23-6. 新メ−ルストアの安定稼働まで `2e/03〜 (1) FortiMail のウィルスチェック * メ−ル処理のログについて [モニタリング]->[ログ]->{アンチウィルス} {アンチスパム} の所。ここに出ているログ はてっきり、止められたのだと思っていた。リストで表示されているのでは、どう処理さ れたかは出てない。"セッションID" の所をクリックすると、"処理" という項目がある。 紛らわしいのは、メ−ル転送のエイリアス処理したのは [モニタリング]->[ログ]->{アン チスパム} の所にでて来る。"ヒストリ" は "分類 Not Spam、処理 Accept"になっている。 "アンチスパム" のところ、"分類" と "処理" は空欄、"タイプ"が spam になっていた。 {アンチスパム} の所にこんなログもあった。 まともな件名のメ−ルで誤検知かと思った が隔離はされてなかった。"FortiGuard-Antispam: Query timeout or invalid response"、 "分類 Not Spam、処理 Accept" となっていて、スパムでないと判定されていた。 * ウィルスチェックがおかしい ウィルスチェックの動作を確認してみた。[IPポリシ−] の virus が社内から外部へのウ ィルスメ−ルを検知し止める、外部から社内へは検知はするが止めない。本当は両方向で 同じチェックをしないといけない。どうもファ−ムウェアのバグのようである。半年前に FortiMail を導入設置し、その時点でのファ−ムウェアのままである。直ちにファ−ムウ ェアは最新にしたいところだが、これも慎重にやらないといけない。しばらくは、このバ グらしき振る舞いも含めての設定をして運用するしかない。 [IPポリシ−] 以下このル−ルはこのまま。アンチウィルスのアクションは破棄。 -------------------------------------------------------------------------------- |有効 ポリシ 送信元 宛先 セッション スパム ウィルス コンテンツ IPプ−ル| |------------------------------------------------------------------------------| |〆 1 0.0.0.0 0.0.0.0 spamS virus | -------------------------------------------------------------------------------- [受信者ポリシ−] ここでは jirou@nix.co.jj 宛に送ってテストするものとする。 -------------------------------------------------------------------------------- |有効 ポリシ 方向 送信者 受信者 ドメイン名 スパム ウィルス コンテンツ リソ−ス| |------------------------------------------------------------------------------| |〆 3 受信 *@* jirou nix.co.jj content misc | -------------------------------------------------------------------------------- カラム コンテンツ 外から来たウィルスが入ったメ−ル。 FortiMail ログタイプ History は検知はしていた。しかし止めてなかった。その 日付 2014-04-08 際のログが左のである。これは[モニタリング]-> 時間 04:21:08 [ログ]->{アンチウィルス} でログの一覧を表示。 分類 AntiVirus "セッションID"をクリックし、細かなログを出す。 処理 Accept 一番上の "ヒストリ" をクリックした。 From aho@henomohe.con To jirou@nix.co.jj 注目すべきは "クライアント [192.168.2.1]" で 件名 こんにちは ある。本当ならインタ−ネット上のメ−ル発信元 クライアント [192.168.2.1] のIPアドレスが出てくるのでないか。それがフ レベル information ァイアウォ−ルの {WAN->DMZ} の NATで変換され タイプ statistics ている。いやこれは特に問題ない。InterScan で 宛先 192.168.1.1 も 192.168.2.1 とIPアドレスは出ていた。 処理 OK ウィルス W32/Agent.ADB!tr 社内から外へのウィルス入りメ−ルは Discardで メ−ラ− mta 処理された。外から社内のも Discard、破棄され 方向 in るのが正常な処理のはずなのだが、どうなのか。 [ ファイアウォ−ルの設定 ] MR□hosA' sendmail,named FortiGate の[ファイアウォ−ル]->[ポリシ−]の |.3 {WAN->DMZ}に、SI業者がやった気になる設定が ------------------ 202.241.128.0 ある。hostA と hostA' の仮想IPアドレスと実 | □hostA Solaris 9 IPアドレスのマッピングである。それはいいと |.2 |.1 しても WAN 側オブジェクト all に、hostA をマ UTM □------------ 192.168.2.0 ッピングしていた。そもそもそんな設定が必要な | MS□FortiMail のか。よく分からなくなった。しかし、今このル .2| |.1 −ルをどうこうは出来ない。ル−ルの変更や削除 ------------------ 192.168.1.0 は極めて慎重にやらないといけない。 * ウィルスチェックのテスト [受信者ポリシ−] でウィルスチェックした。[IPポリシ−] のウィルスチェックありの設 定は無視?された。社内の tarou から 社内の jirou へのメ−ルで検知され破棄された。 [受信者ポリシ−] -------------------------------------------------------------------------------- |有効 ポリシ 方向 送信者 受信者 ドメイン名 スパム ウィルス コンテンツ リソ−ス| |------------------------------------------------------------------------------| |〆 3 受信 *@* jirou nix.co.jj virus content misc | -------------------------------------------------------------------------------- ウィルスチェックの動作を確認するにはサンプルのウィルスがあると有難い。無害のサン プルである。トレンドマイクロのサンプルがあったような気がする。これまでもサンプル で試したことが何回もある。 今回インタ−ネットを検索したら eicar というのがあった。 以前に聞いたことがある、使ったこともあるかも知れない。EICAR テストファイルという。 http://www.eicar.org、EICAR(European Institute of Computer Anti-virus Research)。 サンプルウィルスの50文字ぐらいの文字列をエディタに張り付けて、t-virus.com とか 適当なファイル名にする。エディタに張り付けようとしただけで、パソコンのウィルスチ ェックに却下された。パソコンのウィルスチェックソフト "ESET NOD32 Antivirus 4" を 無効にする。Windows 画面の右下にあるアイコンをクリックし、画面をだして [設定] で 一時的にウィルス・スパイウェア対策を無効にした。 これをメ−ルに添付する。社内のユ−ザ同士で tarou から jirou へ送ってテストしてみ る。Outlook でメ−ルを作って "送信" をクリックしたら、警告画面が出てきた、問題を 起こす可能性のある添付ファイルが含まれていると。パソコンのウィルスチェックは無効 にしているのだが。Outlook で添付ファイルの拡張子をチェックするようにデフォルトで なっていたのかな。ともかく [モニタリング]->[ログ]->{アンチウィルス} に出たのは下。 FortiMail でメ−ルは止められた、AntiVirus Discard。 ウィルス: EICAR_TEST_FILE、メ−ラ−: mta、方向: in。 しつこく確認。[受信者ポリシ−] のウィルスチェック無しにした。[IPポリシ−] のウィ ルスチェックは有り。 [IPポリシ−] で検知されるが通過してしまうことを再度確認した。 もう1つ外から社内へ送ってブロックされるのを確認してみたい。個人で入っているプロ バイダにテストウィルスを送って、社内の jirou に転送するので調べようとした。 プロ バイダのウィルスチェック Dr.Web とやらで検知され止められてしまった。 * この設定でしばらく稼働させる [受信者ポリシ−] に virus を加える、そして "〆ヒュ−リスティックスキャン" をやる ことにして "システム隔離" する。"ユ−ザ−隔離" メニュ−はない。"〆ウィルススキャ ン" は "破棄" として、どちらで検知されたか分かるようにする。"〆ウィルススキャン" はパタ−ンファイルでチェックされるようで、ほとんど誤検知は仕組み的に起きないよう である。ヒュ−リスティックスキャンは発見的な検知アプロ−チで、誤検知が有り得ると のことである。運用には何らか隔離して救済できるような措置が必要である。 [IPポリシ−] -------------------------------------------------------------------------------- |有効 ポリシ 送信元 宛先 セッション スパム ウィルス コンテンツ IPプ−ル| |------------------------------------------------------------------------------| |〆 1 0.0.0.0 0.0.0.0 spamS virus | -------------------------------------------------------------------------------- [受信者ポリシ−] -------------------------------------------------------------------------------- |有効 ポリシ 方向 送信者 受信者 ドメイン名 スパム ウィルス コンテンツ リソ−ス| |------------------------------------------------------------------------------| |□ 3 受信 *@* jirou nix.co.jj misc | |〆 2 受信 *@* * nix.co.jj spam virus content misc | -------------------------------------------------------------------------------- spamS 方向:送信、〆FortiGuardスキャン、□ブラックIPスキャン、□フィッシングURI。 