「スパム検出」に5が加算され「ウイルス検出」には加算されません。
※スパム対策はアンチウイルスより先に処理されるため。

例3:
受信したメールに5つの受信者アドレスが含まれていて、内2つのアドレスは受信者アクセステーブル(RAT)で受信拒否対象のアドレスの場合、「無効な受信者として停止」に2が加算され、「正常なメッセージ」に3が加算される動きとなります。

「レピュテーションフィルタリングによる阻止」については、HAT Policyによる阻止を含みます。例えば、SBRSのスコアによってメールをRejectしている場合などです。この場合、ESAのワークキューに入る前にメールが阻止されるため、正しい受信者数を取得することができません。そのため、SMTPセッション数に対して弊社側で持っている乗数をかけて受信者数を推定する動きとなります。

参考資料

電子メールセキュリティモニタの使用方法
https://www.cisco.com/c/ja_jp/td/docs/security/esa/esa14-2/user_guide/b_ESA_Admin_Guide_14-2/b_ESA_Admin_Guide_12_1_chapter_011101.html

電子メールパイプラインについて
https://www.cisco.com/c/ja_jp/td/docs/security/esa/esa14-2/user_guide/b_ESA_Admin_Guide_14-2/b_ESA_Admin_Guide_12_1_chapter_011.html