17-2. InterScan での迷惑メ−ル対策 (1) InterScan の eManager での対策 `26/12〜 * InterScan Messaging Security Suite 画面での設定 【 設定 】 [サ−ビス] InterScan MSS が処理するメッセ−ジ 〆SMTPメッセ−ジを処理する □POP3メッセ−ジを処理する [ディレクトリ] 保留キュ− 配信が保留されたメ−ルが保管されるところ。 /opt/trend/imss/queue/postpone 適当なところに変更してもよい。 [イベントモニタ] {監視するシステムイベント} 〆予約アップデ−トが成功/失敗した場合 〆サ−ビス停止が [10] 分以上続いた場合 {通知方法(通知先設定)} SMTP サ−バは 127.0.0.1、 ポ−トは 10026。 〆e-mail 通知を有効にする 管理者のアドレス katou@nix.co.jj とか。 □SNMPトラップ通知を有効にする [アップデ−ト] -> [予約アップデ−ト] [手動アップデ−ト]はその場でアップデ−ト 〆予約アップデ−トを有効にする する場合。普段は使うことはない。使うのは 〆パタ−ンファイル 最初の InterScan の設定の時ぐらい。 〆検索エンジン 〆スパムデ−タベ−ス [プロキシの設定]は使わない、直接トレンド スケジュ−ル 実行周期 [毎時] のサイトにパタ−ンファイルを取りに行く。 [ログ] -> [ログ管理] 書き込みレベル ○標準 ●詳細 ○診断 保存先 /opt/ISCAN-LOG 最大期間 0 日 つまりこれらで無制限にログを保存するとい 最大サイズ 0 MB うこと。毎日ログのファイルができていく。 [ウィルスログ],[eManagerログ],[プログラムログ]はそれぞれログを見ることができ る。プログラムログは全メ−ルのログ。どんどん溜まるので注意されたし。 [管理] -> [InterScan MSSについて] 製品バ−ジョン: 5.11 とか。 -> [パスワ−ド] InterScan にアクセスする際のパスワ−ド。 -> [登録] -> [製品版の登録] InterScan MSS と eManager の登録日とシリ アル番号あり。両者の登録は別物ということ。 【 ポリシ−管理 】 [ポリシ−管理] No. フィルタ 種類 -------------------------------------------------------- 1 ウィルス対策フィルタ ウィルス対策フィルタ 2 詳細コンテンツフィルタ eManagerフィルタ 3 メッセ−ジ添付ファイルフィルタ eManagerフィルタ 4 標準コンテンツフィルタ eManagerフィルタ 5 メッセ−ジサイズフィルタ eManagerフィルタ 6 ディスクレ−マ−管理フィルタ eManagerフィルタ 7 スパムメ−ル対策フィルタ eManagerフィルタ [アドレスグル−プ] 適用したいメ−ルアドレスを並べてグル−プ化する。この人は除くということはでき ないみたい。 [フィルタアクション] No. 名前 □すべて -------------------------------------------- 1 保留して通知 使用中 2 削除 使用中 3 削除して通知 □ 4 配信して通知 使用中 5 隔離 使用中 6 隔離して通知 使用中 [例外処理] メッセ−ジの処理に失敗した場合 [隔離して通知] メッセ−ジが暗号化されている場合 [配信 ] [隔離領域] No 名前 ディレクトリパス メッセ−ジ ---------------------------------------------------------------------------- 1 初期設定の領域 /opt/trend/imss/queueu/quarantine [編集] 87 [表示] 使用中 [編集]でディレクトリパスを変えることができる、[編集]で隔離メ−ルはデフォルト では7日後に自動削除するようになっている、これも変更できる。スパム対策とウィ ルス対策で隔離されたメ−ルが一時的に保存されている。 [クエリ] 隔離領域にあるメ−ルを From や To アドレスから検索する。 [検索制限] ウィルス検索制限 圧縮ファイル 20レベル 20 MB << デフォルトのまま。 添付ファイル 4MB 300 << デフォルトは 20MB。 eManager検索制限 メッセ−ジのサイズ 5MB << デフォルトのまま。 [グロ−バルポリシ−] グポはグロ−バルポリシ− No. フィルタ名 属性 フィルタの種類 ステ−タス アクション ---------------------------------------------------------------------------- 1 ウィルス対策 グポ ウィルス対策 [編集] 有効 [編集] [編集] 2 スパムメ−ル対策 グポ スパムメ−ル対策[編集] 有効 [編集] [編集] 3 ぼう中傷表現チェック グポ 詳細コンテンツ [編集] 無効 [編集] [編集] 4 人種差別表現チェック グポ 〃 [編集] 〃 [編集] [編集] 5 性差別表現チェック グポ 〃 [編集] 〃 [編集] [編集] 6 デマメ−ル対策 グポ 〃 [編集] 〃 [編集] [編集] 7 チェ−ンメ−ル対策 グポ 〃 [編集] 〃 [編集] [編集] 8 ラブバグ対策 グポ 標準コンテンツ [編集] 〃 [編集] [編集] 9 HTMLメ−ルスクリプト グポ 詳細コンテンツ [編集] 〃 [編集] [編集] < ウィルス対策 フィルタの種類の[編集] > { 検索するファイルタイプ } ●全てのファイルタイプを検索 ○トレンドの推奨設定 ○検索するファイル拡張子 { ウィルス検出時の処理 } ●ウィルス駆除 感染ファイルからウィルスコ−ドを除去する [削除 ▽] ○削除 不正プログラムを削除する ○放置 ログに記録するが処理は実行しない { 受信者通知 } ウィルス検出時のメッセ−ジ: [ ウィルスが検出されました、どうたら ] □ウィルスが検出されなかった場合のメッセ−ジ: [ うんたらどうたら ] □安全スタンプの挿入: [ 問題ないです−という ] < ウィルス対策 ステ−タスの種類の[編集] > { 利用可能状況 } ●利用可:すべてのポリシ−でこのフィルタを利用できる ○利用不可:すべてのポリシ−でこのフィルタを利用できない { フィルタの有効/無効 } ●有効:フィルタをこのポリシ−に適用する ○無効:フィルタをこのポリシ−に適用しない { 上書きのプロパティ } ●サブポリシ−によるフィルタの上書きを許可する ○サブポリシ−によるフィルタの上書きを禁止する < スパムメ−ル対策 フィルタの種類の[編集] > { スパムデ−タベ−ス } ○メッセ−ジの件名に適用する ●メッセ−ジの件名と本文に適用する < スパムメ−ル対策 ステ−タスの種類の[編集] > 利用可能状況で利用可、フィルタ有効、上書きプロパティ許可 < ひぼう中傷表現チェック 詳細コンテンツ[編集] > 以下 `26/12/21 メッセ−ジヘッダの件名 と メッセ−ジヘッダの本文 のところチェック。 キ−ワ−ドは25個。 No. □有効 キ−ワ−ド A=\a 類義語 詳細 □削除 --------------------------------------------------------- | 1 〆 asshole .OR. .. 無効 無効 [編集] □ | < 人種差別表現チェック 詳細コンテンツ[編集] > キ−ワ−ドは6個。 < 性差別表現チェック 詳細コンテンツ[編集] > キ−ワ−ドは6個。 < デマメ−ル(Hoaxes)対策 詳細コンテンツ[編集] > キ−ワ−ドは38個。 < チェ−ンメ−ル対策 詳細コンテンツ[編集] > キ−ワ−ドは18個。 [グロ−バルポリシ−] -> [受信ポリシ−] 受ポは受信ポリシ− No. フィルタ名 属性 フィルタの種類 ステ−タス アクション ---------------------------------------------------------------------------- 1 ウィルス対策 グポ ウィルス対策 [表示] 有効 [編集] n/a 2 スパムメ−ル対策 グポ スパムメ−ル対策[表示] 有効 [編集] n/a 3 ぼう中傷表現チェック グポ 詳細コンテンツ [表示] 無効 [表示] n/a | 9 HTMLメ−ルスクリプト グポ 詳細コンテンツ [表示] 無効 [表示] n/a 10 受信サイズ制限 受ポ メッセ−ジサイズ[編集] 無効 [編集] [編集] 11 ウィルス感染可能な 受ポ メッセ−ジ添付 [編集] 無効 [編集] [編集] 12 マルチメディア添付 受ポ メッセ−ジ添付 [編集] 無効 [編集] [編集] 13 メ−ルフィルタ− 受ポ 詳細コンテンツ [編集] 有効 [編集] [編集] 14 ドメイン名 受ポ 詳細コンテンツ [編集] 有効 [編集] [編集] << 2006/12/21 なかった。 < 受信サイズ制限 > フィルタの種類[編集] でフィルタ基準 メッセ−ジサイズ(本文+添付ファイル)が [次の値より大きい場合 ▽] [ 10240 ] KB フィルタのステ−タス[編集] で利用不可、フィルタ無効、上書きプロパティ許可 フィルタのアクション[編集] で一致しなかった場合[配信]、一致した場合[保留通知] < ウィルス感染可能なファイル対策 > 〆添付ファイルの拡張子またはファイル名 [ *.DRV;*.DLL,*.BIN などたくさん ] 〆添付ファイルのファイルタイプ < マルチメディア添付ファイル制限 > 〆添付ファイルのファイルタイプ < メ−ルフィルタ− > フィルタの種類[編集] で詳細コンテンツフィルタのキ−ワ−ドを登録する フィルタのステ−タス[編集] で利用可、フィルタ有効、上書きプロパティを許可 フィルタのアクション[編集] で一致しなかった場合[配信]、一致した場合[隔離] [グロ−バルポリシ−] -> [送信ポリシ−] 使わない。 [グロ−バルポリシ−] -> [POP3ポリシ−] 使わない。 * InterScan のログとパタ−ンファイル # ls -l /opt/ISCAN-LOG -rw-r--r-- 1 ... 0 9月 30日 2005年 emgr.imss.20050930.0001 -rw-r--r-- 1 ... 551 8月 4日 08:23 emgr.imss.20060804.0001 -rw-r--r-- 1 ... 55282 9月 30日 2005年 log.imss.20050930.0001 -rw-r--r-- 1 ... 1543054 8月 4日 11:16 log.imss.20060804.0001 -rw------- 1 ... 2889 9月 2日 2005年 scan-log.2005.09.02 -rw------- 1 ... 1946 9月 30日 2005年 scan-log.2005.09.30 -rw-r--r-- 1 ... 0 9月 30日 2005年 virus.imss.20050930.0001 -rw-r--r-- 1 ... 0 8月 4日 00:00 virus.imss.20060804.0001 # ls -l /opt/ISCAN-VIRUS -rw-r--r-- 1 ... 303 12月 15日 01:48 smtp-1088-1416DED0-...70FB050AB00.AF -rw-r--r-- 1 ... 1148 12月 15日 01:48 smtp-1088-1416DED0-...70FB050AB00.DF -rw-r--r-- 1 ... 352 12月 14日 20:54 smtp-1089-438A7B11-...F4045477B7F.AF -rw-r--r-- 1 ... 3247059 12月 14日 20:54 smtp-1089-438A7B11-...F4045477B7F.DF # cd /opt/trend/imss; ls -F TMI/ config/ log/ script/ bin/ em_migrt.ini man/ temp/ common/ lib/ queue/ xhtml/ # ls -l temp -rw-r--r-- 1 ... 287529 12月 14日 17:00 TM_AntiSpam.4873 -rw-r--r-- 1 ... 291241 12月 15日 04:00 TM_AntiSpam.4874 -rw-r--r-- 1 ... 842105 7月 3日 17:00 TM_AntiSpamBG.4545 -rw-r--r-- 1 ... 19497 12月 15日 04:00 TM_Trend$SE.200 << スパムメ−ル対 -rw-r--r-- 1 ... 22814481 12月 14日 13:00 lpt$vpn.105 策フィルタ用ス -rw-r--r-- 1 ... 22819089 12月 14日 20:02 lpt$vpn.107 パムデ−タベ− drwxr-xr-x 4 ... 512 11月 21日 16:00 AU_Backup スのファイル。 | 幾つかファイルあり、毎日は更新されてない。 * [設定]->[アップデ−ト]->[手動アップデ−ト] ------------------------------------------------------------------------------- コンポ−ネント 利用可能な 使用中の 前回のアップデ−ト バ−ジョン バ−ジョン ------------------------------------------------------------------------------- □ ウィルスパタ−ンファイル 4.107.00 4.107.00 2006-12-14 20:02 □ 検索エンジン 8.31 8.31-1002 2006-11-21 16:00 □ スパムデ−タベ−ス 4874 4874 2006-12-15 04:00 TM_AntiSpam.4874 TM_Trend$SE.200 ------------------------------------------------------------------------------- コンポ−ネントのダウンロ−ド元 ------------------------------------------------------------------------------- ◎トレンドマイクロのアップデ−トサ−バ ○インタ−ネット上の他のサ−バ [アップデ−ト開始] * 参考 CTCの「テクインフォ」2006/05, VOL.60/61, "IMSS eManagerによるメ−ルのフィルタ リング"。類義語チェックは英数字に対応。日本語には対応してない。 eManager は2004/03 に販売は終わっている。元は InterScan のプラグインソフトだった。 InterScan VirusWall Ver.3.x と eManager は 2005/09/End でサポ−ト終了した。 InterScan の Windows NT 版 はメ−ルのトラフィック監視機能があり、 メ−ルのトラフ ィックや配信の数を見ることができる。 (2) InterScan の eManager の有効性 `26/12〜 * 迷惑メ−ル対策への利用 メ−ルの件名や本文をキ−ワ−ドで跳ねることができる。2003年頃、トレンドマイク ロ社は有償ソフトだったのを無料にして InterScan Messaging Security Suite に含めた。 どうもトレンドマイクロとしては、新たに出した有償サ−ビスの Reputation Servicesを 使ってくれということでないのか。どうも eManager は、あまりメンテナンスされている ように感じない。所詮、キ−ワ−ドフィルタリングのため、誤検知は多いと考えた方がい い。SI業者さんを通じて eManager の扱いを聞いてみた。やはりあまり積極的に利用を 勧めてはいないとのことだった。一応、日本語のキ−ワ−ドを50個位登録して使ってみ た。日本語の迷惑メ−ルは20%前後、簡単に排除できた。うまく使えば50%ぐらいま で上げることができるかも知れない。しかし誤検知のチェックは必須作業には違いない。 * 検証方法 自分、個人で入っているプロバイダのメ−ルアドレスに一杯、迷惑メ−ルが来る。それを 溜めておいてテストに使うか。予備のメ−ルサ−バに eManager の設定をして、溜めたメ −ルを送ってみて、どうメ−ルを弾いてくれるか。いや予備機を使うまでもない、本番稼 働しているマシンでやってよし。eManager 機能を使うことによって、マシンのCPU負荷が 大きくなりマシンが停止するとか、そういうことはほとんどなさそうである。最初、そろ そろやってみたが、Mail-Store マシンは Sun V210, Solaris 9 で十分な余裕があるみた いである。sdtprocess や vmstat コマンドでマシンの状態を表示してみたが、 eManager にキ−ワ−ドを50個程登録しても全然変化はなかった。特に問題はない。 会社には info@nix.co.jj などタ−ゲットにされやすいメ−ルアドレスには、100通ぐ らい迷惑メ−ルは来ている。これをフィルタリングの試しにすればいいのだが、 aliases ファイルで別メ−ルアドレスにも転送するとかすればできないことはない。ちょっとそれ もめんどうなので、ikken@tcp-ip.or.jj 宛に来る迷惑メ−ルを使うことにする。 1日に 約50通くる。加入プロバイダで xxx.net.cn は来ないようにしてある。このメ−ルを自 社の katou@nix.co.jj に転送して InterScan の餌にする。侵入防御装置と InterScanメ −ルウィルス一括チェックソフトで、ウィルス入りメ−ルを除去している。結果社内で受 け取るメ−ルは、概ね正常なメ−ルと迷惑メ−ルになっている。 * InterScan eManager 設定の確認 [グロ−バルポリシ−のフィルタの順序] ウィルス対策 スパムメ−ル対策 << スパムメ−ル対策は件名と本文に適用。 ひぼう中傷表現チェック 人種差別表現チェック 性差別表現チェック デマメ−ル(Hoaxes)対策 チェ−ンメ−ル対策 ラブバグ(Love Bug)対策 HTMLスクリプトメッセ−ジブロック [受信ポリシ−のフィルタの順序] 受信サイズ制限 ウィルス感染可能なファイル対策 マルチメディア添付ファイル制限 メ−ルフィルタ− << キ−ワ−ド50個登録。件名だけにフィルタ−を適用。 ドメイン名 eManager(キ−ワ−ドによるフィルタリング)とウィルスチェック、どちらが先に行なわれ るか。/var/spool/mqueue-rx に溜まるのは、 どうもウィルスが入ったファイルみたいで ある。何百行とあるので、もし eManager が先ならなめるのにだいぶ時間を食うかも知れ ない。いや順番はウィルスチェックが先である。受信ポリシ−のフィルタリストの番号順 になっているはず。ウィルス対策が1番で、メ−ルフィルタ−は最後の方である。 * キ−ワ−ドリストの登録 [ポリシ−管理] -> [受信ポリシ−] の "13 メ−ルフィルタ−" の [編集] をクリック。 ------------------------------------------------ |メ−ルフィルタ− | ------------------------------------------------- | |メッセ−ジパ−トの選択 | |------------------------------------------------- | | 〆メッセ−ジヘッダ | | | | 〆件名 □From □To □Cc □その他 | | | | □メッセ−ジ本文 | | | | □添付ファイル | | □ファイル □ファイル名 □Content-Type | | 内容 | | 処理 | | □適用レベルの ... ファイルを削除する | ------------------------------------------------- | | キ−ワ−ドリスト [詳細設定] << デフォルトのまま | ----------------------------------------------------------- で、近接値[10]語 | | No. □有効 キ−ワ−ド A=\a 類義語 詳細 □削除| 頻度[5]回,区切り | |---------------------------------------------------------| 文字 [ ] [] 1。 | | 1 〆 性交 有効 無効 [編集] □ | | | | 言葉を一つずつ登録していく。上記では "性交" という言葉を登録してみた。[編集]のと こをクリック、定義は[ 性交 ]、大文字/小文字の区別は有効、類義語を検出しない。 * フィルタの "スパムメ−ル対策" の効果は ---------------------------------------------- |スパムデ−タベ−ス | |--------------------------------------------| |ル−ル: ○メッセ−ジの件名に適用する | | ●メッセ−ジの件名と本文に適用する | ---------------------------------------------- これはどういうチェックをやっているのか。これまでのスパムメ−ルから特徴を抽出して トレンドマイクロがデ−タベ−ス化したのを元にチェックする。どうもスパムデ−タベ− スは日本語には対応してないみたい。しかもデ−タベ−スの内容は公開されていない。こ れはちょっとばかり困る。これまで スパムメ−ル対策は "オン"にして使ってきた。ログ を見ると、これでままメ−ルを弾いている。ざっと見たところ正常そうなメ−ルは見当た らなかった。ずっと1日20通ぐらい検知していた。しかし2006年8月頃からから減 ってきて2006年12月10日以降ほとんど検知しなくなった。まるでメンテナンスが されていないということか、どこかにトレンドマイクロからの最近のアナウンスはないか。 * やってみた結果1 メ−ルの件名である Subject: 部でのチェックは、ほとんど検出できなかった。50通か 100通に1通ぐらい掛かっただけである。迷惑メ−ルも賢くてエッチなおかしな単語が Subject: であまり使われてないためである。 人は件名を見れば、おかしな単語でなくて も、99.9%おかしなメ−ルだと判断できるが。でも、かなり判断に迷う件名も多くな ってきた。自分はメ−ルソフトに表示された、件名と差出人の両方で判断している。件名 よりも差出人で判断するのがほとんどんかも知れない。InterScan のログで件名が会社の パソコンの Outlook で見ると化けている。 自宅に来たメ−ルを転送したのを会社で見る とおかしいので、自宅でも見てみた。メ−ルの日付は 2007/01/27 19時59分頃。2つ のメ−ルをチェックしたところ件名のところは日本語で、同じ文字列だった。差出人、宛 先は異なってはいた。発信元が一緒でみかけ送信アドレスが違っているのだ。 sato2092@enet.com.cn ikken@tcp-ip.or.jj ・M……I・o・T……?……_…S…B ai8652@ent.com.cn cusss@nix.co.jj ・M……I・o・T……?……_…S…B * やってみた結果2 InterScan eManager が弾いたメ−ルのログと、来たメ−ルを一つずつ判断して、 正常メ −ルと迷惑メ−ルの数を調べてみた。2006年12月初旬、メ−ルの件名だけのフィル タ−を開始した。40個程のキ−ワ−ド登録で、凡そ10%以下の検知だった。2007 年1月では、件名と本文の検索でキ−ワ−ドを10個程登録し、だいたい20%前後の検 知だった。誤検知はほとんどなかった。少なくとも必要なメ−ルの誤検知はなかった。約 1ヶ月様子を見て、メ−リングリストでまあどうでもいいようなメ−ルで数通、あと1通 ぐらいあった程度である。登録するキ−ワ−ドをよっぽどエッチなのを選ぶ限り、例えば "人妻" とか "セックス" とか、誤検知はほとんど無いとみなしてよさそうである。 概ね InterScan eManage はそこそこ使えていると思う。以下、検知した全体の迷惑メ−ル数と いうのは、ログの表示が20行ずつ出るのでその枚数を数えた。なんて原始的な話!。 日 140 120 140 120 100 120 200 180 220 187 200 : 検知した全体の迷惑メ−ル数。 別 9 7 7 10 6 9 14 9 14 13 10 : 検知したikken宛迷惑メ−ルの数。 数 45 38 55 46 55 50 52 42 41 50 47 : ikken 宛に来た迷惑メ−ルの数 * Outlook のフィルタリング Outlook から出したメ−ルを InterScanで、ストップさせる設定が「テクインフォ」に載 っていた。2004.9, P.15〜, "eManager フィルタを利用する"。Outlook は Windows 標準 のメ−ルソフトだが、何かと問題が多い。セキュリティ的にもできれば使わない方が望ま しいという記事はよく見る。しかし最初から Windows に入っていて、どうしてもOutlook の利用者は多い。そして一旦使い始めると、利用をしないようにとアナウンスしてもなか なか止めてはくれないものらしい。そこで Outlook から出したメ−ルを、 InterScan で 捕捉して無効にしてしまうのである。有無を言わせないやり方もあるということ。 Outlook のスケジュ−ル共有機能も問題になることがある。小生は使ったことないが、こ の機能を設定していると複数人で予定を交換し合うことができる。プロトコルは確認はし てないが多分 SMTP だと思う。机のパソコンで見る分にはいいが、携帯電話にメ−ル転送 するようにしていると、スケジュ−ルのパケットが年中来ることになる。これもうっとう しい話で、どこかでフィルタリングしたいということになる。本当はこんなおまけ機能の 利用は差し控えたい。メ−ルソフトはできればマイクロソフト製以外、マイクロソフトの を使うのならせめてメ−ル機能だけの Outlook Express を使う方がいいと思う。 (3) InterScan が止めて溜まったメ−ル `27/02 * Mail-Store の mqueue-rx に溜まったメ−ル 怪しい? 迷惑メ−ルを発信しているのでないかと思ったが。どうもそれはないようだ。 InterScan がやって来たメ−ルを、ここ mqueue-rx に止めたようである。 InterScan がメ−ルのヘ ッダ−をみて、To: のメ−ルアドレスの記述が多すぎる。Malformed というワ−ニングを 出して止めていた。以下のメ−ルでは Return-Path: とあるので、 問 題があれば kero@nnn.co.jj に返えって行くはずだが、返える前にInterScan が止めたよ うである。対策としては特にとらない。