アクション 〆通知プロファイル 〆システム隔離。 spam 方向:受信、〆FortiGuardスキャン、□ブラックIPスキャン、□フィッシングURI。 アクション 〆ユ−ザ−隔離。 virus 〆ウィルススキャン、アクション 〆破棄 〆ヒュ−リスティックスキャン、アクション 〆システム隔離。 misc ディスククォ−タ:2000MB、一般フォルダ:0日(無期限)、ゴミ箱:14日。 ユ−ザ−アカウントステ−タス 〆有効、ウェブメ−ルアクセス 〆有効。 * ZIP 添付ファイルのウィルスチェックの動作 InterScan での動作はどうだったか。 パスワ−ド付き ZIP 圧縮ファイルはログを残して 通す設定にしていた。ZIP 圧縮ファイルは20階層まで解凍してチェックする設定にして いた。docx, xlsx, pptx は ZIP ファイルとして展開してチェックした。パスワ−ド無し ZIP 圧縮ファイルは解凍してチェックする設定にしていた。 FortiMail では {アンチウィルス} のチェックで "〆ウィルススキャン" で検知されるよ うである。{コンテンツ}は関係ないようである。実際にメ−ル送って動作を確認してみた。 パスワ−ド付き ZIP ファイルはそのまま通った。パスワ−ド無し ZIP ファイルは解凍し てウィルスチェックをした。ZIP 圧縮を何階層かに渡って解凍してチェックした。 (2) FortiMail のスパム検知のアップ * 概要 一般的に90%後半のものを数%あげるのは大変な労力を必要とする。何か的に当てると か、スパムの検知もそうだ。すり抜けた自分宛のメ−ルでテストしてみる。検知するかど うか。メ−ルの本文や添付ファイルの中身をチェックする。誤検知が起きてくる可能性が ある。こまめにログや隔離されたメ−ルをチェックしないといけない。 IPレピュテ−ションのこと。メ−ルの受信とホ−ムペ−ジのアクセスでは、IPレピュ テ−ションの仕組みは多分、異なっているのでないか。メ−ルの発信元をチェックするの かと思っていた。そうだとするとメ−ルリレ−でしかチェックできない。メ−ルリレ−に メ−ルを送った発信元のメ−ルサ−バのIPアドレスを評価すると思っていた。 FortiMail のアンチスパム機能で "FortiGuardスキャン" がざくっと発信元のメ−ルサ− バのIPアドレスを見るのでないか。そしてもう少し詳しく見るのが "ブラックIPスキャ ン" 指定でないのか。メ−ルのヘッダ−までも見て中継メ−ルサ−バまでをざくっと見る のが"ディ−プヘッダ−スキャン"、詳しく見るのが "ブラックIPスキャン" でないのか。 * スパムチェックの検知率アップの確認 一挙に全員に検知項目を増やしたル−ルを適用したのでは、検知率がアップしたのかどう か分からなくなってしまう。先ずは自分宛にくるメ−ルで検証してみることにする。結構 自分宛にはスパムがやってくる。InterScan で見ていてもスパム検知で上位十番以内には ずっと入っていた。いいのか悪いのか議論はあるが、サンプルとしては好都合である。 とりあえず自分は tarou@nix.co.jj とする。 tarou 宛メ−ルは先ずはこれまでのル−ル、 皆と一緒のチェックする。同時に FortiMail で jirou 宛にメ−ル転送をする。jirou 宛 にきたメ−ルはチェックを強化したル−ルを適用する。メ−ルサ−バでのメ−ル転送では 元のメ−ルのヘッダ−部は残っていく。これによりIPアドレスによる評価ができる。 パソコンにきたメ−ルをメ−ルソフトで転送してチェックするのはだめである。この場合 のメ−ル転送ではメ−ルのヘッダ−情報はなくなってしまう。メ−ルソフトから新規に送 るのと一緒である。これではメ−ルの発信サ−バや中継サ−バのIPアドレスをチェック するIPレピュテ−ションによる評価はできない。 * システム隔離に入ったメ−ルでチェック 先ずは自分宛のメ−ルをサンプルにして3日4日しばらく様子をみる。tarou 宛に来たメ −ルを自身で受取り jirou へも転送する。 tarou 宛メ−ルは [受信者ポリシ−] の全員 用のポリシ− 2) でチェックされる。 次に jirou 宛のメ−ルがポリシ− 3) の専用のチ ェック spamJ で行なわれ、検知されたらシステム隔離に入れられる。 [受信者ポリシ−] -------------------------------------------------------------------------------- |有効 ポリシ 方向 送信者 受信者 ドメイン名 スパム ウィルス コンテンツ リソ−ス| |------------------------------------------------------------------------------| |〆 3 受信 *@* jirou nix.co.jj spamJ misc | |〆 2 受信 *@* * nix.co.jj spam virus content misc | -------------------------------------------------------------------------------- ※spamJ のアクションは act-spamJ で "方向:受信、〆システム隔離" である。 [プロファイル]->[アンチスパム]->{アンチスパム} --------------------------------------------------------------------- | アンチスパムプロファイル | | ドメイン: [ --システム--- ] 灰色 | プロファイル名: [ spamJ ] 灰色 | 方向: [ 受信 ▽] 灰色 | デフォルトアクション:[ act-spamJ ▽] [新規..][編集..] | | --▲スキャン設定--------------------------------------------------- | |〆▼FortiGuardスキャン アクション:[-デフォルト- ▽] [1] | | 〆ブラックIPスキャン アクション:[-デフォルト- ▽] [2] | | 〆フィッシングURI アクション:[-デフォルト- ▽] [3] | |□グレ−リストスキャン | |□DNSBLスキャン [設定] アクション:[-デフォルト- ▽] | |〆▼ディ−プヘッダ−スキャン [4] | | 〆ブラックIPスキャン [5] | | 〆ヘッダ−分析 アクション:[-デフォルト- ▽] [6] | | | | |□▼ヒュ−リスティックスキャン << この利用はお勧めではない模様。値の根拠が不 | | 最大しきい値:[3.50 ] 明とか。スパム検知のアップは、最初の [1]だ | | ル−ル使用率:[100 ] けの指定に、[2] から [6]を追加してみること。 メ−ルのヘッダ−部のメ−ル中継記録部を、Webメ−ルで見るには。メ−ルをマウス右 クリックで出たメニュ−の [開く] をクリック。そして [詳細なヘッダ−...]をクリック。 * tarou 宛にきたメ−ル ある日のこと、明らかにスパムと見られるメ−ルが2通すり抜けた。宛先、件名、本文な し。メ−ルソフトでそのメ−ルを見たのが下。受信日時は 2014/04/16(水) 06:46 だった。 jirou 宛に転送されて、そこで2通ともスパム検知され、システム隔離されていた。 ------------------------------------------------------------ |差出人: dame@hatena.con 宛先、件名、本文なし | |Return-Path: Fmail というのは[メ−ル設定]-> |Received: from hostA.nix.co.jj ([192.168.2.1]) [設定]->{メ−ルサ−バ−設定}の | by Fmail.nix.co.jj with ESMTP id xxxx...; ところの "ホスト名: [Fmail ]"。 | Web, 16 Apr 2014 06:45:56 +0900 実際は全部小文字だけで付けた。 |Received: from 10.1.1.1 ([10.1.1.1]) | by hostA.nix.co.jj (8.14.1/8.14.1) with SMTP id xxxx...; | Wed, 16 Apr 2014 xxx |Date: Wed, 16 Apr 2014 xxx |From: dame@hatena.con |Received from 172.16.1.1 by ; Tue,15 Apr 2014 xxx * tarou 宛にきたメ−ルを FortiMail で jirou に転送したメ−ル jirou 専用のスパムチェックがやられてシステム隔離された。[モニタリング]->[隔離]-> {システム隔離} 画面で "フォルダ:[スパム ▽]" にする。 システム隔離さているメ−ル をクリックする。本文なしのメ−ルが表示される。"[+]件名" のプラスをクリックすると From 部などの表示がでてくる、{詳細なヘッダ−...} をクリックすると以下のが出た。 -------------------------------------------------------------------- |Return-Path: |Received: from Fmail.nix.co.jj ([127.0.0.1]) | by Fmail.nix.co.jj with ESMTP id xxxx...; 16 2014 06:45:56 +0900 |Received: from hostA.nix.co.jj ([192.168.2.1]) | by Fmail.nix.co.jj with ESMTP id xxxx...; |Received: from 10.1.1.1. ([10.1.1.1]) | by hostA.nix.co.jj (8.14.1/8.14.1) with SMTP id xxxx...; |Date: Wed, 16 Apr 2014 xxx |From: dame@hatena.con |Received from 172.16.1.1 by ; Tue,15 Apr 2014 xxx |X-FEAS-SBL: 10.1.1.1 score 3 |X-FE-ORIG-ENV-RCPT: jirou@nix.co.jj もう1通は "score 1"だった。受信は同じ日 |X-FE-ORIG-ENV-FROM: tarou@nix.co.jj の 2:51 だった。午前2時51分のこと。 ------------------------------------------------------------------------- |カラム コンテンツ |メッセ−ジ FortiGuard AntiSpam: identified: spam ip: 10.1.1.1 score: 3 |クライアント [127.0.0.1] |宛先IP 127.0.0.1 |From tarou@nix.co.jj [モニタリング]->[ログ]->{アンチスパム}で |To jirou@nix.co.jj jirou@nix.co.jj で検索。たくさんリストさ |レベル information れたら日付けなどを見て該当するログを探す。 |タイプ spam クリックすると左のが出てくる。 ------------------------------------ |カラム コンテンツ ログの{セッションID}をクリックし出てきた |分類 FortiGuard AntiSpam-IP 中の {ヒストリ} をクリックして出たのが左。 |処理 Quarantine to Review {アンチスパム}というのをクリックすると上 |From tarou@nix.co.jj のと同じようなのがでてくる。 |To jirou@nix.co.jj |クライアント [127.0.0.1] AntiSpam-IP というのが、どうやらIPレピ |レベル information ュテ−ションによる評価で引っかかったとみ |タイプ statistics られる。ディ−プヘッダ−スキャンのブラッ |宛先IP 127.0.0.1 クIPスキャンがメ−ルのヘッダ−の10.1.1.1 |処理 OK か 172.16.1.1 を評価したのでないか。どち |方向 in らが最終の発信元IPアドレスなんだろうか。 宛先、件名、本文の無いすり抜けたこのメ−ル。"FortiGuardスキャン" の"ブラックIPス キャン" で引っかかったかも知れない。ル−ルを変更してみて動作を確認すること。しか しどうもこの宛先のないメ−ルは、だいたい朝の5時とか午前中に来る場合が多い。ル− ルを変えて待っているのだが、ちっとも来やしない。また明日ということになる。 * パブリックIPアドレスがスパムに 社内のあるセグメントの人からのメ−ルがスパム検知された。そこはパブリックIPアド レスのセグメントである。歴史的な経緯でそんなことになってしまっている。ここではそ のパソコンのIPアドレスは 1.1.1.1 とする。 そのネットワ−クIPアドレスである他 の人のパソコンからも試しにメ−ルを送ってもらった。同じくスパムとして検知された。 user1@nix.co.jj から tarou@nix.co.jj へ送ってもらい、FortiMail で jirou にも転送。 jirou 宛のスパムチェックの spamJ ル−ルで、以下の設定にしてのことである。"FortiG uardスキャン" は関係ないようである。"ディ−プヘッダ−スキャン" の "ヘッダ−分析" で検知された。プライベ−トIPがここに現われるのはおかしいと判断したということか。 〆▼FortiGuardスキャン -------- 〆ブラックIPスキャン 〆フィッシングURI 〆▼ディ−プヘッダ−スキャン --- □ブラックIPスキャン 〆ヘッダ−分析 ----------------------------------------------------------------------- |カラム コンテンツ |メッセ−ジ Detected by DeepHeader check. Confidence degree 95.194183 | [1.1.1.1] |クライアント [127.0.0.1] |宛先IP 127.0.0.1 |From tarou@nix.co.jj [モニタリング]->[ログ]->{アンチスパム}で |To jirou@nix.co.jj jirou@nix.co.jj で検索。たくさん出てきた |レベル information ら日付けなどを見て該当するログを探す。ク |タイプ spam リックすると左のが出てくる。 ---------------------------------- ログの{セッションID}をクリックし出てきた |カラム コンテンツ のが下の表示。こ中の {ヒストリ} をクリッ |分類 Deep Header クして出たのが左である。 |処理 Quarantine to Review |From tarou@nix.co.jj クロス検索結果 |To jirou@nix.co.jj ---------------------------------------- |クライアント [127.0.0.1] |ログタイプ 日付 時間 分類 ... |レベル information |--------------------------------------- |タイプ statistics |ヒストリ xxx 10:31:47 Deep Header |宛先IP 127.0.0.1 |イベント xxx 10:31:47 |処理 OK |イベント xxx 10:31:47 |方向 in |アンチスパム xxx 10:31:47 (3) FortiMail のコンテンツチェック * コンテンツブロック−その1 ZIP 添付ファイルの付いたメ−ルはブロックするテストにて。jirou 宛のメ−ルで確認し てみる。いったん FortiMail が受けてチェックし、 FortiMail から受信者に止めました というメ−ルを送る。受信者は送信者に対して拡張子を zip でなく、_zip とかにして送 り直してもらうようにする。そんな運用を想定してのことである。 [受信者ポリシ−] -------------------------------------------------------------------------------- |有効 ポリシ 方向 送信者 受信者 ドメイン名 スパム ウィルス コンテンツ リソ−ス| |------------------------------------------------------------------------------| |〆 3 受信 *@* jirou nix.co.jj contentJ misc | |〆 2 受信 *@* * nix.co.jj spam virus content misc | -------------------------------------------------------------------------------- [プロファイル]->[コンテンツ]->{コンテンツ} -------------------------------------------------- | コンテンツプロファイル | |ドメイン: [--システム-- ] | |プロファイル名:[contentJ ] | |方向: [受信 ▽] | |アクション [aaa-suteru ▽] [新規][編集] | ブロックの下にはファイルの拡 | | 張子が列挙されている。 *.zip | --△添付ファイルフィルタリング------ | のところだけ〆した。 | | [ブロック ▽] | | | | | | | 他のメニュ−には何も設定なし。 -------------------------------------------------- -------------------------------------------------- | コンテンツアクションプロファイル | |ドメイン: [--システム--] | |プロファイル名:[aaa-suteru ] | |方向: [受信 ▽] | |〆通知プロファイル [aaa ▽] [新規][編集] | |〆破棄 | -------------------------------------------------- -------------------------------------------------- | 通知プロファイル | |プロファイル名: [aaa ] | |通知先 □送信者 | | 〆受信者 | | □その他 | |通知テンプレ−ト:[AAA-notify ▽] [新規][編集] | |□元のメ−ルを添付ファイルに含める | ここに〆すればメ−ル本文が通 -------------------------------------------------- 知メ−ルに含まれるのでないか。 -------------------------------------------------- | 通知テンプレ−ト | | 名前: [AAA-notify ] | | | | [ここで使える変数はこれだけ] | 件名: [%%SUBJECT%% ] | | | この間 "From:、To:、エンベロ−プFrom:" あり。 | コンテンツ: --△Html ------------------------ | | | | | HTMLのタグ 
を使えば簡単
    |             |   |  |  にそのままのレイアウトにでき
    |             |
             |  |  る。
へのもへ
 とい
    |             |おかしなメ−ルがきた           |  |  うように "pre"で囲ったところ
    |             |念のために捨てました           |  |  はその通り表示される。改行や
    |             |                               |  |  空白などもその通り表示される。
    |             |送信者: %%FROM%%               |  |  
    |             |                               |  |  
    |             |
           |  |  %%DATE%     ここで使える変数
    |             ---------------------------------  |  %%FROM%%    はこれだけである。
    |             --△Text ------------------------  |  %%TO%%      メ−ル本文はない。
    |             |おかしなメ−ルがきた           |  |  %%SUBJECT%%、
    |             |念のために捨てました           |  |  %%ENVELOPE_FROM%%
    |             |受信者: %%TO%%                 |  |  %%NOTIFY_TO%%
    |             ---------------------------------  |  %%NOTIFY_FROM%%
    --------------------------------------------------  


