14-7. そしてウィルスチェック `21/02 (1) メ−ルサ−バの再構築から `21/02 * 全体の話 ・E-mail のウィルスチェックを行う -> InterScan VirusWall を導入する。 ・メ−ルのディスク領域を大きくする -> これまでのマシンを止め別なのにする。 ・メ−ル転送の設定ができるようにする -> Apache をインスト−ルし画面を用意する。 * ウィルスチェック・ソフトの導入 CTCさん推奨の InterScan VirusWall。HTTP,FTP,SMTP のパケットをリアルタイムでウ ィルスの有無をチェックする。SMTP のメ−ルだけをチェックするとか、 既存ディレクト リのファイルをチェックするとかできる。ウィルスがあればそれを除去する、あるいは入 っているとだけ知らせるとか、振る舞いをいろいろ設定ができる。ウィルスはどんどん新 種や亜種ができる。ウィルスパタ−ンは HTTP で自動で定期的にダウンロ−ドできるよう になっている。このソフトの詳細は http://www.trendmicro.co.jp/ を見られたい。99 年6月に調べた時、ウィルスについて詳しく解説していて、 1400 種類ものウィルスを列 挙していた。Solaris SPARC 版 Ver.3.5。Solaris 2.6.x/7/8 対応。メモリ 128 MB 以上 推奨。250 ユ−ザ分なら 140 万円で2年目からの保守料は 49 万円。30,100,250,無制限 ライセンス版、Windows NT4.0 版もある。Linux 版も出ているもよう。 当初、このソフトはファイアウォ−ルのホストに入れて使うつもりだった。Solaris 用の FireWall-1と連携するということだったので。しかし結論から言うとファイアウォ−ルの ホストに入れることはできない。FireWall-1 と連携するというのは、FireWall-1 に入っ てきたパケットを InterScan が横取りして、チェックし、また FireWall-1に返すという 仕組みである。どうもそれがうまく働かないようなのだ。強引にセットアップしてもマシ ンがダウンしてしまうらしい。それに qmail とはうまくは働かないともいう。 この連携 機能、FireWall-1 を開発している Check Point 社が標準化を提唱しているのだが、 CVP ( Content Vectoring Protocol ) という。InterScan には、この CVP に対応したタイプ がある訳である。CVP 版を使うには FireWall-1 Ver.3.0b buid3064 以上とのことである。 CVP 対応でないのもあって、それを社内側のメ−ルサ−バのホストに入れて、メ−ルだけ ウィルスチェックするのが賢明ということなのだ。InterScan の仕組みを見ると、圧縮さ れたファイルは解凍して中身をチェックするという。HTTP や FTP でこれをいちいちやっ たんでは、幾らマシンのリソ−スがあっても足りない。 つまり HTTP や FTP までやると 負荷がかかり過ぎるだろうということである。FTP では最近では tcp_wrapperの配布ファ イルにトロイの木場型ウィルスが入り込んだとかあるが、ごくまれな話である。WWWサ イトのまともな所では、まず HTTP にウィルスが入ることはない。 Linux の普及に伴い、 Linux をタ−ゲットにしたウィルスもあるとは聞くが。ともかく現状、大方のウィルスは Windows パソコンをタ−ゲットにした、メ−ルの添付ファイルである。 * メ−ルサ−バの再構築から InetrScan を入れるメ−ルサ−バのホストは、これまでファイアウォ−ルで用いてきたマ シンを使うことにする。ファイアウォ−ル用のマシンは新しく別に購入したというわけだ。 あらためて今回のマシンのスペックを。SPARCstation 5、Solaris 2.6、ディスク2 Gbyte メモリは増設して全部で 128 Mbyteである。ディスクは初期化してさらきにする。パッチ も現時点でのをあてる。これらの作業はCTCさんにやってもらった。InterScan のイン スト−ルも一応やってもらった。パッチをあてるのに小1時間かかっていたようだ。マシ ンのIPアドレスは、実稼働のメ−ルサ−バのものにはせず、仮に 192.168.1.10 という ようなIPアドレスにした。これで先ず、 本当に InterScan が働くのか確認することに する。192.168.1.20 を POP クライアントとし、 192.168.1.10 に向かってウィルス入り のメ−ルを送るのである。確認した後、メ−ルサ−バを置き換えることにする。 Router □ □ hostA' 仮想IPアドレス |.1 |.3 ------------*------------------- 202.241.128.0 .2| □ hostA -------.2 |192.168.2.1 FireWall-1 |hostG|--------------- POP Client ------- □ hostB □ mmm □ Windows 98 .2| |.1 |.10 |.20 ------------*---------------------------------------- 192.168.1.0 Mail-Server InterScan テスト 1. [ ディスクのイニシャライズからパ−ティションの切り直しまで ] # uname -a SunOS mmm 5.6 Generic_105181-23 sun4m sparc SUNW,SPARCstation-5 # df -k Filesystem Kバイト used avail capacity Mounted on /dev/dsk/c0t3d0s0 96031 17728 68700 21% / /dev/dsk/c0t3d0s4 962582 425803 479025 48% /usr /proc 0 0 0 0% /proc fd 0 0 0 0% /dev/fd /dev/dsk/c0t3d0s7 479367 36180 395251 9% /var /dev/dsk/c0t3d0s6 192807 9 173518 1% /iscan/tmp /dev/dsk/c0t3d0s5 96031 18911 67517 22% /opt swap 139988 204 139784 1% /tmp スワップは、仮想メモリ領域のことである。実メモリと合わせて 256 Mbyte は、 このマ シンでは欲しい。/iscan/tmp はウィルスのファイルが圧縮されている場合、 このテンポ ラリ領域で解凍する。メ−ルは /var 以下に保管される。 2. [ ソフトの準備 ] GNUzip と GNUgcc を http://sunsite.sut.ac.jp/sun/solaris-binaries/sparc, SunSITE Japan, "SOLARIS PACKAGE ARCHIVE" からとってくる。Qpopper はバ−ジョン 2.5.3 のし かなかった。それで qpopper3.0.2.tar と sendmail.8.8.5.tar.gz は、 これまで別にダ ウント−ドしておいたのを使った。 さらに、別なマシンでコンパイルした GNU の bison, patch, make を /usr/local/bin にコピ−して入れておく。 # cd /usr/local/source # tar xvf GNUzip.1.2.4.SPARC.Solaris.2.6.pkg.tar # pkgadd -d. GNUzip << これで /usr/local/bin に gunzip, gzip, zcat 等が入る。 # zcat GNUgcc.2.95.2.SPARC.Solaris.2.6.pkg.tgz | tar xvf - # pkgadd -d . GNUgcc << -d . とピリオドが離れていてもOK。 3. [ バックアップ ] # cp /etc/mail/sendmail.hf /etc/mail/sendmail.hf.org # cp /usr/lib/sendmail /usr/lib/sendmail.org # ls -l /usr/lib/send* -r-sr-xr-x 1 root bin 346984 12月 22日 15:02 /usr/lib/sendmail -r-sr-xr-x 1 root other 346984 2月 6日 14:24 /usr/lib/sendmail.org 4. [ sendmail 静的配送タイプの作成 ] # cd /usr/local/source # /bin/csh # setenv PATH /usr/local/bin:/usr/ccs/bin:$PATH # cd sendmail-8.8.5/src << バ−ジョンは 8.8.5 のまま。 # cp Makefiles/Makefile.SunOS.5.6 . Makefile.SunOS.5.6 -------------------------------------- |DBMDEF= -DNDBM -DNAMED_BIND=0 |LIBS= -lresolv -lsocket -lnsl -lkstat # make -f Makefile.SunOS.5.6 # make -f Makefile.SunOS.5.6 install /etc/sendmail.cf << 付録 sendmail.cf.relay をコピ−して使う。 -------------------------------------------------------------------- |################################################################### |# |# 万能 sendmail.cf ファイル [ ftp.tic.com の m4 ファイル参考 ] |# |# メ−ルリレ−専用。サブドメインは対応しない。 |# |# Apollo SR10.4, SunOS 4.1.2-JLE, 4.1.4-JLE, Solaris 2.5.1, |# INDY IRIX 5.3 で使用を確認。uucp のメ−ル配送はサポ−トしない。 |#------------------------------------------------------------------ |# |# Dj$w.$D 部は注意が必要。hostname が FQDN の場合はこのまま。 |# hostname が FQDN でない場合は Dj$w とする。sendmail-8.8.x を |# 使う場合は FQDN 関係なく Dj$w とすること。 |# |# This sendmail.cf was written refered to m4 sendmail.cf |# in ftp.tic.com public directory. Original file are |# Copyright (c) 1993 by Texas Internet Consulting. |################################################################### | | |DDnix.co.jj |Dj$w << $D はいらない。sendmail-8.8.5 ではいらない。 |DMtcp | | |# ----------------------------------------------------------- |# メ−ルゲ−トウェイのホスト用は、この間コメントにする。 |# ル−ルセット0が効かないようにするため。 |# ----------------------------------------------------------- |R$*<@[$+]> $#$M $@[$2] $:$1 |R$*<@$j>$* $1<@>$2 |R$*<@$=U.uucp>$* $1<@>$3 |R$*<@$D>$* $1<@>$2 |R$*<$*.>$* $1<$2>$3 |R<@>:$* $@$>29$1 |R$*<@> $@$>29$1 |R$*<@$w> $@$>29$1 |R<@$j>:$+ $@$>29$1 |$* $:$>9 $1 | |# [ 2. メ−ルサ−バのホスト用 ] |R$*<@$-.$D>$* $#$M $@$2.$D $:$1<@$2.$D>$3 |R$*<@$+>$* $#$M $@hostA $:$1<@$2>$3 << hostA に注意。テストでは別に何で |R$+%$+ $@$>29$1@$2 も構わない。テストではよそへメ− |R$+ $#local $:$1 ルは出さないこと。 # chmod 644 /etc/sendmail.cf やっておくこと。 # cat /etc/hosts 127.0.0.1 localhost 192.168.1.10 mmm mmm. loghost # newaliases /etc/mail/aliases: 3 aliases, longest 10 bytes, 52 bytes total 5. [ qpopper3.0.2 のインスト−ル ] # tar xvf qpopper3.0.2.tar # cd qpopper3.0.2 /etc/services # ./configure; make -------------- # cp popper/popper /usr/lib/popper |pop 110/tcp << 追加する。 /etc/inetd.conf --------------------------------------------------------- |pop stream tcp nowait root /usr/lib/popper popper << 追加する。 最後に、テスト用 POP クライアントを登録する。# useradd で ユ−ザ mika を作成する。 POP クライアントなのでパスワ−ドも、ちゃんと登録すること。 (2) InterScan VirusWall の設定 `21/02 * InterScan の特徴 ・ウィルスのパタ−ンファイルを定期的またはその場でとることができる。ほとんど毎日 のようにパタ−ンファイルはアップデ−トされている。メ−ルでその旨連絡が来る。 ・パタ−ンファイルは HTTP アクセスで米国トレンド社からとってくる。パタ−ンファイ ルをダウンロ−ドする毎、管理者にちゃんとダウンロ−ドしたかメ−ルで通知できる。 ・ウィルスが入ったメ−ルが来た場合、選択的に管理者、送信者、受信者にウィルスがあ ると警告メ−ルを送ることができる。 ・できるだけウィルスは削除して相手に送る。削除できない場合はウィルスがあると警告 メッセ−ジを入れる。これ以外にもいろいろに設定ができる。 ・HTTP, FTP, SMTP をリアルタイムでチェックできる。他、指定したディレクトリのファ イルにウィルスがいないかもチェックできる。定期的またはその場でもチェックできる。 ・FireWall-1 と連携する CVP 版というのもある。でも今のところ有効には働かない。と いうことはつまり、ファイアウォ−ルを通過する HTTP, FTP はチェックはできない。 ・InterScan はメ−ルサ−バのホストに入れて使う。またはそれ以外のホストに入れても 使うことができる。通常は、メ−ルサ−バのホストに入れて使えばいい。 ・InterScan eManager という InterScan のプラグイン・ソフトがある。VirusWall の前 で実行して、スパムメ−ル対策とコンテンツのフィルタリングをする。1サ−バ95万円。 * InterScan の設定 インスト−ルが終わったら、InterScan のユ−ザ登録をする。 このために InterScan の 管理WWWサ−バ http://192.168.1.10:1812/interscan/ にアクセスし、 とりあえずデ フォルトの管理者用アカウントで入る。実際やった時は、INDY の Netscape 4.05 からア クセスしてみた。Solaris の HotJava の画面からは、 なぜかユ−ザ登録ができなかった。 文字コ−ドがどうもうまく処理されないようだった。画面の [Pattern Update] -- [Regi ster for Virus Pattern Update] で必要項目を埋める。 電話番号は日本国から記入する、 +81-52-XXX-XXXX という風になる。52 は 052 の名古屋の市外局番を示す例である。登録 はその場で済む。そしたら [Pattern Update]--[Update Virus Pattern Now] をクリック して、ウィルスのパタ−ンファイルをとりあえず、その場でとってくる。 [Turn On/Off] ウィルスチェックを働かせるか。 [Configuration] ---- [Real-time Scan] E-Mail Scan (Configuration) [Virus Log] ログの消去や確認などができる。 [Pattern Update] --- [Register for Virus Pattern Update] [Manual Scan] [Update Virus Pattern Now] [Set Automatic Update Time] --- Update daily 4:00 AM mail: root, /opt/ISCAN-SERVICE-LOG/log [Set Proxy Server] -- Use proxy server for pattern download ウィルスチェックの細かな動作は、 [Configuration] -- [Real-time Scan] E-Mail Scan でコンフィグレ−ションする。詳細は "(3) InterScan VirusWall のテスト" を見られた い。ウィルスのパタ−ンファイルは、毎日午前4時に取って来るように設定した。そして 取ってきましたというメ−ルが root 宛に出るようになっている。それにそのログも残す ようになっている。しかし、こんなのは別になくても構わない。適当な折りに無しにして しまおう。[Set Proxy Server] と言うのは、 このホストをファイアウォ−ルに登録して なくて、外にアクセスできないような場合、 Apache か何かのプロキシ・サ−バを介して も、パタ−ンファイルを取ってこれるよという設定である。 # mail From: root (Super-User) To: root 取って来ましたというメ−ルが root 宛にきた様子。 Subject: Pattern Update ↓ Notification: Automatic Virus Pattern Update [02/08/2001 04:00:00] Try 1: SUCCESS: Pattern file is up to date. ? * InterScan の動き InterScan をインスト−ルすると、/etc/rc2.d/S88sendmail が InterScan 用に変更され る。