To: または Cc:フィ−ルドに100個以上、メ− ルアドレスを書くと止められる。トレンドマイクロのサイトを調べていて、そのことが書 かれていた。InterScan Messaging Security Suite -5.x でのこと。宛先やヘッダ数が多 いメ−ルは配信できない。(reason: 554 Malformed Email Rejected. )、作成2004/01/22 ソリュ−ションID 28230。こんなメ−ルは問答無用、別にほかっておけばいい。そんな にたくさん来るわけでもないので、気付いた時に mqueue-rx のファイルを全部、消す。 [ アクセスログの様子 ] # cd /var/log ディスプレイにも "savemail panic" と警告が出ていた。 # grep panic * syslog.1:Feb 7 19:59:46 hostB sendmail[27723]: [ID 801593 mail.alert] l17AxipI027723: Losing ./qfl17AxipI027723: savemail panic syslog.1:Feb 7 20:28:50 hostB sendmail[3355]: [ID 801593 mail.alert] l17BSnpI003355: Losing ./qfl17BSnpI003355: savemail panic /var/spool/mqueue, /opt/trend/imss/queue/postpone にはファイルはなかった。 # cd /var/spool/mqueue-rx; ls -l -rw------- 1 ... 844 12月 9日 2005年 QfjB94edV4000645 -rw------- 1 ... 845 12月 22日 2005年 QfjBM0lEV4002099 -rw------- 1 ... 843 1月 7日 2006年 Qfk074iOV4000038 以下続く このディレクトリに100個ぐらいファイルが溜まっていた。1年以上前のファイルとか もあった。予備の Mail-Store を立ててテストしていた時のメ−ルとかもあった。でもほ とんどは Malformed のエラ−メ−ルだった。 これらのファイルは何がしかアクセスされ ているみたいだが、どこかへ行く訳でなく溜まって行くのみである。 # ls -lu 新しくアクセスされている。 -rw------- 1 ... 844 2月 20日 17:38 QfjB94edV4000645 -rw------- 1 ... 845 2月 20日 17:38 QfjBM0lEV4002099 -rw------- 1 ... 843 2月 20日 17:38 Qfk074iOV4000038 以下続く # ls -l | wc -l << 数は変わらないみたい。通過するメ−ルのはすぐに通過していく。 113 Q* ファイルが39個、q* ファイルが 0, d*ファイルが74個だった。 [ InterScan の設定の様子 ] # cd /opt/trend/imss/config # ls -F ISmoduleVer.txt* eMan_db.xml.bak imss.ini.bak imssutilerr.dat* SLF2.ldf@ eMan_db.xml.redo imss.ini.lock migration.cfg* eMan_db.xml* imss.ini imssaphost.dat* template/ imss.ini ----------------------------------- バ−ジョン: 5.11 | | ビルド番号: 1096 |[MessageModule] Service Pack: |TmpDirPath= Patch:3 |MaxMemoryResourceSize=1048576 HotFix |TotalAllocateMemoryLimit=33554432 |LimitHeaders=1000 << ここにパラメ−タを追加すれば、 数の変更はできるらしい |LimitHeaderParms=1000 がやらん方がいいと思う。To:、Cc: フィ−ルドが100個 |LimitRecipients=1000 でも既に十分過ぎる数だと思う。 | | eMan_db.xml ------------------------- | 各種メッセ−ジの記載がある。例えばメ−ルのサイズが設 | 定した大きさを超えたのを、相手にその旨を知らせるとか。 | | * Mail-Store の sendmail デ−モンが多い これも怪しい? 2007年4月4日の朝に気付いた。この日は16個。5日の朝は10時過ぎに見て14 個あった 8:17〜10:00までの範囲のデ−モンだった。5日の12時40分に見たのが下の 状態である。10:51〜12:34 の範囲の13個のデ−モンである。apache も imssdデ−モン も一杯できていた、それぞれ6個と12個。これは当初からこの程度の数できていた、特 に問題はないと思われる。sendmailの数はどうだったか、気付くまでは下記の上から3つ のデ−モンしかなかったように思うのだが。以下 /var/spool/mqueue-rx に滞留している ファイルの動きを見たところ、9分間で3つのファイルが InterScanへ送られたことにな る。InterScan は精出して処理しているのだが時間がかかり、次のファイルを受け入れる ことができない状態になっているということなのか。かと言ってメ−ルの配送が遅くなっ ているわけではない。自分宛に出したメ−ルはすぐに取り込むことができる。 ファイルの中身に問題があるのか。中身はどんなのか。/var/spool/mqueue-rxのファイル で消して問題なさそうなのを、手作業で rm してデ−モンの数がどうなるのか調べるとか。 eManager の処理が負荷がかかるようになったのかも知れない。 マッチングのキ−ワ−ド の数が多い、件名だけでなく本文もマッチングするとかそんな理由で。一時的にeManager の働きを止めるなり、マッチングさせるキ−ワ−ドを減らすなり、件名だけマッチングさ せるなり。いろいろ調べなければならない。途中結果、ファイルの中身を見てゴミだった ので全部消した。しばらくするとファイル dxxx が5個ほどたまり、以下と同じような滞 留と sendmail の数になった。ファイルの中身は zip 形式のウィルス、Panda AntiVirus が"Attachment: No Virus found"、5日間再送した、ユ−ザがいないと。一番気になるの はファイルの頭が切れている、t of session follows なんて始まっているのだ。 # ps -ef | grep sendmail .. 181 1 0 1月 10 6:44 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf 184 1 0 1月 10 4:54 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-tx.cf 191 1 0 1月 10 0:00 /usr/lib/sendmail -Ac -q15m 16050 181 0 10:51:28 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf 9567 181 0 12:34:06 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf 16154 181 0 10:51:55 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf 27025 181 0 11:39:29 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf 28128 181 0 11:44:19 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf 13297 181 0 10:39:27 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf | ちょっとCPU 負荷は高いと思うが。その後少し勉強しま した。これぐらいは別にどうってことない。ここの値よ り一番左の r の値が 1 以上になっていると問題らしい。 # vmstat 5 3 ↓ ↓ kthr memory page disk faults cpu r b w swap free re mf pi po fr de sr m0 m1 m5 m6 in sy cs us sy id 0 0 0 1180568 481448 56 297 1 1 1 0 0 0 0 0 7 409 211 381 1 2 97 0 0 0 978584 400208 44 408 0 0 0 0 0 0 0 0 33 779 1573 772 4 3 93 0 0 0 978912 400304 68 373 0 0 0 0 0 0 0 0 9 431 957 414 1 2 97 内外からメ−ル ↓TCP/25 sendmail ( sendmail-rx.cf ) /var/spool/mqueue-rx 今日の8から7個 ↓TCP/10025 InterScanでウィルスチェック /opt/trend/imss/queue/postpone ファイル0個 ↓TCP/10026 sendmail ( sendmail-tx.cf ) /var/spool/mqueue 0個 現在の時刻は12時40分、/var/spool/mqueue-rx に今日の 10:51〜11:57のファイルが 8個あった、全部 dxxx で qxxx や Qxxx はなかった。去年から溜まっているファイルは dxxx と Qxxx が約130個あったが、死んでいるのか。いや #ls -lu で見たら今日もな められてはいた。# ps -ef | grep sendmail では sendmail-rx.cfの子プロセスが13個 あり、ファイルの時刻と起動時刻はほぼ対応していた。同じ時刻での起動がほぼ2個ずつ だった。1個だけ対応しないのがあった、それはもう InterScanの処理が終わったという ことか。mqueue-rx は全てのメ−ルが通っていくはずである。しかし処理がとても速いの か、ls をどんどん叩いても滞留しているファイル以外は見えない。 # ls -l /var/spool/mqueue-rx で滞留しているファイルの動きを見た 12時40分 12時59分 45056 4月5日 10:51 dfl351pSpI016050 40960 4月5日 11:33 dfl352XdpI025698 (a) 45056 4月5日 10:52 dfl351qZpI016325 45056 4月5日 11:39 dfl352dTpI027025 (b) 45056 4月5日 10:57 dfl351vJpI017415 45056 4月5日 11:51 dfl352popI029859 (c) 40960 4月5日 11:33 dfl352XdpI025698 (a) 45056 4月5日 11:57 dfl352vUpI001230 (d) 45056 4月5日 11:39 dfl352dTpI027025 (b) 45056 4月5日 12:34 dfl353Y6pI009567 (e) 45056 4月5日 11:51 dfl352popI029859 (c) 45056 4月5日 12:53 dfl353rspI014262 45056 4月5日 11:57 dfl352vUpI001230 (d) 45056 4月5日 12:55 dfl353tvpI014775 45056 4月5日 12:34 dfl353Y6pI009567 (e) 12:53と12:55は新しい分 (4) InterScan の運用前テスト1 `25/10 -------------------------------------------------------------------------------- 新しい InterScan でのホスト名解釈 -------------------------------------------------------------------------------- * sendmail と InterScan の /etc/hosts と DNS の関係 パソコンのメ−ルソフトからこのマシンに自分宛 katou@nix.co.jjにメ−ルを送ってみる。 /etc/nsswitch.conf で "hosts: files" だとメ−ルを送信するが、 "hosts: files dns" にすると "savemail panic" とメッセ−ジが出て送信できない。 このマシンの sendmail が "hosts: files" だと /etc/hosts のエントリを見るが、 "hosts: files dns" にする と DNS だけしか見なくなる。/var/spool/mqueue-rx に留まったメ−ルのキュ−を見ると (reason: 550 Host unknown) とあった。 何のホスト名か分からんと いうのだ、それが分からん。ともかくこれまでの SS5 の sendmail からして、 ホスト名 解決のところがおかしかった。皆さんどなんしてるの?。 snoop コマンドでパケットの様子をみた。"手動アップデ−ト"でパタ−ンファイルなどを "●トレンドマイクロのアップデ−トサ−バ" から取るにして、[アップデ−ト開始] した。 a202-232-140-20.deploy.akamaitechnologies.com HTTP GET /activeupdate/japan/serve r.ini HTTP/1.1 といったのが snoop で出てきた。アップデ−トは成功とも失敗とも出て こない。"コンポ−ネント"の"使用中のバ−ジョン"を見て判断する。あるいは /opt/tren d/imss/lib に新しい lpt$vpn.xxx が来ているかどうかである。以上は 0.deploy.akamai なんたらドメインにアクセスにするのに DNS でIPアドレスを調べている。 これでパタ−ンファイルをとってくる先が分かったので、-20.deploy.akamai なんたらの IPアドレスを nslookup で調べた。ホスト名はIPアドレスを含んだ名前になっている ので調べるまでもなかったが。こちらは DNS を使わずに直接、 IPアドレスでアクセス するということで。"インタ−ネット上の他のサ−バ" のところに [ http://202.232.140 .20/activeupdate/japan ] と入れた。そして"手動アップデ−ト" をやる。最初これでう まくいったと思った。また後でやったらどうもおかしい。結局ここでは何を記述してもう まくいかないみたいだった。 /etc/nsswitch.conf /etc/resolv.conf は有っても無くても関係なし。 ------------------ |hosts: files << sendmail を有効にするには dns を入れてはダメ。 解決策はいかに。"●トレンドマイクロのアップデ−トサ−バ" を使うようにして、 この マシンの /etc/hosts に以下のようにIPドレスとホスト名を追加記述した。追加は直ち に有効になる。snoop で見ていたら imss-unix-p.xxx や a202-232-140-20.xxx や a202- 232-140-29.xxx といったのが出てきた。DNSの別名であるとか、IPアドレスは同じであ るとか。よく分からないが、ともかくこんなようにしたらできた。それにしても "インタ −ネット上の他のサ−バ" の動きはどうなっているのだ。ここにどう記述したらいいかは 各自調べてネということらしい。どうも前の InterScan とは意味が違っているみたいだ。 /etc/hosts -------------------------------------------------------------------------------- |202.232.140.20 imss-unix-p.activeupdate.trendmicro.co.jp a202-232-140-20.deploy .akamaitechnologies.com * パタ−ンファイルを前のに戻す # cd /opt/trend/imss/lib;ls -l lpt* -rw-r--r-- 1 ... 16021439 10月 6日 13:00 lpt$vpn.875 -rw-r--r-- 1 ... 16028767 10月 7日 16:00 lpt$vpn.879 # rm *.879 << # rm lpt$vpn.879 ではファイル名を認識しなくて消せない。 パタ−ンファイルを消して、InterScan の画面をログオフして、再度ログインしたら、一 つ前のパタ−ンファイルになっていた。[手動アップデ−ト] で {使用中のバ−ジョン}は [2.879.00] になる。念のため # /etc/rc2.d/S99ISIMSS stop と start をやってもいい。 実際にダウンロ−ドしたときの時刻が {前回のアップデ−ト} の時刻となる。そのあとで lpt$vpn.xxx ファイルを消しても、時刻は変わらない。{使用中のバ−ジョン}は最新の日 付けのlpt$vpn.xxx ファイルを見て、ファイルの名前または中身からとっている。 * DNS でパタ−ンファイルを取りに行ったのを確認する [設定]->[アップデ−ト]->[手動アップデ−ト] で、{コンポ−ネント}を{ウィルスパタ− ンファイル} をチェックし、"●トレンドマイクロのアップデ−トサ−バ"を使うようにし て [アップデ−ト開始] をクリック。/opt/trend/imss/lib にあるパタ−ンファイルの最 新のを消して、さらきに取りに行くようにしてみる。