   * コンテンツブロック−その2

    コンテンツチェックの検討は、ウィルス入り ZIP 添付ファイルへの対策。 具体的にはメ
    −ルの標的型攻撃への対策を検討する事だった。オレオレ詐欺的な企業向けのメ−ル、例
    えば "製品の注文" とか英語でのそうした件名だったりすると、つい添付ファイルを開い
    てしまう人もいる。よっぽど社内でセキュリティ教育でも実施するなり、社内で何回もこ
    ういう危険がありますと放送するなりしないと。注意喚起の一斉メ−ルを送ったぐらいで
    はユ−ザの隅々まで周知できないだろうし、危険性もきっと多分、回避できないだろう。

    その1ではメ−ル本文もなくて実施するのはためらいがあった。しばらく様子見ている間
    に、またウィルス入り ZIP がすり抜けてしまった。 こちらの対策は、相手に届くメ−ル
    本文に、注意勧告を促す厳しい文面を書いておくようにする。そのメ−ルの添付ファイル
    として、元のメ−ルの本文と ZIP 添付ファイルが付くようにする。 ちょっとばかり脅す
    ぐらいの文面にするのがいいだろう。それでも尚、添付ファイルをクリックして、解凍し
    た exe ファイルまでクリックするような輩は人員整理部門に行ってもらうしかない。

    --------------------------------------------------  
    |            通知プロファイル                    |  AAA-notifyの文面を少し変えて
    |プロファイル名:  [aaa       ]                   |  みたのを作った。 [新規] で名
    |通知先           □送信者                       |  前を記入すると、あらかじめ用
    |                 〆受信者                       |  意されているテンプレ−トの文
    |                 □その他                       |  面ができる。それを修正する。
    |通知テンプレ−ト:[AAA-notify2 ▽] [新規][編集]  |
    |〆元のメ−ルを添付ファイルに含める              |  << ここ〆してみた。他は同じ。
    --------------------------------------------------  

    jirou 宛に ZIP ファイルを添付して送ってみた。以下のようなメ−ルが postmasterから
    jirou 宛に行った。[モニタリング]->[ログ]->{アンチスパム} で出たログは、"メッセ−
    ジ: Detected by Attachment check,filename Test1.zip  pattern"、 "分類 Attachment
    Filter、処理 Discard 処理 OK"。

    --------------------------------------------------
    | 注文 - メッセ−ジ(HTML形式) - Unicode (UTF-8)  |  このメ−ルの表示はWindows XP
    |------------------------------------------------|  の Outlook である。Outlookの
    | 差出人: postmaster@nix.co.jj                   |  Express では original.eml は
    | 宛先:   jirou@nix.co.jj                        |  画面の上の方に出てくる。
    | 件名:   注文                                   |
    |------------------------------------------------|  eml という拡張子は Windowsの
    | とても重要なお知らせ 【注意勧告】              |  メ−ルソフト Outlook Express
    |                                                |  などで使われる。フォ−マット
    |    おかしなメ−ルがきた                        |  はただのテキスト形式である。
    |    念のために捨てました                        |
    |                                                |  この設定を "ポリシ−ID 2" に
    | 件名  : 注文                                   |  適用、つまり全受信メ−ルに適
    | 差出人: "Tarou"               |  用したら、CPU使用率 はそれま
    | 宛先  : "Jirou"               |  で 1% だったのが 5% になった。
    | 日時  : xxx                                    |  3分位したら 1% に戻った。し
    |                                                |  ばらくしたら 2% になる場合も。
    |------------------------------------------------|
    |  ◇ original.eml (39KB)                        |  << これをクリックすると元の
    --------------------------------------------------     メ−ルの本文が表示される。
                                                           ZIP 添付ファイルもある。

   * InterScan で検索不能メ−ルについて

    InterScan で検索の不能になって隔離されたメ−ルは 1.7 MB の添付ファイルだった。例
    えばこのファイルはどうか。解凍したが、そんなたくさんのXMLファイルは出てこない
    が。半年ぐらい前 xlsx 形式のファイルが止められて、調べたら内部に何百と言う小さな
    ファイルがあって、それで InterScan が止めていた。

    file1.zip  1,241 KB ZIPファイル 、file1.xlsx  (2,759KB) 
    file1.xlsx を[解凍]file1\file1\xl\worksheets\sheet1.xml (18,259KB)。 


    FortiMail [プロファイル]->[コンテンツ]->{コンテンツ}
    ----------------------------------------------------------  FortiMail の方にメ−
    | ドメイン:       [--システム--             ]            |  ル送信してみた。あっ
    | プロファイル名: [CF_Outboud               ]            |  さり通った。どこがど
    | 説明:           [送信                   ▽]            |  うなっているの?。こ
    | アクション:     [SysQuarantine_Outbound ▽][新規][編集]|  のコンテンツのチェッ
    |                                                        |  クをやるようにしてた
    |--▲添付ファイルフィルタリング------------------------- |  ら、何らか引っかかる
    ||                                                     | |  のでないかと思われる。
    || [ブロック      ▽]                                  | |
    || 有効に〆入れてあるのが bat com dll exe scr vb? pif  | |  vb? なんて拡張子があ
    |------------------------------------------------------- |  るわけ、変なの。
    |   中略                                                 |
    |                                                        |
    |--▲スキャン条件------------------------------------    |
    || 〆圧縮コンテンツをチェック                       |    |
    ||   □最大再帰分析レベル                           |    |
    ||   □解凍が失敗した場合はブロック                 |    |
    ||   □パスワ−ドロックされた圧縮ファイルをブロック |    |
    || □組み込みコンポ−ネントのチェック               |    |
    ||   □Microsoft Office                             |    |
    ||     □Visual Basic for Application               |    |
    ||   □Microsoft Visio                              |    |
    ||   □Open Office                                  |    |
    || □SMTP認証によりスキャンをバイパス               |    |
    |----------------------------------------------------    |
    ----------------------------------------------------------


  (4) FortiMail で更なるスパム対策を

   * FortiMail で更なるスパム対策をやろう

    ・スパムチェックを強化して適用する。

    ・ウィルスチェックを強化して適用する。

    ・ファ−ムウェアのアップは時期を見計る。

    本来 [IPポリシ−] でメ−ルの送受信でウィルスをチェックするはずとのこと。それが社
    内から外部へは Discard された。外部から社内へは Acceptで通った、ウィルス検知はさ
    れてもなぜかブロックされてなかった。不可解な動作でファ−ムウェアのバグかも知れな
    い。直ちにファ−ムウェアをアップしたいところだが、そこは慎重にやらないといけない。
    とりあえずの対処として [受信者ポリシ−] でもウィルスチェックをやることにした。

    スパムチェックを双方向でやるようにする。[IPポリシ−] のアンチスパムの spamS で送
    信メ−ルをチェックする。[受信者ポリシ−] のアンチスパムの spamR で受信をチェック
    する。ウィルスチェックのヒュ−リスティックスキャンは負荷が結構かかるらしい。それ
    でウィルスチェックは受信側だけ、ヒュ−リスティックスキャンをしてチェックを厳しく
    してみる。スパムチェックのヒュ−リスティックスキャンは有効性はよく分かってない。