この S88sendmail では InterScan の sendmail、/etc/iscan/sendmailになっている。 即ち /etc/iscan/sendmail が InterScan の実態である。この sendmail が25番ポ−ト を見張っていて、メ−ルのウィルスチェックをする。チェックしたメ−ルは、標準入力で /usr/lib/sendmail -bs に渡すようになっている。 ps -ef で見た場合。IScanHtt は7個デ−モンができていた。 # ps -e ↓ 730 ? 0:00 IScanHtt << /opt/trend/ISADMIN/IScan.adm/bin/IScanHttpd -f .. 10578 ? 0:00 issmtpd << /etc/iscan/sendmail 10582 ? 0:00 sendmail << /usr/lib/sendmail -q1h $ telnet 192.168.1.10 25 << quit で抜ける。 220-InterScan Version 3.5-Build_SOL_1044 $Date: 04/20/2000 16:23:0044$: Ready 220 mmm. ESMTP Sendmail 8.8.5/nix.1.0 ready at Thu, 8 Feb 2001 .. +0900 (JST) /etc/rc2.d/S88sendmail << 元のは /etc/iscan/S88sendmail.orig にバックアップ ----------------------------------- されている。 | | |case "$1" in sendmail-8.8.5 では /etc/sendmail.cf にすること。 |'start') ↓ | if [ -f /usr/lib/sendmail -a -f /etc/mail/sendmail.cf ]; then | if [ ! -d /var/spool/mqueue ]; then | /usr/bin/mkdir -m 0750 /var/spool/mqueue | /usr/bin/chown root:bin /var/spool/mqueue | fi | ISSMTPON=`cat /etc/iscan/pkg/ISSMTPON` << ISSMTPON はただの1 が書かれた | if [ "$ISSMTPON" != "1" ] ; then ファイルだった。 InterScan を | /usr/lib/sendmail -bd -q15m & 有効にするかどうかのフラッグ。 | else | rm -f /tmp/msg* /tmp/smtp* /tmp/VS* | /etc/iscan/sendmail ; /usr/lib/sendmail -q1h | fi | fi | | # ls /etc/mail/send* /etc/mail/sendmail.cf /etc/mail/sendmail.hf /etc/mail/sendmail.pid /etc/mail/sendmail.cf.old /etc/mail/sendmail.hf.org /var/spool/cron/crontabs/root ---------------------------------- | | |0 * * * * /etc/iscan/prescan.cgi << こんな設定もできていました。 |30 02 * * * /etc/iscan/cleanscan << * ウィルスパタ−ン # ls -F /etc/iscan InterScanCmd.smtp| install.html@ lpt$vpn.843 shutdown.cgi@ JavaScan.zip@ intscan.ini macr$gen.600@ srvscan@ S88sendmail.orig* intscan.ini.orig@ macro.lst@ start.cgi@ arglist@ iscanpsw@ office_update@ upgrade@ cleanscan@ isswitch.cgi@ officecall.ini@ uplog@ config@ jsapi.dll@ perfmon@ virinfo@ daemonhup.sh@ libvsapi.so@ pkg/ virus@ eoiscan.input@ license@ prescan.cgi@ vsapi32.dll@ gentrial@ log.2001.02.05 sendmail@ vscan@ index.html@ lpt$vpn.683@ setupex.exe@ ウィルスパタ−ンのファイルは、ここでは lpt$vpn.683, lpt$vpn.843 である。次から次 ヘとどんどん増える。メ−ルでも新しいのが出ましたとしょっちゅうお知らせがくる。古 いのは cron などで消去していくようにした方がいいだろう。 ちなみに lpt$vpn.843 フ ァイルのサイズは 2588806。次の /opt/ISCAN-VIRUS は何かな?。多分ウィルスを駆除し た際のファイル?。ともかく毎日のようにできるので、適当に消去しておくこと。もしこ れでディスクのパ−ティションが一杯になっても、ウィルスの駆除はちゃんとできている。 そのようなウィルス・チェックのログが出て来るので注意されたい。 # ls /opt/ISCAN-VIRUS virABAd1ayPE virGAAXZaWQb virIBAHFaasb virNAAmFaasb virTAA80ayPE virBBAAFaasb virGAAfFaasb virMAA10ayPE virOBAr1ayPE virUAAtFaasb virGAAQQa4Xb virHBAk1ayPE virNAA4ZaWQb virPBAOFaasb * ログ # ls -F /opt ISCAN-LOG/ ISCAN-VIRUS/ SUNWits/ trend/ ISCAN-SERVICE-LOG/ ISCAN-VIRUS-LOG/ lost+found/ # ls ISCAN-LOG << メ−ルが来てウィルスチェックをすると、どんどんで scan-log.2001.02.05 きる。適当に古いのは消去した方がいい。 scan-log.2001.02.08 # ls ISCAN-VIRUS-LOG << InterScan のWeb画面でログを消去したら、このデ .2001.02.09 ィレクトリのファイルが消えた。 # ls ISCAN-SERVICE-LOG << こんなん別にとらなくてもいい。ウィルスパタ−ンを log.2001.02.06 アップデ−トしたという内容。毎日出る。 log.2001.02.09 (3) InterScan VirusWall のテスト `21/02 * コンフィグレ−ション http://192.168.1.10:1812/interscan/ にアクセスして、[Configuration] をクリックし、 E-Mail Scan (Configuration) を設定する。できたら最初の画面に戻り [Turn On/Off]を クリックし、InterScan をオンにする。以下はメ−ルにウィルスが入っていた場合、メ− ルの送信者、受信者、管理者に警告メ−ルを出す設定にしている。このGUIで設定した 制御ファイルは /etc/iscan/initscan.ini である。 E-Mail Scan Configuration Main service port | 25 | Original SMTP server location (Must be set) | /usr/lib/sendmail -bs | Email scan log file location: | /opt/ISCAN-LOG/scan-log | Files to Scan: 〆Scan all files □Scan all files with the following file extensions (not case sensitive) | .com .exe .sys .drv .cmd .dll .386 .doc | Notifications: "From" address used in notification: | root@localhost | 〆E-mail to administrator | root | when detecting a virus << 管理者にメ−ル。 Message (type %d, %F, %v, and %a for getting the date, file name, virus name, and action type into the message string) | Have detected a virus (%v) in mail traffic. Action:%a. | 〆Warning to recipients << 受信者にメ−ル。 (type %d, %F, %v, and %a for getting the date, file name, virus name, and action typeinto the message string): | Have detected a virus (%v) in mail traffic on %d with an Action:%a. | 〆Warning to sender << 送信者にメ−ル。 (type %d, %F, %t, and %h for getting the date, file name, recipient, and host name intothe message string): | The mail message (file: %F) you sent to %t contains a virus. (on %h) | ↑ □Additional message: ここ好きなようにメッセ (included in the mail to receiver if virus is found) −ジを書ける。管理者と if you have questions, cintact administrator. 受信者のとこもそう。 □Stamp: Insert a 'safe' stamp into users' E-mail with a message (type %F for getting the file name into the message string): Action on Viruses: Quarantine Directory: □Pass : Do nothing to the infected files. □Move : Move the infected files into the quarantine directory. □Delete: Delete all infected files. 〆Auto Clean: Clean the infected files. << ここは Auto Clean の Move の Action on Non-Cleanable Files: 設定でいいだろう。 □Pass: Do nothing to the infected files. 〆Move: Move the infected files into the quarantine directory. □Delete: Delete all infected files. Macro Scan: 〆Enable Macro Scan. << 問題ないマクロもマクロなら全 〆Quarantine: Move to the quarantine directory. 部チェックする。きついと □Clean: Strip-off Macro. 思うようなら外してもいい。 Miscellaneous: 〆Show InterScan host name in virus warning email. 〆Log incoming Message-ID Specify where virus and disclaimer messages are inserted. 〆top □bottom □none Temporary directory location: | /iscan/tmp | Treat MIME attachments with names greater than |200| characters as a viruses. Do not scan messages with these Message-IDs | | Maximum size: | 0 | kilobytes. ('0' means no limitation on message size.) Send the "NOOP" command to orignal server to prevent timeout every | 300 | seconds. ('0' means do not send.) □Enable Plug-in. (Select check box if you have purchased an additional plug-in, such as eManager for content filtering and anti-spam.) _______ _______ /Additional \ / Advanced \ \Email Options / \Configuration /  ̄ ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄ 注.〆E-mail to administrator | root katou@nix.co.jj | はウィルスが入ったメ−ル が見つかったら管理者にメ−ルで知らせる設定である。上記では root ユ−ザだけだ ったが、この設定では katou@nix.co.jj にも知らせるようなる。 * ウィルス除去の確認テスト Windows 98 の Netscape Messenger から本物のウィルスを添付して、 ユ−ザ mika から ホスト mmm の root@nix.co.jj あてに送ってみる。とても危険なテストである。 ウィル スは2000年の11月頃、猛威をふるっていた "マトリクス" である。あるメ−リング リストで入って来たのをEWSの INDY で飼っていたのだ。Windows パソコン内で悪さを する訳で、INDY のメ−ルソフト Zmail などで、添付ウィルスをクリックしても別に問題 ない。しかし Windows のメ−ルソフトの Netscape Messenger などで、 テストのためウ ィルスのファイルを添付する際、 [ファイルを開く] をクリックしメ−ルの添付に加える。 これはかなり心臓に悪い。[ファイルを開く] で本当に開いてまったら、 そのパソコンは ウィルスに感染してしまい、OS再インスト−ルのハメになる -------------------------------------- | Windows Netscape Messenger のつもり 送信(SMTP)、受信(POP)メ−ルサ−バのIP |------------------------------------- アドレスを 192.168.1.10 と入れる。 ユ− | From: root@localhost ザ名は mika、mika@nix.co.jj とする。 | Subject: Virus Alert | To: mika@nix.co.jj << 送った人にも警告のメ−ルが来る。 | | The mail message (file: Mat.scr) you sent to root@nix.co.jj contains a virus. (on mmm) # mail << 受信者への警告メ−ル。 From: root@localhost To: root@nix.co.jj (表示略) Subject: Virus Alert Have detected a virus (TROJ_MTX.A) in your mail traffic on 02/09/2001 15:43:05 with an action move. ? d << 管理者ヘの警告メ−ル。 From root@localhost To: root@localhost Subject: Virus Alert Have detected a virus (TROJ_MTX.A) in mail traffic. Action: move. ? d << 受信者へのメ−ル本文と警告メッセ−ジ。 From mika@nix.co.jj Fri Feb 9 15:43:05 2001 To: root@nix.co.jj (コレだけでいいのでないか) This is a multi-part message in MIME format. Content-Type: text/plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit ****************** Virus Warning Message (on mmm) Found virus TROJ_MTX.A in file Mat.scr The file VIRUS/virIBAHFaasb is moved to the configured virus directory. ********************************************************* Content-Type: text/plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Katou desu << メッセ−ジの本文はこれ。 Content-Type: text/plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit ****************** Virus Warning Message (on mmm) ここはウィルスの添付 Mat.scr is removed from here because it contains a virus. ファイルだが、削除さ ********************************************************* れている。 ※マトリクス ウィルスについてはこちらを見られたい http://www.jcsa.or.jp/w95mtx.html http://www.ipa.go.jp/security/topics/mtx.html (4) メ−ルサ−バの移行作業 `21/02 * SPARCstation 2/SunOS 4.1.4 から SPARCstation 5/Solaris 2.6 への移行 1. [ 移行マシンでの事前準備 ] メ−ルユ−ザのグル−プIDを今回 101 とする。メ−ルの転送を各自、 自分でできるよ うに各ユ−ザのホ−ムディレクトリを作る。 /usr/people/ 以下に全員のを手作業で作成 する。