パタ−ンファイルを取ってきたかど うかは、画面表示の {使用中のバ−ジョン} で判断する。{使用中のバ−ジョン}では判断 できない。あるいは /opt/trend/imss/lib に新しいパタ−ンファイルが来ているかみる。 /etc/resolv.conf /etc/nsswitch.conf ----------------------- ------------------- |domain nix.co.jj | | |nameserver 127.0.0.1 |hosts: files dns # /usr/local/sbin/named & # cd /opt/trend/imss/lib この状態、つまりまだ namedデ−モン起動せずにアップデ # rm lpt*vpn.147 −トやったら。使用中のバ−ジョンは 2.981.00 になった。 /etc/named.conf ---------------------------------- |options { このような設定にしてアップデ−ト | directory "/usr/local/etc"; をやった。これでダウンロ−ドして | forward only; できたファイル。ダウンロ−ドする | forwarders { 202.241.128.3; }; のに1分ぐらいかかった。実際にダ |}; ウンロ−ドしたときの時刻が "前回 のアップデ−ト" の時刻表示となる。 # ls -l lpt* ↓ -rw-r--r-- 1 ... 17194191 1月 6日 13:45 lpt$vpn.147 -rw-r--r-- 1 ... 16603479 11月 29日 10:00 lpt$vpn.971 以下一杯 * パタ−ンファイルが更新されていない `2c/05 メ−ルストアの予備機で InterScan7 が入っているマシンにて。 InterScan7 のパタ−ン ファイルなどをIPアドレス指定してダウンロ−ドするように設定していた。久しぶりに この予備機を見たらパタ−ンファイルが更新されてなかった。とりあえずパソコンでサイ トのIPアドレスを調べてみた。トレンドマイクロのこれらのIPアドレスはたまにはチ ェックしないと変わっている可能性が大である。特にアカマイのサ−ビスを使っているの でより可能性は高い。アカマイのサ−ビスとは、できるだけ近いとか速くダウンロ−ドで きるようにするファイル配信サ−ビスである。実は、数ヶ月前まで知らなかった。 > ping imss-unix-p.activeupdate.trendmicro.co.jp Pinging a151.d.akamai.net [202.229.2.97] with 32 bytes of data: > ping imss-unix-p.activeupdate.trendmicro.co.jp Pinging a151.d.akamai.net [202.229.2.105] with 32 bytes of data: > ping a202-232-140-20.deploy.akamaitechnologies.com Pinging ... [202.232.140.20] ... Request timed out. > ping imss7-as.activeupdate.trendmicro.co.jp Pinging a151.d.akamai.net [202.229.2.105] with 32 bytes of data: メ−ルストアの予備機で snoop かけてみた。InterScan7 の [検索サ−ビス] で{停止}し て{開始}、[ポリシ−サ−ビス] で{停止}して{開始}。下記の2番目のログは[スパム判定 ル−ル] をクリックしたところ。192.168.1.5 は InterScan7 が見るDNSサ−バでプロ キシサ−バを指定しているということ。 # snoop -r src 192.168.1.9 192.168.1.9 -> 192.168.1.5 HTTP GET http://imss-unix-p.activeupdate.trendmicro. co.jp:80/activeupdate/japan/init_xml 192.168.1.9 -> 192.168.1.5 HTTP GET http://imss-unix-p.activeupdate.trendmicro. co.jp:80/activeupdate/japan/antispam /etc/hosts こんなように書きかえた。 -------------------------------------------------------------------------------- |202.232.140.20 a202-232-140-20.deploy.akamaitechnologies.com |202.229.2.105 imss7-as.activeupdate.trendmicro.co.jp imss7-unix-p.activeupdat e.trendmicro.co.jp 一番初めにスパイウェアパタ−ンファイルが10分ほどして取ってきた。画面は勝手に利 用可能なバ−ジョンは黒になった。他のパタ−ンファイルなんかが変わらない。〆入れて [アップデ−ト]クリックしても、最新になっていると出るのだが、バ−ジョンは変わらな い。サイトにアクセスして、この "コンポ−ネントのバ−ジョンは最新です" と画面が出 るのだが。もう少しやってみないといけない。とりあえず、アップデ−トスケジュ−ルが 15分 になっている、不用意な負荷は少しでも減らした方がいい。日曜に1回だけにした。 (5) InterScan の運用前テスト2 `26/03 -------------------------------------------------------------------------------- メ−ルストアの予備機としての設定 -------------------------------------------------------------------------------- * Mail-Store 予備機のスタンバイ時の設定 : □ Router □ WWW' named 実際に稼働しているネットワ−クでの確認 | |.3 テスト。インタ−ネットにも接続している。 ------------------------ 202.241.128.0 | □ WWW (Mail-Relay) |.2 |.1 (Mail-Store) FireWall-1 □------- 192.168.2.0 □ MAIL □ 予備MAIL |.2 |.1 |.9 --------------------------------------------------- 192.168.1.0 予備機はいざという時にすぐに本番機になれるよう、InterScan のパタ−ンファイルも常 に最新のものにアップデ−トしておきたい。パタ−ンファイルを外に取りに行くのに DNS を使って調べる。予備機では namedデ−モンが動いていて、先ずここに問い合わせをする。 この named は外のホスト名については、202.241.128.3 の DNS に問い合わせするように している。このように DNS でパタ−ンファイル先を知るのが、まっとうなやり方である。 ただし予備機でパタ−ンファイルを最新のものにしておく必用性はない。予備機を本番機 にして、ほかっておいても最新のパタ−ンファイルを取りに行く。マシンをリブ−トすれ ば InterScanが起動する際に取りに行く、時間が来たら取りに行く、たった今取りに行く。 マシンのIPアドレスだけ変えて本番機としたような場合、定期的に取りに行くまでの何 時間か古いパタ−ンファイルのままになる。そんな可能性に配慮してのことである。 /etc/hosts /etc/resolv.conf --------------------------------------------- ---------------------- |127.0.0.1 localhost |domain nix.co.jj |192.168.1.9 hostB hostB.nix.co.jj loghost |nameserver 127.0.0.1 |202.241.128.3 hostA /etc/named.conf /etc/named.hosts ---------------------------------- ------------------------------------------- |options { |$TTL 86400 | directory "/usr/local/etc"; |@ IN SOA nsi.nix.co.jj. katou.nix.co.jj. ( | forward first; | 1 3600 300 36000 3600 ) | forwarders { 202.241.128.3; }; | IN NS nsi.nix.co.jj. |}; |nsi IN A 192.168.1.9 | |hostB IN A 192.168.1.9 |zone "nix.co.jj" { | type master; /etc/nsswitch.conf | file "/etc/named.hosts"; ------------------ |}; |hosts: files dns << 関係部だけ示した。 