    送信のスパムチェックはシステム隔離しかできない。最初は困ったと思ったが、この方が
    管理者がチェックしやすいので便利だと思い直した。ウィルスの誤検知は先ずない、メ−
    ルの処理は基本的に破棄でいい。しかしウィルスチェックのヒュ−リスティックスキャン
    は誤検知する可能性があるようである。そのためシステム隔離にしてみた。圧縮ファイル
    の添付ファイルの扱いはどうするか。これはそれぞれの組織の判断に任せることにする。

    [IPポリシ−]
    --------------------------------------------------------------------------------
    |有効 ポリシ  送信元   宛先     セッション  スパム ウィルス コンテンツ IPプ−ル|
    |------------------------------------------------------------------------------|
    |〆   1       0.0.0.0  0.0.0.0              spamS  virusS                      |
    --------------------------------------------------------------------------------

    [受信者ポリシ−]                 ドメイン:[--すべて-- ▽]  方向[受信 ▽]
    --------------------------------------------------------------------------------
    |有効 ポリシ 方向  送信者 受信者 ドメイン名 スパム ウィルス コンテンツ リソ−ス|
    |------------------------------------------------------------------------------|
    |〆   3      受信  *@*    jirou  nix.co.jj  spamJ                      misc    |
    |〆   2      受信  *@*    *      nix.co.jj  spamR  virusR   content    misc    |
    --------------------------------------------------------------------------------
                                 ※受信者ポリシ−の jirou 宛は今後もテストに利用する。

    spamS
        方向:送信、〆FortiGuardスキャン、□ブラックIPスキャン、□フィッシングURI。
        アクション 〆通知プロファイル 〆システム隔離。

    spamR
        方向:受信、〆FortiGuardスキャン、〆ブラックIPスキャン、〆フィッシングURI。
                   〆ディ−プヘッダ−スキャン、〆ブラックIPスキャン、〆ヘッダ−分析。
        アクション 〆ユ−ザ−隔離。

    virusS
        〆ウィルススキャン、アクション 〆破棄。
        □ヒュ−リスティックスキャン。

    virusR
        〆ウィルススキャン、アクション 〆破棄。
        〆ヒュ−リスティックスキャン、アクション 〆システム隔離。


   * 要検討: spamR の設定について

    "ディ−プヘッダ−スキャン" の "ヘッダ−分析" で、社内の 1.1.1.* からの発信メ−ル
    が止められる。これを通すようホワイトリストを使うか?。[アンチスパム]->[ブラック/
    ホワイトリスト]->{システム} に "1.1.1.*" を記載すればできる。 

    しかし社内のパソコンが万が一ボットなんかに感染し、スパムメ−ルを外に送る事態にな
    った場合、それを阻止できなくなる。spamR のヘッダ−分析はしないとすれば、1.1.1.* 
    からのメ−ルはそのまま通すことができる。

    このヘッダ−分析が何をやるのか、パブリックIPアドレスがここにあるのはおかしいと
    いう以外、分かっていない。ひょっとしてそれだけのチェックしかやってないのでないか。
    この他の有効性があるのか。このチェックはやらなくてもいいような気がするのだが。

    "FortiGuardスキャン" では "ブラックIPスキャン" と "フィッシングURI" この3つで別
    なアクションを取ることができる。"FortiGuardスキャン" はユ−ザ−隔離だが、 他2つ
    はシステム隔離にするとかして、どれで検知されたか区別できるようにする手もある。


   * スパムチェックの設定項目の機能は

    [モニタリング]->[ログ]->{アンチスパム} でリストを出して。<メッセ−ジ> はリストの
    "メッセ−ジ" の項目で。<分類> と <処理> は "セッションID" の項目で。

    1) SI業者推奨のアンチスパムの設定で検知された

    ----------------------------------------------------------------------
    | 〆FortiGuardスキャン       □ブラックIPスキャン  □フィッシングURI |
    | □ディ−プヘッダ−スキャン □ブラックIPスキャン  □ヘッダ−分析    |
    ----------------------------------------------------------------------

    "〆FortiGuardスキャン" のみで検知されたメ−ル   ( 外部から社内へのメ−ル )

    メッセ−ジ  FortiGuard-Antispam: identified: http://xxx.xxx.xxx
        分類 FortiGuard AntiSpam     処理 Quarantine

    メッセ−ジ  FortiGuard-Antispam: spam hash: xxxx へたら長い文字列
        分類 FortiGuard AntiSpam     処理 Quarantine

    メッセ−ジ  FortiGuard-Antispam: identified: http://xxx.xxx.xxx
        To postmaster@nix.co.jj      件名 Returned mail: see transcript for details
        分類 FortiGuard AntiSpam     処理 Quarantine


    2) 社内のパブリックIPからのメ−ルが検知された

    "〆ディ−プヘッダ−スキャン、〆ヘッダ−分析" で検知された。

    メッセ−ジ  Detected by DeepHeader check. Confidence degree 95.194183
        分類 Deep Header             処理 Quarantine to Review      

    ※"FortiGuardスキャン、ブラックIPスキャン" も関係しているかは更に確認が必要。


    3) 外部から件名と差出人のないメ−ルが検知された

    基本的に "〆FortiGuardスキャン、〆ブラックIPスキャン" の設定は必要みたい。下記は
    これで検知された。より深くチェックしたければ "〆ディ−プヘッダ−スキャン、〆ブラ
    ックIPスキャン" を指定するということでないのか。

    メッセ−ジ  FortiGuard AntiSpam: identified: spam ip: 10.1.1.1 score: 3 
        分類 FortiGuard AntiSpam-IP  処理 Quarantine to Review


    4) {アンチスパム} ログに出るがスパムでないメ−ル

    メッセ−ジ  FortiGuard-Antispam: Query timeout or invalid response
        分類 Not Spam                処理 Accept

    メッセ−ジ  ... User unknown
        分類 Recipient Verification  処理 Reject

    メッセ−ジ  System White List:'GMOとくとく通信' 
        [アンチスパム]->[ブラックリスト/ホワイトリスト]->{システム} のところで
        "systemのリスト" に "*@point.gmo.jp" を記述した。


   * こんなスパムとウィルスのチェックの設定で

    下記の設定で件名と本文なしのメ−ルが抜けた、両方ありのメ−ルも抜けた。しかし誤検
    知は先ずないようである。 〆FortiGuardスキャン の □ブラックIPスキャン を "〆" に
    すれば、どうもこれらの抜けたメ−ルも検知できるようだが、誤検知も起きて来てしまう。
    誤検知が起きたメ−ルアドレスをホワイトリストに記載していくか。しかしホワイトリス
    トに登録したユ−ザには、スパムメ−ルがそのまま行ってしまうことになる。あるいは下
    記の設定で運用することにし、幾許かのスパムメ−ルは目をつぶってもらうかである。

    [プロファイル]->[アンチスパム]->{アンチスパム}
    --------------------------------------------------------    act-spamRは"ユ−ザ−
    |                   アンチスパムプロファイル                隔離",[-デフォルト-]
    |                                                           も同じくユ−ザ−隔離。
    | ドメイン:            [ --システム--- ]                    
    | プロファイル名:      [ spamR         ]                    act-spamJ はどれで検
    | 方向:                [ 受信        ▽]                    知されたか区別するた
    | デフォルトアクション:[ act-spamR   ▽] [新規..][編集..]   め "システム隔離" に。
    |
    |〆▼FortiGuardスキャン         アクション:[-デフォルト- ▽]    [1]
    |  □ブラックIPスキャン         アクション:[-デフォルト- ▽]    [2] Forti IP適用。
    |  〆フィッシングURI            アクション:[act-spamJ    ▽]    [3]
    |
    |〆▼ディ−プヘッダ−スキャン                                   [4]    
    |  〆ブラックIPスキャン                                         [5] Forti IP適用。
    |  □ヘッダ−分析               アクション:[act-spamJ    ▽]    [6]
    |
    |□▼ヒュ−リスティックスキャン アクション:[-デフォルト- ▽]    [7]
    |  最大しきい値: [3.50  ]   ここは Forti Rule が適用される。値が小さいと厳しくチ
    |  ル−ル使用率: [100   ]   ェックする。このチェックは負荷がかかるので、負荷を小
    |                           さくするにはル−ル使用率を 50(%) とかにする。