Sun のEWSでは /export/home/以下に、一般ユ−ザのホ−ムディレクトリを作成 するのが流儀のようだが。ここは小生の趣味で /usr/people/ 以下に作ることにする。し かしユ−ザがたくさんいると大変だな。何とか一発でやれるようなスクリプトを書けない かな。これまでのマシン SunOS 4.x の /etc/passwd ファイルから、一括してユ−ザ登録 するやり方があると思うのだが。SunOS 4.x の passwdファイルはノ−マル、Solaris 2.6 は暗号化ファイルになっている。一括変換は難しいかも。以下はとりあえず POPユ−ザと して katou を作る例である。グル−プIDの user, 101 を先に作っておくこと。 # useradd -d /usr/people/katou -g 101 -u 1001 katou # mkdir /usr/people/katou # chown katou:101 /usr/people/katou # passwd katou New password: << katou、初期パスワ−ドになる。 Re-enter new password: << katou、ととりあえず入れた。 passwd (SYSTEM): passwd successfully changed for katou # cat /etc/passwd | grep katou << 消去するには # userdel katou とやる。 katou:x:1001:101::/usr/people/katou:/bin/sh << 実際のパスワ−ドファイルの移行 >> 移行するユ−ザの passwd ファイルのところを抜き出して、適当な名前でファイルを作る。 それを今度のマシンの /etc/passwd ファイルに追加する。# passwd ユ−ザ名でとりあえ ず、これまでのパスワ−ドを入力する。ホ−ムディレクトリは、今のところあってもなく ても構わない。後で個々のユ−ザで、メ−ル転送を設定できるように、ホ−ムディレクト リを考えている。ホ−ムディレクトリに ~/.foward ファイルをおいて、 メ−ル転送がで きるようにということである。 PASS ------------------------------------------- |mika::1002:101::/usr/people/mika:/bin/csh << グル−プID 101 は user。シェル |tomo::1003:101::/usr/people/tomo:/bin/csh はクラッカ−侵入に備えて、安全の |mohe::1004:101::/usr/people/mohe:/dev/null ため使えないようにした方がいいか も知れない。/dev/null にする。 # cat PASS >> /etc/passwd # pwconv pwconv: 警告 - ユーザ mika にはパスワードがありません。 pwconv: 警告 - ユーザ tomo にはパスワードがありません。 # passwd mika << 手作業でパスワ−ドを入力していく。 ユ−ザがた New password: henomohe くさんいると大変。 Re-enter new password: henomohe passwd (SYSTEM): passwd successfully changed for mika 2. [ 現行メ−ルサ−バの sendmail と inetd を殺す ] sunos# ps -ax << これまでのメ−ルサ−バのマシン sunos。 PID TT STAT TIME COMMAND 99 ? IW 0:30 sendmail: accepting connections on port 25 130 ? S 3:27 inetd 133 ? IW 0:00 popper << popper は inetd から起動される。 sunos# kill -9 99 sunos# kill -9 130 3. [ 未読メ−ルの移し替え ] Qpopper では .xxx ファイルはない。正常にメ−ルが読まれていれば .xxx ファイルは0 になっているはずである。以下のコマンドで移行マシンにファイルをパ−ミッションを維 持しコピ−する。 sunos# cd /var/spool/mail; ls -al -rw------- 1 katou 0 .katou.pop -rw------- 1 katou 1150 katou sunos# cat /.rhosts << どのマシンでも rsh コマンドを受け付けるようにする。 + # cd /var/mail << 移行先のマシンでの作業です。 # rsh 192.168.1.1 'cd /var/spool/mail; tar cf - .' | tar xvf - # rm .* << .xxx ファイルを消去する。 # chgrp user * << これでファイル全部のグル−プIDは 101 になる。 * hostB ホストの設定 Solaris 2.6 変更の手順としては /etc/hostname.hme0, /etc/hosts 以外は以下のように先だって設定 する。マシンをテスト時のホスト名 mmm、192.168.1.10 のまま未読メ−ルを移し替える。 それから直ちに hostB, 192.168.1.1 に変更し、マシンをリブ−トする。さて一発でうま く行くかな。うまく行かないとメ−ルの紛失とかやっかいな事が起こる可能性がある。か なり神経を使う作業である。まだここでは先のメ−ルサ−バのマシン、SunOS 4.1.4 があ るという前提なので、おかしければ元のマシンに戻せば済むからいいが。やはりこのよう な作業は業者さんにやってもらうという訳にはいかない。ネットワ−ク管理者が自らの手 で、慎重に作業を進めることが必要だろう。 /etc/hostname.hme0 ------------------- |hostB /etc/hosts ---------------------------------------------- |127.0.0.1 localhost |192.168.1.1 hostB hostB.nix.co.jj loghost << 自分自身のホスト。 |192.168.2.1 hostA << メ−ルリレ−先のホスト。202.241.128.3 ではない。 |192.168.1.3 hostC << SMTP Mail user のホスト。管理者 katou のマシン。 注.`21/12 修正。192.168.2.1 hostA は 202.241.128.3 hostA に戻すこと。修正前のま まだと、hostB で .forward の設定をした際に、外からのメ−ルを外へ転送できない。 /etc/sendmail.cf ----------------------------------------- |DDnix.co.jj << ちゃんとここでは nix.co.jj のこと。 |# [ 2. メ−ルサ−バのホスト用 ] |R$*<@$+>$* $#$M $@hostA $:$1<@$2>$3 << ちゃんとここでは hostA を指定する。 /etc/defaultrouter << デフォルト経路。記述しないと/etc/rc2.d/S69inet の ------------------- ところで /usr/sbin/in.routed -q が起動してしまう。 |192.168.1.2 /etc/aliases << /etc/mail/aliases にリンクされている。 記述したら ---------------------- # newaliases コマンドを叩いておくこと。 |nobody: /dev/null |Postmaster: katou |MAILER-DAEMON: katou 注.OSをインスト−ルしたそのままのでは resolv.conf, |root: katou defaultrouter, hostname.le0, hostname.hme0といっ |ikken:katou@hostC たファイルはなかった。 |他のもあれば記述すること /etc/rc2.d/S72inetsvc ------------------------------------------ | | |echo "Setting default interface for multicast: \c" |#/usr/sbin/route add -interface -netmask "240.0.0.0" "224.0.0.0" "$mcastif" | |/usr/sbin/route add net 192.9.201.0 192.168.1.20 1 << 社内のセグメントを記 |/usr/sbin/route add net 192.9.202.0 192.168.1.20 2 述すること。 | |/usr/sbin/inetd -s /etc/resolv.conf -------------------------- << HTTP で InterScan が www.trendmicro.comにウィルス |nameserver 202.241.128.3 パタ−ンをとりにいく。www.trendmicro.com のアドレ ス解決にいる。 次の nsswitch.conf の dns も併せて /etc/nsswitch.conf 設定すること。Proxy 経由で取りに行く場合は、 これ ----------------------- らの設定は不要である。 |passwd: files |group: files |hosts: files dns << dns を追加する。 | | (5) InterScan VirusWall を運用する * InterScan VirusWall をバ−ジョンアップする `21/10 [ バ−ジョンアップの概要 ] 2001/10/19 トレンドマイクロから電話がかかってきた。 バ−ジョンアップされましたか。 CD-ROM は届きましたかと。 最新のパタ−ンファイルと検索エンジンが入った CD-ROM が 10月の初め頃2枚きていた。 話によると InterScan VirusWall の検索エンジンをバ− ジョンアップした方がいいとのこと。パタ−ンファイルだけアップロ−ドしていても抜け があるらしい、万全を期すためには、検索エンジンとやらも新しくすべしということであ る。何やらしょっちゅうメ−ルが来るので、よう分からんのでほかっておいたのだ。検索 エンジンとは何ぞや?、この際確認しておいた。InterScan VirusWall というソフトは本 体とウィルス検索エンジンとパタ−ンファイルの3つでなっている。それぞれにバ−ジョ ンがあるというわけである。これまで来たお知らせのメ−ルも再度見てみることにした。 << ウィルス検索エンジンの履歴 >> VSAPI 5.420 : 2001/07/24 提供。拡張子が lnk のファイルを検出できないバグをフィッ ス。強力ウィルス TROJ_SIRCAM.A 発生。VSAPI 5.450 をすぐ 7/27 提供。 VSAPI 5.500 : 2001/10/02 提供。超強力ウィルス Nimda 発生。Microsoft のWWWサ− バ IE に取りついて、他サイトにウィルスをばらまく。かなり深刻。 [ Solaris 用の検索エンジンをダウンロ−ドする ] 検索エンジンはインタ−ネット経由でもダウンロ−ドして、インスト−ルすることができ る。http://www.trendmicro.co.jp/support/engine/isux.html、ここに検索エンジンのフ ァイルとインスト−ルのやり方を書いたマニュアルがある。マニュアルは PDFになってい て、4ペ−ジある、ざっと目を通す。TVCS を使っているなら、 何やら作業にコマンドを 打ってと書いてある。 TVCS を使っているなら /etc/rc2.d/S99IStvcs というファイルが あるという。確認したところ無かった。つまるところ作業としては、新しい検索エンジン のファイルをダウンロ−ドして今のと置き換えればいい。それで以下のファイルを取った。 InterScan VirusWall for Solaris Sparc Ver.3.5, 3.6 パタ−ン No.145 (945) 以降必須。約664Kバイト。 -rw-r--r-- 663868 SPARC-SOL-5.500-0829.tar.z # cp *z k.tar.Z 適当な場所で解凍する。拡張子が小文字の z # uncompress k.tar.Z だと uncompress コマンドが認識しない。 # tar xvf k.tar x libvsapi.so, 1539760 bytes, 3008 blocks # /etc/iscan/vscan -v *** 今のバ−ジョンを確認する *** Virus Scanner v3.1, VSAPI v5.130-0324 Trend Micro Inc. 1996,1997 いかん、これは2日ぐらい前にバ−ジョンを Pattern version 955 確認したのだった。番号が955で、作業し Pattern number 42344 た時は957になっていたのだ。 No scan target specified!! do nothing. # cd /etc/iscan *** 検索エンジンのファイルは *** # ls -l libv* ソフトリンクになっている。 lrwxrwxrwx 1 root other .. libvsapi.so -> /opt/trend/ISBASE/IScan.BASE/ libvsapi.so # cd /opt/trend/ISBASE/IScan.BASE # ls -l libv* 実態はこれ。バックアップを取っておくこと。 -r-xr-xr-x 1 root sys 1284084 3月 28日 2000年 libvsapi.so # ls -l *.so 新しい libvsapi.so を katou.so という名前でコピ−してきた。 -rw-r--r-- 1 root other 1539760 10月 26日 17:28 katou.so -r-xr-xr-x 1 root sys 1284084 3月 28日 2000年 libvsapi.so [ 検索エンジンの交換 ] ----------------------------------- しまった−、libvsapi.so バックアップとる |http://192.168.1.1:1812/interscan の忘れてしまった。バックアップ取らないか |---------------------------------- んと思いながら忘れた。いや−、問題なかっ | Turn On/Off InterScan たみたいだから、良かったものの。冷や汗も | んだバイ。金曜日、皆がそそくさと帰ったの | [ON|OFF] MAIL ON を見届けて、ちゃっと作業した。 作業:OFF にして # cp katou.so libvsapi.so とコピ−して ON にする。 # ls -l libvsapi.so -r-xr-xr-x 1 root sys 1539760 10月 26日 17:45 libvsapi.so # ls -F InterScanCmd.smtp| intscan.ini office_update@ tm951.bak JavaScan.zip@ intscan.ini.orig@ officecall.ini@ tm953.bak S88sendmail.orig* iscanpsw@ perfmon@ tm955.bak arglist@ isswitch.cgi@ pkg/ tm957.bak cleanscan@ jsapi.dll@ prescan.cgi@ upgrade@ config@ libvsapi.so@ sendmail@ uplog@ daemonhup.sh@ license@ setupex.exe@ virinfo@ eoiscan.input@ log.2001.02.05 shutdown.cgi@ virus@ gentrial@ lpt$vpn.157 srvscan@ vsapi32.dll@ index.html@ macr$gen.600@ start.cgi@ vscan@ install.html@ macro.lst@ tm683.bak@ # ./vscan -v lpt$vpn.XXX パタ−ンファイルはどんど Virus Scanner v3.1, VSAPI v5.500-0829 んたまるので、古いのは手作業で消して Trend Micro Inc. 1996,1997 きた。lpt$vpn.957 が最新だった。それ Pattern version 157 が、新しい検索エンジンにしたところで Pattern number 42804 百番台に戻って、lpt$vpn.157 になって No scan target specified!! do nothing. いるのが分かる。 * InterScan その後の設定と運用 2002年末記載。その後、実際に運用して行って上記の設定をどうして行ったか。ウィ ルスの入ったメ−ルを送信した人に、警告のメ−ルを送るのを先ずは止めた、Warning to sender。特に相手さんを刺激することはない。受信者にも、ウィルス入りメ−ルが来た旨 の警告メ−ルを送るのは止めた、Warning to recipients。 ウィルス入りメ−ルは今や日 常茶飯事である。いちいち来ましたとユ−ザに知らせることはない。ネットワ−ク管理者 だけが、傾向として掴んでおくため、ウィルスが入っていた旨のメ−ルを受ければいい。 ウィルスがきた場合の処置は、これまで Action on Viruses: で Auto Clean の Move に していた。それを Auto Clean でない、ただの Delete に変更した。メ−ルに添付ファイ ルとしてウィルスが付いていれば、ともかく添付ファイルを消去する。プレ−ン・テキス トのメ−ル部は受信者に届く。 Auto Clean だと添付ファイルのウィルス部分だけ駆除し ようとするが、完全に駆除できない場合がある。どうやら二重にウィルスに感染したファ イルがあって、一つは駆除したが、もう一つが駆除されずに入って来たケ−スがあった。 メ−ルのサイズを無制限から、最大 3 Mbyte に制限した、Maximum size:3072。キロバイ ト単位である。5メガ位まででもいいかも。超えるサイズのメ−ルには、InterScan から 送信者にだめよとメ−ルが行く。メ−ルの最大サイズはこれこれまでと、社内通達を出し ても、Word や Excel の巨大な添付ファイルを送ってしまう輩が跡を絶たない。社内メ− ルで、Cc などで20人位に送ったケ−スがあって、 メ−ルストアのマシンがディスクが 一杯になり sendmail が動かなくなったことがあった。 sendmail でもメ−ルサイズの制 限をかけることができるが、InterScan の機能を利用する方が手っ取り早かった。 * 少しでもウィルスを排除したい `24/03 MyDoom とか NetSky とか2004年に入って、 すごい勢いでウィルス入りメ−ルが増え ている。それまで1日10通ぐらいの感じだったのが、100とか200というオ−ダで ある。これはひどい。NetSky は特に亜種がどんどん出て来て、 対策のパタ−ンファイル が作成される前に即やってきて、ウィルスチェックソフトを通り抜けてしまう。そんなこ とで1週間ぐらいの間にウィルス入りメ−ルの10%程度が通り抜けてしまった。なんと か少しでもウィルスを排除する手段はないものか。現在毎日、午前4時にパタ−ンファイ ルを自動でダウンロ−ドしている。これ以降に届いたメ−ルなら対処できるが、4時以前 に来たメ−ルに対しては対処できない。実際社員が会社にでてきて POPアクセスし、メ− ルを取るまでには時間がある。InterScan VirusWall にはファイルを対象にウィルスチェ ックもできる。この留まっているメ−ルをファイルとしてチェックすることにした。 Virus-A Virus-B Pattern File 溜まっているメ−ルを 発生 発生 Virus-A 対応 ファイルとしてチェック ↓ ↓ ↓ ↓ 9 12 4 7 ----|----------------|------------------|----------------|------- ↑ ↑ ↑ ↑ Virus-A 入り Virus-B 入り Virus-A 入り メ−ル1のウィルス検出 メ−ル1 通過 メ−ル2 通過 メ−ル3 検出 メ−ル2のウィルス通過 [Configuration] -> [File Scan] の {Prescheduled Scan} で設定する。毎日、午前7時 に /var/mail 以下のディレクトリのファイルを全てをウィルスチェックする。 [Manual Scan] の [Scan Now] で、上記のファイルチェックを直ちに実行するできる。ユ −ザ200人以上で、ままメ−ルを溜めている人もいたりする。十秒ぐらいで終わった。 * パタ−ンファイルの980番問題 `24/09 パタ−ンファイルが980番で、InterScan VirusWall が最新のウィルスチェックができ なくなるので、バ−ジョンアップしてくれとのこと。パタ−ンファイルの番号を3桁以上 に対応する新パタ−ンファイル管理システム( NPF )に移行すること。 2000年問題の ような話である。パッチを何がしか当てればいいと、 たかを食っていたら Sun のマシン では、Solaris 2.7 以上でないとそもそも対応しないことが分かった。トレンドマイクロ から一杯書いたメ−ルが来るので、そのくだりを見落としてしまっていた。番号が97X 番という時、急遽パソコンを Linux の暫定マシンにして、InterScan VirusWall v3.8 最 新版を入れて稼働させた。2004年9月26日夕方のメ−ルで980番終了したとメ− ルが来た。間一髪だった。構成は、外から内へはメ−ルリレ−から暫定マシンを経由して メ−ルストアへ、最新のウィルスチェックをする。内から外へは変更なしで、メ−ルスト アからメ−ルリレ−へ、980番までのウィルスチェックをさせる。 □ Router hostA'□ メ−ルリレ− | |.3 -------------*------------------------------------ 202.241.128.0 | BIND 8.2.3 in.named ------- hostA □ sendmail 8.12.5-BIND, cf作成 sendmail.cf | | | | |---------------- sendmail 8.8.5-HOSTS, 万能sendmail.cf ------- 暫定マシン Qpopper 3.0.2 | □ Linux hostB □ InterScan v3.5 | .11| .1| ---------*------------------------------------ 192.168.1.0 InterScan v3.8 メ−ルストア [ メ−ルリレ−での設定 ] /etc/mail/access /etc/mail/mailertable ------------------------------ -------------------------------- |Connect: 192.168.1.11 RELAY |nix.co.jj esmtp:[192.168.1.11] |To: nix.co.jj RELAY |nix.co.jj RELAY # cd /etc/mail # ./makemap dbm access < access これら操作をするだけでいい、sendmail # ./makemap dbm mailertable < mailertable は再起動はしなくてもいい。 暫定マシンの Linux は小生の部下が作った。Linux での sendmail や qmail などメ−ル サ−バの設定は、時間が無かったので何もいじらなかった。Linux での InterScanはメ− ルを受けて次へのホスト 192.168.1.1 を指定しただけである。 これらの設定では、内か ら外へのメ−ルは、hostB -> Linux -> hostA とは行かなかった。hostB の InterScanで はパタ−ンファイルを取りに行くのを OFF とした。Linux の InterScan では、最新バ− ジョンで1時間毎にパタ−ンファイルを取りに行くことができるので、そのように設定し た。以上のことで InterScan の使い方で、興味深いことが一つ分かる。 InterScan はサ −バとして複数設置することができる。ウィルスチェックは SMTP の他、HTTP や FTP 用 としてサ−バを設置してもいい。どうやら InterScan のライセンスの考え方は、 守るべ きクライアントの数が問題で、サ−バはどのようにしても構わないということらしい。 * InterScan のいろいろなアナウンス `23/06 整理しないと毎日一杯メ−ルが来る。これでは肝心なことを見過ごしてしまう。トレンド マイクロにユ−ザ登録すると、 どうも勝手に以下 1)〜11) までのメ−ルや電話などが来 るようになる。何でこんなに毎日来るのだろうと思いながら、ずっとほかっておいたのだ が。調べてみたらトレンドマイクロのサイトのユ−ザ登録のところで、各種メ−ルサ−ビ スが全部 "●希望します" になっていた。希望したかな、覚えがないが。ともかく全部は 必要ないぞ、ウィルス警告メ−ルだけにした。 CTCからも InterScan 運用に関する知 らせは来るので、情報は十分である。 後 InterScan でウィルスを検出した旨のメ−ルを 管理者にも出すようにしているが、これはそれぞれの判断で無くしてもいいだろう。小生 はどんなウィルスがどれぐらい来ているのか、ざくっと掴むためそのままにしておくつも りである。 [ トレンドマイクロから出るもの ] InterScan ユ−ザ登録 1) ウィルス情報 ---- ほぼ毎日。 2) 新種ウィルス情報 --- 10日に1回ぐらい。 3) eDoctor Station News --- 1ヵ月に1回。 4) eDoctor Station ウィルス検索エンジン公開のお知らせ --- 数か月に1回。 5) eDoctor Station パッチ、リリ−スのお知らせ --- さあ半年に1回。 6) eDoctor Web[セミナ−開催のお知らせ]--- たまに。 7) ウィルス警告メ−ル!(速報)--- たまに。 8) 企業向けセミナ−情報 --- たまに。 9) アンケ−トなど調査ご協力のメ−ル --- たまに。 10) ソリュ−ション サ−ビスパックCD-ROM --- 年4回送付の封筒(いらんな)。 11) 電話もたまにかかってくる --- エンジンをアップしましたか等と。 ※ アップデ−ト CD-ROM の出張インスト−ルのサ−ビスはない。 ※ 最新版はインタ−ネットからもダウンロ−ドできる。 [ CTCから出るもの ] InterScan サポ−トメ−リングリスト登録 12) パタ−ンファイル更新のお知らせ(昔は3日に一度ぐらい、今は毎日)。 13) InterScan VirusWall 検索エンジン VSAPI 6.510 のご案内。 14) InterScan VirusWall パッチ、リリ−スのお知らせ。 15) InterScan eManager 3.71 Solaris 版リリ−スのご案内。 [ ソフトから出るもの ] 16) ウィルスを見つけましたとの管理者( root )宛のメ−ル。毎日一杯。 *** トレンドマイクロの InterScan ユ−ザ登録 *** ---------------------------------------- | http://inet.trendmicro.co.jp/as/... |--------------------------------------- | eDoctor Station | | (登録情報 削除/変更) | | ▽お客様情報 | | ▽メ−ル配信 | eDoctor Station News | ○希望します ●希望しません | 新種ウィルス情報 | ○希望します ●希望しません | ウィルス警告メ−ル | ●希望します ○希望しません << 感染の可能性が高い。破壊力が | ウィルス情報 高いウィルスの発生を知らせる。 | ○希望します ●希望しません | アンケ−トメ−ル | ○希望します ●希望しません | | [更新] [リセット] ------------------------------------------------------------------------------------ [ 付録 ] InterScan いろいろ * InterScan の設定によりエラ−メ−ルの処理がおかしくなったこと `22/05 ここでは外部の mika@tcp-ip.or.jj から 社内の誰か宛にウィルス入りのメ−ルが送られ てきたとする。InterScan はウィルス入りメ−ルを送った相手に、警告のメ−ルを送り返 すように設定している。その時の発信者のメ−ルアドレスは下記のようにroot@localhost である。つまり実際には root@localhost.nix.co.jj という発信者アドレスとなる。 Notifications: エラ−にならないよ "From" address used in notification: | root@localhost | うにするには、ただ 〆Warning to sender << メ−ルの送信者に警告。 の root にすること。 mika@tcp-ip.or.jj というメ−ルアドレスが偽の場合、メ−ルを送っても直ぐにそのよう なアドレスはないですと、エラ−メ−ルが返ってきて終わりとなる。 mika@tcp-ip.or.jj がちゃんとしたアドレスで、 かつ相手メ−ルサ−バが発信者アドレスの DNS を調べるよ うになっている場合、localhost.nix.co.jj なんていうドメイン名はないとして、メ−ル を受け取らない。しかし、こちらのメ−ルリレ−のサ−バは再送し続け、5日経ってやっ と諦める。そして Mailer-Daemon から postmaster宛にダメでしたとエラ−メ−ルを送る。 それが下のメ−ルの内容である。postmaster 宛は hostB の /etc/aliases により katou、 つまり katou@nix.co.jj 宛で、直接 sendmail で katou@indy.nix.co.jj に送っている。 From: Mail Delivery Subsystem To: postmaster@nix.co.jj Subject: Returned mail: Local configuration error ---------------------------------------------------------- From MAILER-DAEMON Tue Apr 30 11:16:31 2002 Return-Path: <> Received: from hostB.nix.co.jj (mail [192.168.1.1]) by indy.nix.co.jj (8.9.1/3.7W) with ESMTP id LAA09314 for ; Tue, 30 Apr 2002 11:16:30 +0900 (JST) Received: from localhost by hostB.nix.co.jj (8.8.5/nix.1.0) id LAA25958; Tue, 30 Apr 2002 11:15:02 +0900 (JST) Date: Tue, 30 Apr 2002 11:15:02 +0900 (JST) From: Mailer-Daemon@nix.co.jj (Mail Delivery Subsystem) Subject: Returned mail: Local configuration error Message-Id: <200204300215.LAA25958@hostB.nix.co.jj> To: postmaster@nix.co.jj Auto-Submitted: auto-generated (failure) The original message was received at Tue, 30 Apr 2002 11:15:01 +0900 (JST) from localhost [127.0.0.1] ----- The following addresses had permanent fatal errors ----- ----- Transcript of session follows ----- 553 localhost.nix.co.jj config error: mail loops back to me (MX problem?) 554 ... Local configuration error ----- Original message follows ----- Return-Path: Received: from hostA.nix.co.jj by hostB.nix.co.jj (8.8.5/nix.1.0) id LAA25956; Tue, 30 Apr 2002 11:15:01 +0900 (JST) Received: from localhost (localhost) by hostA.nix.co.jj (8.9.1/3.7W) with internal id LAA09525; Tue, 30 Apr 2002 11:12:36 +0900 (JST) Date: Tue, 30 Apr 2002 11:12:36 +0900 (JST) From: Mail Delivery Subsystem Subject: Returned mail: Cannot send message within 5 days hostA で # mailq Message-Id: <200204300212.LAA09525@hostA.nix.co.jj> とたたくと、メ− To: ルが溜まっている MIME-Version: 1.0 のが見える。 Content-Type: multipart/report; report-type=delivery-status; boundary="LAA09525.1020132756/hostA.nix.co.jj" Auto-Submitted: auto-generated (failure) This is a MIME-encapsulated message --LAA09525.1020132756/hostA.nix.co.jj The original message was received at Thu, 25 Apr 2002 11:10:56 +0900 (JST) from hostB [192.168.1.1] ----- The following addresses had permanent fatal errors ----- ----- Transcript of session follows ----- ... while talking to tcpip.jj.: >>> MAIL From: SIZE=97 <<< 450 ... Domain not found ... Deferred: 450 ... Domain not found Message could not be delivered for 5 days Message will be deleted from queue --LAA09525.1020132756/hostA.nix.co.jj Content-Type: message/delivery-status Reporting-MTA: dns; hostA.nix.co.jj Arrival-Date: Thu, 25 Apr 2002 11:10:56 +0900 (JST) Final-Recipient: RFC822; mika@tcpip.jj Action: failed Status: 4.4.7 Remote-MTA: DNS; tcpip.jj Diagnostic-Code: SMTP; 450 ... Domain not found Last-Attempt-Date: Tue, 30 Apr 2002 11:12:36 +0900 (JST) --LAA09525.1020132756/hostA.nix.co.jj Content-Type: message/rfc822 Return-Path: Received: from hostB.nix.co.jj (hostB [192.168.1.1]) by hostA.nix.co.jj (8.9.1/3.7W) with ESMTP id LAA04154 for ; Thu, 25 Apr 2002 11:10:56 +0900 (JST) From: root@localhost.nix.co.jj Received: from localhost by hostB.nix.co.jj (8.8.5/nix.1.0) id LAA00566; Thu, 25 Apr 2002 11:13:10 +0900 (JST) Date: Thu, 25 Apr 2002 11:13:10 +0900 (JST) Message-Id: <200204250213.LAA00566@hostB.nix.co.jj> To: mika@tcpip.jj Subject: Virus Alert Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit ここに化けた文字 << ここは InterScan で設定したメッセ−ジが入るはずなのだ が、どうも用いているメ−ルソフト、Zmail がメ−ルのヘッ ダ−で対応してない部分があって化けているのでないか。