予備機から外にメ−ルを送ることができる。自分宛にもメ−ルを送って送信が確認できる。 予備機で # /usr/ucb/mail -v katou@nix.co.jj とやると、予備機の /var/mail/ ディレ クトリにファイル katou ができる。これは送ったメ−ルそのものである。 * Mail-Store 予備機の単体テスト時の問題 MAIL予備機を 192.168.1.1 にして、1台だけでテストする場合のこと。 スタンバイ時の 設定から /etc/hosts と /etc/named.hosts で、本番機のIPアドレスにしたもの。これ で # /usr/ucb/mail -v katou@nix.co.jj とやってもエラ−になる。 # nslookup は反応 しない。これは /etc/named.conf の forwarders { 202.241.128.3; }; の記述が影響し ている。nslookup コマンドを打つと現象がよく分かる、 正常ならすぐに出て来るはずの プロンプト ">" が出て来ない。この間 nslookup プログラムは、 フォワ−ド先を先ず見 に行こうとしている。それが行けなくてエラ−になるみたいである。mailコマンドの方も 内部で同じことが起きていると思われる。/etc/named.conf でフォワ−ドの記述をする場 合は、必ずフォワ−ド先のネ−ムサ−バが動いていて、アクセスできることが必要である。 /etc/hosts /etc/named.hosts --------------------------------------------- ---------------------------- | | |nsi IN A 192.168.1.1 |192.168.1.1 hostB hostB.nix.co.jj loghost |hostB IN A 192.168.1.1 << Mail-Store 予備機の統合テスト時の問題 >> 社内ネットワ−クにもインタ− □ WWW (Mail-Relay) ネットにも接続してない。独立 .2 |.1 (Mail-Store) PC したテスト用のネットワ−ク。 FireWall-1 □------- 192.168.2.0 □ 予備MAIL □ |.2 |.1 | --------------------------------------------------- 192.168.1.0 MAIL予備機を単体テスト時の設定のままで、このような統合テストを行なうとどうなるか。 FireWall-1 と WWW のホストも予備を用意して、テスト環境を作った場合である。MAILの この設定では、統合テストはうまくいかない。#/usr/ucb/mail -v katou@nix.co.jj をや ると、メ−ルは /var/spool/mqueue-rx に溜まってしまう。これは InterScanがうまく働 いていないため起こる。なぜ InterScan が働かないのか。確認のため、パソコン PCから InterScan へアクセスしてみる。http://192.168.1.1:8081/IMSS.html でパスワ−ドを入 れて10秒ぐらいどこか探しに行く。結果アクセスできない。 ブラウザに "aphost から の応答がタイムアウトしました" と出る。InterScan は先ず、パタ−ンファイルのあると ころにアクセスしようとする。ここではインタ−ネットにつながっていないのでアクセス できずにエラ−となる。 * Mail-Store 予備機の統合テスト時の設定 /etc/hosts /etc/named.hosts /etc/nsswitch.conf --------------------------------- ----------------------- ------------------ |127.0.0.1 localhost |nsi IN A 192.168.1.1 |hosts: files |192.168.1.1 hostB hostB.nix.. |hostB IN A 192.168.1.1 |202.241.128.3 hostA |202.232.140.20 imss-unix-p.actie... << これ追加。これでちゃんと働く。 * 予備機での eManager の様子 << 予備のメ−ルストアでテスト >> 社内のネットワ−クにつながずに、単独でおいている。更新されていないので、内容が違 ってきている。ネットワ−クにつないだら、最新の状態になるのか一度確認しておくこと。 製品バ−ジョン:5.11 ビルド番号:1159 Service Pack: Patch:4 HotFix:11590 /etc/nsswitch.conf /etc/resolv.conf named デ−モン稼働 ------------------- ---------------------- |passwd: files |domain nix.co.jj |group: files |nameserver 127.0.0.1 |hosts: files | | /etc/hosts -------------------------------------------------------------------------------- | | |202.232.140.20 imss-unix-p.activeupdate.trendmicro.co.jp a202-232-140-20.dep... # cd /opt/trend/imss # ls -l temp -rw-r--r-- 1 ... 486761 10月 4日 17:00 TM_AntiSpam.4731 -rw-r--r-- 1 ... 438137 11月 6日 13:06 TM_AntiSpam.4792 -rw-r--r-- 1 ... 19497 11月 6日 13:06 TM_Trend$SE.200 -rw-r--r-- 1 ... 25942783 10月 4日 15:01 lpt$vpn.815 -rw-r--r-- 1 ... 27851791 11月 6日 13:06 lpt$vpn.903 drwxr-xr-x 3 ... 512 1月 31日 2006年 AU_Backup << ポリシ−の設定など >> [グロ−バルポリシ−] グポはグロ−バルポリシ− No. フィルタ名 属性 フィルタの種類 ステ−タス アクション ---------------------------------------------------------------------------- 1 ウィルス対策 グポ ウィルス対策 [編集] 有効 [編集] [編集] 2 スパムメ−ル対策 グポ スパムメ−ル対策[編集] 無効 [編集] [編集] 3 比某中傷表現チェック グポ 詳細コンテンツ [編集] 〃 [編集] [編集] 4 人種差別表現チェック グポ 〃 [編集] 〃 [編集] [編集] 5 性差別表現チェック グポ 〃 [編集] 〃 [編集] [編集] 6 デマメ−ル対策 グポ 〃 [編集] 〃 [編集] [編集] 7 チェ−ンメ−ル対策 グポ 〃 [編集] 〃 [編集] [編集] 8 ラブバグ対策 グポ 標準コンテンツ [編集] 〃 [編集] [編集] 9 HTMLメ−ルスクリプト グポ 詳細コンテンツ [編集] 〃 [編集] [編集] ウィルス対策の フィルタアクション マスメ−リングリストが検出された場合 削除 ウィルスが検出されたが駆除できなかった場合 隔離して通知 添付ファイルにジョ−クプログラムが含まれている場合 隔離 ウィルス検索の中断により、メッセ−ジにウィルスが 含まれている可能性がある場合 隔離して通知 ウィルスがパスワ−ド保護されているため、検索できな かった場合 配信 ウィルスが検出され駆除に成功した場合 配信して通知 ウィルスが検出されなかった場合 配信 [グロ−バルポリシ−]->[受信ポリシ−] 受ポは受信ポリシ− No. フィルタ名 属性 フィルタの種類 ステ−タス アクション ---------------------------------------------------------------------------- 1 ウィルス対策 グポ ウィルス対策 [表示] 有効 [編集] n/a 2 スパムメ−ル対策 グポ スパムメ−ル対策[表示] 無効 [表示] n/a | 9 HTMLメ−ルスクリプト グポ 詳細コンテンツ [編集] 無効 [表示] n/a 10 受信サイズ制限 受ポ メッセ−ジサイズ[編集] 無効 [編集] [編集] 11 ウィルス感染可能な 受ポ メッセ−ジ添付 [編集] 無効 [編集] [編集] 12 マルチメディア添付 受ポ メッセ−ジ添付 [編集] 無効 [編集] [編集] ※"13 メ−ルフィルタ−","14 ドメイン名" なし。