    先に "(2) FortiMail のスパム検知のアップ" で検討してから1ヶ月が経った。スパムを
    減らすためにいろいろやってログや隔離されたメ−ルを監視していた。 Fortinet 社主催
    のセミナ−が 2014年5月半ばに名古屋であった。そこで幾つかのアドバイスを得ることが
    できた。[2] は先ず適用して欲しいとのこと。 [4] も [7] も負荷がかるので利用は [2]
    の次に考えて欲しい。[2] で誤検知したメ−ルは Fortinet 社のレピュテ−ション情報か
    ら削除ができる。removespam@fortinet.com にフォ−マットに従って削除依頼のメ−ルを
    送る。セミナ−参加の数日前 spamJ に [7] を適用しておいた。tarou 宛ですり抜けたメ
    −ルがこれで検知されるか見たかった。結果は検知されなかった、あまり有効ではないか。
    スパム検知のオプションは全部で20位あるが、実際に使えそうなのは上の位しかない。


    [プロファイル]->[アンチウィルス]->{アンチウィルス}
    -------------------------------------------------------
    |                   アンチウィルススキャン
    |ドメイン:            [--システム--     ]
    |プロファイル名:      [ virusR          ]
    |デフォルトアクション [ act-virusR      ]  [新規][編集]     << "破棄"。
    |〆ウィルススキャン
    |  〆ヒュ−リスティックスキャン
    |          アクション [--デフォルト--   ]      注.これはどういう処理になるのか?。
    -------------------------------------------------------


   * 覚え書き  `2f/04

    およそ1年ぐらいとりあえず機嫌よく動いてくれた。どういうメ−ルのチェックをするよ
    う設定したのか、自身あやふやになっているのだが。ともかく確実に迷惑メ−ルと判断で
    きるのはユ−ザの隔離領域に入るようにした。ひょっとしてと言うのはシステムの隔離領
    域に入るようにした。ユ−ザの隔離領域は管理者でもユ−ザのアカウントを知らないこと
    にはアクセスできない。例え知ったとしても個々にみていかないけないので実際問題、面
    倒見ることはできない。面倒とはメ−ルの誤検知の調査である。だから誤検知をする可能
    性のある判定は、システムの隔離領域に入れて管理者である自分がチェックできるように
    したのである。そうだったと思う。システムの隔離領域にはそんなにたくさんのメ−ルは
    これまで溜まらなかった。たまにチェックするぐらいはできるボリュ−ムだった。見て誤
    検知していると自分で判断したのは、添付ファイルのないメ−ルだったら即、 FortiMail
    のホワイトリストにメ−ルアドレスを記載して行けばいい。確実に誤検知と判断できる場
    合、Fortinet 社にスパム発信元のリストから解除してもらう申請をするのは、 発信元の
    会社のためになることである。よければ慈善事業としてそうしてあげて下さい。


  (5) FortiMail その他いろいろな機能

   * ログの見方

    [モニタリング]->[ログ]->{アンチスパム} を例にとりログの出方を調べた。{アンチスパ
    ムログ検索} の "時間" 指定が直感的でない、分かりにくかったので挙動を調べてみた。

    --------------------------------------------------------------------------------
    | ヒストリ | イベント | アンチウィルス | アンチスパム | 暗号化 |               |
    |--------------------------------------               -------------------------|
    |□ 開始時間                 終了時間                             サイズ(Byte) |
    |------------------------------------------------------------------------------|
    |□ 2014年4月20日 00時01分22秒                                    12473569     |
    |〆 2014年4月10日 00時00分40秒  2014年4月20日 00時01分21秒        27340418     |
    |□ 2014年4月31日 00時00分22秒  2014年4月10日 00時00分40秒        25692413     |
    |       |                                                                      |
    --------------------------------------------------------------------------------

    --------------------------------------------------------------------------------
    | ヒストリ | イベント | アンチウィルス | アンチスパム | 暗号化 |               |
    |--------------------------------------               -------------------------|
    | レベル:[Information ▽] 行番号:[  ] {検索} {戻る}                            |
    |------------------------------------------------------------------------------|
    |#      日付        時間      メッセ−ジ         ... From To 件名 セッションID |
    |------------------------------------------------------------------------------|
    |1      2014-04-20  00:01:22  FortiGuard-AntiSpam: xxx                         |
    |           |                                                                  |
    |72658  2014-04-10  00:00:40  ...User unknown                  |
    --------------------------------------------------------------------------------

    ------------------------------------------------
    |            アンチスパムログ検索              |
    |                                              |
    | キ−ワ−ド: [                       ]        |
    | メッセ−ジ: [AntiSpam               ]        |    << 小文字でもよし。上の一覧
    | From:       [                       ]        |       の "メッセ−ジ" の文字列
    |       |                                      |       が対象。[spam ip  ] とか。
    |                                              |
    | 時間:       [0日       ▽]   [12  ▽] 時間前 |    << 0日の他は 1日、1週間など。
    |             [04/20/14  #]   [1   ▽]        |    << 04は月、20は日、14は2014。
    |               [適用][キャンセル]             |
    ------------------------------------------------

    時間: [0日 ▽] [12 ▽] で検索 04-20 00:01:22 --- 04-19 13:00:02
    時間: [1日 ▽] [12 ▽] で検索 04-20 00:01:22 --- 04-18 13:01:23


   * FortiMail-200D の普段の役目を持たす

    FortiMail-200D を透過モ−ドでメ−ルのフォレンジック装置の前にかます。 スパムメ−
    ルをこれで止めてしまう。いらんメ−ルまでフォレンジック装置にどんどん溜める必要は
    ないという話から来ている。 Nework Tap 装置と Forensic 装置のネットワ−クケ−ブル
    の間に FortiMail-200D を透過モ−ドで設置するのである。漠然と出来ると思っていたの
    だが TAP と言う装置のことを改めて調べてみたら、できないことが分かった。

    フォレンジック装置にパケットを取り込むには2つやり方がある。スイッチングハブのミ
    ラ−ポ−トを使って、その先にフォレンジック装置を置くのが1つ。何でもかんでもパケ
    ットを溜め再現してしまう PackeBlackHole はミラ−ポ−トを利用する。もう1つが TAP 
    装置を使うやり方である。似たような仕組みだろうと思っていたがだいぶ違うことが分か
    った。フォレンジック装置と TAP 間は2本のケ−ブルを使い送受信パケットを分ける。
    
                  □MS             :               :
    Foren      (b)|(a)            □Router         □Router            Forensic装置
    sic   (a)   ↓| ↑            |               |                  の配置は、直
    ----- ←   -----------         □IPS          -------------------   感的にはこん
    |   |―――| Network |         |                     |   □MR     なようになる
    |   |―――|   Tap   |     ----------                 |   |       と思うのだが。
    ----- ←   -----------     |FireWall|         FireWall□---------  
          (b)   ↓| ↑        ----------                 |   □MS     TAP をかます
               (b)|(a)            |                     |   |       のは実際は左
              ---------------------------                 |   □Fore   図の様になり
              |       Layer 3 Switch    |                 |   |nsic   だいぶ異なる。
              ---------------------------         -------------------  

        << ネットワ−ク機器での構成 >>          << 模擬的なネットワ−ク図 >>


    ミラ−ポ−トを使うのでもタップを使うのでも、 FortiMail-200D をフォレンジック装置
    の前にかましてスパムを止めることはできないのでないのか。ミラ−ポ−トとタップから
    流れるパケットは何らかの処理をした結果のパケットである。この場所で装置からDNS
    パケットを出してIPレピュテ−ションをさせようとしても、それができる場所ではない。
    FortiMail-200D をかます位置は下記のように FireWall の下の所、または上しかない。

            FireWall --- FortiMail-200D --- Forensic --- FortiMail-2000B

    外部から社内へのメ−ルを "〆FortiGuardスキャン" のみで検知すればいいだろう。フォ
    レンジック装置に溜まるのを減らすというだけの目的だから。"〆FortiGuardスキャン"だ
    けならスパムチェックの誤検知はほぼ無いとみていいだろう。 Yahooトラベル、楽天ツ−
    ルバ−ニュ−ス、GMOとくとく通信からのメ−ルは誤検知といえば誤検知されていたが。
    参考:タップ製品には例えばビットリ−ブ(株)が正規代理店で扱う NetOptics 社製がある。


   * FortiMail-200D を予備機として設定する

    まだ箱からだしてもいない。とりあえず机の上にだしてライセンスの登録からしてみない
    と。FortiMail-2000B のセ−ブした設定ファイルを、そのまま FortiMail-200D に入れる
    ことができるのか。これはサポ−ト窓口に問い合わせしてみるか。

    Active Directory でメ−ルの全ユ−ザを管理ができれていればいいが。 装置登録も使っ
    ていると、予備機も毎度ユ−ザの管理作業をやらなくては。ユ−ザ登録それにメ−ル転送
    の記載は頻繁に変わる、これらだけバックアップすることはできるのか。

    予備機でファ−ムウェアのアップをやってみる。しかしメ−ルサ−バとしての動作検証を
    するのは、なかなか難しいことだ。本番機にきたメ−ルを予備機に転送してスパムの挙動
    をみるとか。できると思うが、本当にできるのかな。

    本番機が故障して交換するような事態はまずないと思う。ハ−ドディスクはミラ−構成に
    なっているし。そのため普段はスパムを減らすだけの装置として、フォレンジック装置の
    前にかましておこうと思う。動かしていればユ−ザ登録なんかも、やることができる。

    一番の問題は実際に交換してしまった場合。装置にメ−ルを溜めるようにしていると困る
    し。予備機ではア−カイブも取られてないし。装置を戻す際、来たメ−ルをどうするのか。
    故障の間のメ−ルは予備機にあるので、各自メ−ルソフトでアクセスしてネとするかだ。


   * FortiMail のアドレス帳機能−その1

    [メ−ル設定]->[アドレス帳]                    Webメ−ルの[アドレス帳]->[個人]
    -----------------------------------------     は各ユ−ザ用で自身で登録する。
    | 連絡先  連絡先グル−プ  LDAPマッピング
    |----------------------------------------
    |

    自社と関連会社のメ−ルアドレスを検索できるようにしたい。自社は LDAPマッピング で
    一括登録だとか、検索できるかもしれない。連絡先グル−プで会社を分けるか。それとも
    一緒くたくにするか。自分のアドレス帳に自動的に追加するとか。
    
    [ユ−ザ−]->[ユ−ザ−]->[ユ−ザ−] のエントリとWebメ−ルの[アドレス帳]->[ドメ
    イン] のエントリは一緒のが出てくる。 [ユ−ザ−]->[ユ−ザ−]->[ユ−ザ−] のエント
    リは装置にユ−ザ名とパスワ−ドを登録したもの。

    Webメ−ルの [アドレス帳] なら FortiMail のアドレス帳を見ることができる。 パソ
    コンのメ−ルソフトのディレトリサ−ビス。Outlook Express では [ツ−ル]->[アドレス
    帳] の大きなメニュ−の [人の検索]、これでは FortiMail のアドレス帳は参照できない。


   * FortiMail のアドレス帳機能−その2

    [プロファイル]->[リソ−ス]->{リソ−ス}
    -------------------------------------------------------------------
    | ドメイン:            [--システム--  ] 灰色
    | プロファイル名:      [misc          ] 灰色
    | ディスククォ−タ:    [2000          ]
    | ユ−ザ−アカウント
    |           ステ−タス:〆有効
    | ウェブメ−ルアクセス:〆有効
    | ウェブメ−ルユ−ザの
    |   アドレス帳アクセス:〆ドメインアドレス帳  □グロ−バルアドレス帳
    |
    |--▲メ−ル保存-------------
    ||一般フォルダ(日):[0   ]
    ||ゴミ箱(日):      [14  ]
    |---------------------------

        確認その1: 〆ドメインアドレス帳  〆グロ−バルアドレス帳
        > Webメ−ルの [アドレス帳] "個人 グロ−バル ドメイン"

        確認その2: □ドメインアドレス帳  □グロ−バルアドレス帳
        > Webメ−ルの [アドレス帳] "個人"    << これだけになった。

    Webメ−ルはログインし直すと、上記の設定が変わっている。あるいはブラウザのリロ
    −ドしても設定が変わる。グロ−バルアドレス帳にどんどん登録してやれば、社内で共通
    に必要とする外部のメ−ルアドレスを検索できるようになる。Webメ−ルの画面にある
    アドレス帳から、メ−ルアドレスを引っ張ってこれる。グル−プというのも使えばいいこ
    とが分かった。グル−プに協力会社の名前を付けて、その会社の人を登録するとか。


   * メ−ルのキュ−について

    InterScan では送信での宛先不明のメ−ルは、4時間したら送信者に送れません、でもま
    だ3日間がんばってみます、というようなメ−ルを返す、英文で。そして4日たって、だ
    めでしたというメ−ルをかえす。がんばるのはメ−ルリレ−でやっている。メ−ルストア
    を FortiMail に変えても同じ文面のメ−ルが送信者に返えるのでないか。

    [メ−ル設定]->[設定]->{メ−ルサ−バ−設定}
    --▲メ−ルキュ− -----------------------------------
    | メ−ルキュ−の最大時間(1-24時間):   [24     ]    |
    | DSNメ−ルキュ−の最大時間(1-24時間):[6      ]    |
    | 事前遅延アラ−ト(1-24時間):         [1      ]    |
    | 再試行の間隔(10-120分):             [15     ]    |
    | デッドメ−ルの保持時間(1-365日):    [1      ]    |
    ----------------------------------------------------

    できるだけメ−ルの送信を成功させようというメ−ルサ−バの仕組みは、かつてインタ−
    ネットが UUCP だった時代にメ−ルをバケツリレ−で送っていた事に由来すると思う。ど
    このメ−ルサ−バもそんなに強固な代物でなく、不安定さがつきまとっていた。そんな状
    況でメ−ルを送っていた訳である。昨今のサ−バはマシン信頼性もメ−ルソフトの信頼性
    も上がっている、よっぽどのことがない限りメ−ルは直ぐに相手メ−ルサ−バに行くはず
    である。回線事情や何らかのトラブルでメ−ルが行かなかった場合は、すぐに送信したユ
    −ザにダメとか何とか知らせる方が望ましいのでないか。4時間経って、4日経ってメ−
    ルを送れませんでしたと知らせをもらっても、今どきユ−ザとしては逆に困るというか腹
    立ってくるというものである。例えば平日の日中は直ぐにダメでしたとユ−ザに返す、休
    日や夜間はちょっとだけ頑張って送信してみる。そんな設定があってもいいかも知れない。


   * やって来るスパムメ−ルの状況をメモ

    ログを見ていると辞書攻撃の "辞書" を使って適当なユ−ザ名を作ってメ−ルを送って来
    ているのが分かる。似たような名前の文字列にしている。 そのほとんどが User unknown
    なメ−ルになっている。ほとんどというより全部だろう。自分宛のメ−ルで件名のないメ
    −ル。これでスパムのチェックを検証していた。一日に数通は来ていたのだが、まるで来
    なくなった。項目にチェックしたり外したりして様子をみていたのだが。こっちはスタン
    バイしてメ−ルが来るのを待っているのに。また直きに来るようになる、波がある。


   * その他いろいろ

    [ メ−ル送信用ポ−ト ]

    メ−ル送信で 587 ポ−トを使った方がいいのか。これまでのメ−ルストア Solaris 9 マ
    シンでも有効になっていた。メ−ルソフトで SMTP 587を記入し動作確認した。FortiMail
    ではメ−ルソフトで "送信サ−バは認証が必要" する設定もできた、Windows 7 でのこと。

    [ レポ−トの作成 ]