下記でアップデ−トしてもなかった。 [グロ−バルポリシ−]->[受信ポリシ−]->[フィルタの管理]->[フィルタの順序] ------------------------------------ |受信サイズ制限 |▲| 上のことからル−ルが適用される。 |ウィルス感染可能なファイル対策 | | ここでル−ルの順番を変更するこ |マルチメディア添付ファイル制限 |▼| とができる。 ------------------------------------ [設定]->[アップデ−ト]->[手動アップデ−ト]の設定。`27/04/25 にマシンをネットワ− クにつないでみた。メニュ−を選んで表示したのがこれ。[アップデ−ト開始]はクリック してない。稼働中の本番機と照らし合わせて、{利用可能なバ−ジョン}は一緒だった。表 示の "アップデ−ト" は赤。次の日に見たら現在、本番稼働しているバ−ジョンと一緒に なっていた。予備機もちゃんとスタンバイしている。 -------------------------------------------------------------------------------- コンポ−ネント 利用可能な 使用中の 前回のアップデ−ト バ−ジョン バ−ジョン -------------------------------------------------------------------------------- □ ウィルスパタ−ンファイル 4.435.00 3.903.00 アップデ−ト 2006-11-06 13:06 □ 検索エンジン 8.31 8.100-1002 アップデ−ト □ スパムデ−タベ−ス 5136 4792 アップデ−ト TM_AntiSpam.4792 2006-11-06 13:06 TM_Trend$SE.200 -------------------------------------------------------------------------------- コンポ−ネントのダウンロ−ド元 -------------------------------------------------------------------------------- ● トレンドマイクロのアップデ−トサ−バ ○ インタ−ネット上の他のサ−バ [アップデ−ト開始] ------------------------------------------------------------------------------------ [ 付録 ] "(3) InterScan が止めて溜まったメ−ル" の付録 エラ−になったメ−ルの内容。 # cd /var/spool/mqueue-rx; ls Qfl17AxipI027723 dfl17AxipI027723 # more Qfl17AxipI027723 V6 T1170845984 K0 N0 P1363489 I0/6/12184 Fr $_localhost $r $slocalhost ${daemon_flags} ${if_addr}192.168.1.1 SMAILER-DAEMON rRFC822; kero@nnn.co.jj RPF: H?P?Return-Path: H??Received: from localhost (localhost) by mail.nix.co.jj (8.12) id l17AxipI027723; Wed, 7 Feb 2007 19:59:44 +0900 (JST) H?D?Date: Wed, 7 Feb 2007 19:59:44 +0900 (JST) H?F?From: Mail Delivery Subsystem H?x?Full-Name: Mail Delivery Subsystem H?M?Message-Id: <200702071059.l17AxipI027723@mail.nix.co.jj> H??To: H??MIME-Version: 1.0 H??Content-Type: multipart/report; report-type=delivery-status; boundary="l17AxipI027723.1170845984/mail.nix.co.jj" H??Subject: Returned mail: see transcript for details H??Auto-Submitted: auto-generated (failure) . # more dfl17AxipI027723 This is a MIME-encapsulated message --l17AxipI027723.1170845984/mail.nix.co.jj The original message was received at Wed, 7 Feb 2007 19:59:42 +0900 (JST) from hostA [202.241.128.3] ----- The following addresses had permanent fatal errors ----- (reason: 554 Malformed Email Rejected. ) (reason: 554 Malformed Email Rejected. ) ----- Transcript of session follows ----- ... while talking to 127.0.0.1: >>> DATA <<< 554 Malformed Email Rejected. 554 5.0.0 Service unavailable --l17AxipI027723.1170845984/mail.nix.co.jj Content-Type: message/delivery-status Reporting-MTA: dns; mail.nix.co.jj Received-From-MTA: DNS; hostA Arrival-Date: Wed, 7 Feb 2007 19:59:42 +0900 (JST) Final-Recipient: RFC822; jinj@nix.co.jj Action: failed Status: 5.0.0 Remote-MTA: DNS; 127.0.0.1 Diagnostic-Code: SMTP; 554 Malformed Email Rejected. Last-Attempt-Date: Wed, 7 Feb 2007 19:59:44 +0900 (JST) Final-Recipient: RFC822; ioda@nix.co.jj Action: failed Status: 5.0.0 Remote-MTA: DNS; 127.0.0.1 Diagnostic-Code: SMTP; 554 Malformed Email Rejected. Last-Attempt-Date: Wed, 7 Feb 2007 19:59:44 +0900 (JST) --l17AxipI027723.1170845984/mail.nix.co.jj Content-Type: message/rfc822 Return-Path: Received: from hostA.nix.co.jj (hostA [202.241.128.3]) by mail.nix.co.jj (8.12) with ESMTP id l17AxgpI027715; Wed, 7 Feb 2007 19:59:42 +0900 (JST) Received: from name3.nnn.co.jj (dns1.nnn.co.jj [210.xxx.64.xxx]) by hostA.nix.co.jj (8.12) with ESMTP id l17AnSkt013403; Wed, 7 Feb 2007 19:49:28 +0900 (JST) Received: from namw81.nnn.co.jj (name1.nnn.co.jj [192.168.xxx.10]) by name3.nnn.co.jj (Postfix) with ESMTP id 61957CC69C; Wed, 7 Feb 2007 20:01:19 +0900 (JST) Received: from name9.nnn.co.jj (unverified) by name8.nnn.co.jj (Content Technologies SMTPRS 4.2.10) with ESMTP id ; Wed, 7 Feb 2007 19:59:54 +0900 To: kero1@sss.jj, kero2@sss.jj, kero3@sss.jj, heno1@ddd.jj, heno2@ddd.jj, heno3@ddd.jj, |