    [ログとレポ−ト]->[レポ−ト設定] での設定は。 毎日レポ−トを作成するようにしてい
    る。何か一杯項目があってほとんど空。みやすいレポ−トを出すようにしないといけない。
    だいたいこれまでファイアウォ−ルでも何でもレポ−ト機能を活用した試しがないけど。

    [ メ−ルサ−バ管理者 ]

    postmaster@nix.co.jj、ユ−ザ postmaster を作成した。何かの拍子に postmaster 宛の
    メ−ルがでている。ユ−ザ不在で捨てられていた。メ−ルサ−バの管理者宛に転送するか、
    Webメ−ルでたまに postmaster でログインして見るか。

    [ 隔離されたメ−ル ]

    例えば"システム隔離" されたメ−ル、To: tarou@nix.co.jj、Rcpt To: tarou@nix.co.jj
    となっているの。Rcpt To は実際に送ったメ−ルアドレスである。 To は空であったり偽
    造されていたりする。単独で1通送るようなメ−ルはこれらは一致している、はず。

    [ 装置の電源周り ]

    計画停電があってのこと。FortiMail-2000B を画面でシャットダウンした。電源ボタンら
    しきものは触らなかった。装置はUPSにつないでいる。停電があって復電した後みたら
    装置は動いていた。ユ−ザの登録なんかは装置を停止、起動しても保存されている。


   * FortiMail の機能ではないが  `2e/08/s

    FortiMail でフォワ−ド指定で、エラ−メ−ルのピンポンが起きた。存在しない社内の人
    に送る設定になっていた。毎秒 postmaster 宛にエラ−メ−ルが出て300通ぐらい送っ
    たところで止んでいた。こんなんが10通もあれば立派な DDoS 攻撃になるぞ。挙動を確
    認しておくこと。フォワ−ド指定を単発で間違った位で、こんなことになるとは思えない。


   * FortiMail のバグかも

    ユ−ザのメ−ルアドレスを調べるのに Active Directory の登録を参照するのに認識しな
    い場合がある。Active Directory でユ−ザのアカウント作って、 メ−ルをそのユ−ザに
    送ろうとすると User unknown になってしまう。FortiMail と Active Directory 両方か
    ら原因を探る必要がある。Active Directory では Windows サ−バのバ−ジョンも関係す
    るかも知れない。 Active Directory の1つのツリ−に何百ものユ−ザのエントリがある
    とそれも影響するかも知れない。多分ツリ−を小分して分割するのが望ましいと思われる。


------------------------------------------------------------------------------------
[ 付録 ] いろいろ FortiMail のこと

   * スパムチェックの製品の変更に伴い  `2e/09

    FortiMail のスパムチェックの様子を半年に渡ってみてきた。十分な性能があると判断し
    て問題ない。 あまりよろしくなければスパムチェックは InterScan のメ−ルサ−バを透
    過的に設置してやるか、 メ−ルリレ−に InterScan をインスト−ルしてやるかしないと
    いけないと思っていた。そうした必要はない。

    Office 365 などクラウドのメ−ルサ−ビスに移行した場合、 スパムチェックがよろしく
    ない場合 InterScan でチェックする?、FortiMail でチェックする?。 透過型で設置し
    て。この場合でも FortiMail でできればいい。やはり InterScan はWebだけでいいだ
    ろう。InterScan のライセンスの変更をやるようにしよう。

    これまでの InterScanのライセンスはメ−ルとWebのライセンスが入っている。Web
    はWebレピュテ−ションでこれからもいる。メ−ルのライセンスはウィルスとスパム対
    策をやってきたが不要である。契約中のライセンスは"Trend Micro InterScan VirusWall
    Enterprise Edition Plus" と言う。

    ライセンス価格は TSRL( Trend Micro Reliable Security License )標準価格表というの
    があって、自分で調べることができる。2014/04/01 時点のが手元にある、 2008年頃
    から価格は変わってないみたい。ある時期ライセンス体系が大きく変わって、その時にラ
    イセンス移行したユ−ザはマイグレ−ションパス適用で半値で利用ができた。

    今回のケ−スはどうなるのか。いろいろすったもんだあって分かったのは、ライセンスは
    新規扱いとなること。Webレピュテ−ションは仮想マシンで動かしているので、選ぶの
    は "InterScan Web Security Virtual Appliance" である。Eランクの250-499 は2540円、
    Fランクの 500-999は1790円そのままの価格となる。結果的に高くなる。現状維持とする。
    

   * これらの指定はどうなっているのか

    [プロファイル]->[アンチスパム]->{アンチスパム} でチェックのこと。 どういう意味な
    んだ。〆A, 〆A1 というのは A というル−ルを適用し、 かつその中の細かい A1 という
    ル−ルを適用するという意味、それが一般的な解釈だと思う。それが□B, 〆B1 となると、
    どう解釈すればいいのか。ここには独立したル−ルが6個あるということ?。英文マニュ
    アルを一度しっかりみてみないと。指定項目でどういうチェックをするのか、そしてどう
    いうログが残るのか。この製品を売るのに当たってかなり重要なところと思うが。

    [設定1]                              [設定2]

    --▲スキャン設定-------------         --▲スキャン設定-------------      -------
    |〆▼FortiGuardスキャン               |□▼FortiGuardスキャン            |〆A
    |   〆ブラックIPスキャン              |   〆ブラックIPスキャン           |  〆A1
    |   〆フィッシングURI                 |   〆フィッシングURI              |  □A2
    |〆▼ディ−プヘッダ−スキャン         |□▼ディ−プヘッダ−スキャン      |□B
    |   〆ブラックIPスキャン              |   〆ブラックIPスキャン           |  〆B1
    |   〆ヘッダ−分析                    |   〆ヘッダ−分析                 |  □B2


    〆FortiGuardスキャン、□ブラックIPスキャン         これで3日間みて spam ip で検
    〆ディ−プヘッダ−スキャン、〆ブラックIPスキャン   知されたメ−ルはなかった。

    〆FortiGuardスキャン、〆ブラックIPスキャン         直接 jirou宛で spam ip 検知さ
    □ディ−プヘッダ−スキャン、□ブラックIPスキャン   れた。tarou 宛は抜けたのあり。

    〆FortiGuardスキャン、〆ブラックIPスキャン         tarou宛は件名なしで抜けたのあ
    □ディ−プヘッダ−スキャン、□ブラックIPスキャン   り。それに誤検知もでてきた。


    Fortinet社のエンジニアさんに聞いてみた。[設定2]のようなのはバグとみなした方がい
    いとのこと。"FortiGuardスキャン" に〆がない状態で、その中の "ブラックIPスキャン"  
    なんかに〆しても "ブラックIPスキャン" は働かない。そう解釈するとのことだった。


   * ウィルスやスパムのパタ−ンファイル

    この日の昼ごはん食べた後に見た  だから13時半とかに。スケジュ−ルアップデ−トで
    は1時間毎、00 分にダウンロ−ドする設定にしてある。 "Anti Virus Definition" は変
    わっているのは分かる。"Anti Virus Engin" はいつ配布された物か分からない。 バ−ジ
    ョンで調べるか。10月初めに見たら "Anti Virus Engin" と "Anti Spam  Definition"
    は同じバ−ジョンだった。

    [メンテナンス]->[FortiGuard]->{更新}

    ---------------------------------------------------------------------
    アップデ−ト         バ−ジョン 最終更新日時    最終更新ステ−タス
    ---------------------------------------------------------------------
    Anti Virus Engin      5.00247   9月29日13時00分 アップデ−トなし
    Anti Virus Definition 52.00015  9月29日13時00分 インスト−ルされたアップデ−ト
    Anti Spam  Definition 7.00375   9月29日13時00分 アップデ−トなし


    14時半ころ見た。
    ---------------------------------------------------------------------
    アップデ−ト         バ−ジョン 最終更新日時    最終更新ステ−タス
    ---------------------------------------------------------------------
    Anti Virus Engin      5.00247   9月29日14時00分 アップデ−トなし
    Anti Virus Definition 52.00016  9月29日14時00分 インスト−ルされたアップデ−ト
    Anti Spam  Definition 7.00375   9月29日14時00分 アップデ−トなし