18-4. 有効な迷惑メ−ル対策の実施 `27/12〜 (1) 改めて迷惑メ−ル対策装置の調査 `28/03 * 迷惑メ−ル対策アプライアンス 先ずは迷惑メ−ルの方を対策しないといけない。よくよく考えたらかなりやっかいである。 既存の Mail-Store と Mail-Relay はいじりたくない。となると透過型の製品しかなくな る。透過型といえば PacketBlackHole みたいなやつ?、 迷惑メ−ルのチェックはかなり 負荷のかかる処理だといわれる。コンピュ−タにソフトウェアを入れてチェックさせるの は、SI業者さんなどもあまり推奨はしないみたいである。専用のアプライアンスを入れ た方がいいとのことだ。自分もそう思う。SI業者のNはミラポイントとアイアンポ−ト それに一応シマンテックも扱う。SI業者のCはマカフィ−を扱う、前はトレンドマイク ロも扱っていたが今はやってない。 内はC社に InterScan を入れてもらったのだが、扱 ってないのではトレンドマイクロの製品にするのは考えてしまうぞ。 メ−カ | InterScan | McAfee | ユ−ザ数 -----------|------------------------------|--------------------------|---------- 両方とも | Gateway Security Appliance | Secure Internet Gateway | 中規模 -----------|------------------------------|--------------------------|---------- メ−ルのみ | Messaging Security Appliance | Secure Messaging Gateway | 大規模ユ Webのみ | Web Security Appliance | Secure Web Gateway | −ザ向け McAfee の Secure Internet Gateway(SGA) の 3100 は250名以下、3200 は千名以下で。 Secure Messaging Gateway と Secure Web Gateway の 3300 は千名以上。 InterScan の Messaging Security Appliance と Web Security Appliance が新製品として2007年 11月の総合パンフレットにでていた。これらは千人以上の企業などでの利用を想定した 製品である。SGA 3100 はスル−プット 25 Mbps で、メ−ルだけなら1000ノ−ドまで、メ −ルとWebなら 500 ノ−ドまでとも記載がある。 * トレンドマイクロ InterScan Gateway Security Appliance、1U。発売は 2006/10。千人以下の企業などで の利用。メ−ルとWebのセキュリティを守る。装置が壊れてもパケットは内部でバイパ スする。パソコン使用のユ−ザ数が500だと、モデルは IGSA M600 の最大ユ−ザ数600 で新規初年度 2,586,000円、2年目からは約百万円。透過型で設置する。spamの隔離 はできない。メ−ルの件名に SPAM とか付けるか、装置でspamと判断したメ−ルを削 除してしまうかである。spamの隔離ができないことで、候補から外すしかない。 Messaging Security Appliance はエンドユ−ザメ−ル隔離(EUQ)ツ−ル。LDAPかADが必須。 管理画面は英語。透過型ブリッジは駄目。平日9時5時のセンドバック保守、オンサイト 保守なし。ユ−ザにはspamメ−ルが何通きたと知らせるメ−ルが行く、リンクがあっ てクリックするとWebによる隔離画面が開いて、来たspamのリストが見えて各自処 理できる、全体に日本語対応になっている。InterScan 利用ユ−ザには Advanced 500 で 優待価格で 180万円(今キャンペ−ン中)。次年度保守 123.5万円、ハ−ド保守29.7万円。 料金はどうなる。InterScan を利用しているところは、新規で買い直さなくていい。追加 オプションの料金を払えばいい。現在Hランク契約(350-499)でライセンス数 499 とする、 毎年更新料は (4,290円/2)*499+税。SPS の料金はアカウント数 250-499で 1,800円、更 新価格も同じ。これはメ−ルアドレスの数でカウントする。 これまでの InterScan はク ライアントの数でとなっている。 つまり SPS ではパソコン1台で複数のメ−ルアドレス を持っている場合は、その数でということになる。 [1] ---------- MX1 間に挟むこ [3] ---------- MX1 MRを置き換える。 | ◆MR ともできる | ■MSA 装置購入180万円。 | | ↓ | | 翌年から150万円。 □--------------- □--------- | ■MSA → ●MS | ●MS + InterScan Version 5 | | | | | ウィルスメ−ル対策。 ------------------------ ----------------- この更新料金も必要。 [2] ---------- MX1 [4] --------- MX1 | ◆MR ← ■MSA | ◆MR + InterScan Version 7 | | ↓ | | | + SPS 迷惑メ−ル対策。 □----------------- □-------- | ●MS | ●MS + InterScan Version 5 | | | | ウィルスメ−ル対策。 ------------------------- --------------- この更新料金も必要。 ※Messaging Security Appliance(MSA), Email Reputation Services(ERS)。 トレンドマイクロのspamメ−ルのレピュテ−ション機能 ERS は、 直接に外からメ− ルを受ける場所に、アプライアンス(MSA) なり迷惑メ−ル対策ソフト(SPS) がないといけ ない。つまり[1]の構成はだめである。よい子では InterScan VirusWall を使っているの で、SPS を使うプランを先ずは検討した。つまり [4]のプランである。しかしMail-Relay のマシンに新規に InterScan Version 7 をインスト−ルしなければならない。 そのため には少なくとも数時間 Mail-Relay サ−バを止めることになるだろう。今や数分でさえイ ンタ−ネット系サ−バは止めることができないのに、こんなプランは採ることはできない。 * シマンテック Symantec Mail Security 8340 LDAP か AD と連携して各ユ−ザが隔離領域を見にいける。AD が動いてないとユ−ザがメ −ルを出せない取れないということはない。先ずは件名に SPAM とか付けてしばらく運用 してみる。誤検知はないね、だったら隔離しても大丈夫だと隔離にする。spamメ−ル は一括して1つの隔離領域に入る、管理者が誤検知を確認できる。エンドユ−ザ向け検疫 通知は、各ユ−ザに隔離したメ−ルのダイジェストを、例えば毎朝何時とかにメ−ルで送 る。各ユ−ザはログイン不要でWeb画面で隔離したメ−ルをチェックできる。導入企業 などで LDAP/AD 連携して、隔離うんぬんをやっているのは実際のところ少ないらしい。 `28/01のセミナ−資料によれば導入簡単、デフォルトのままでspamを結構弾く。国内 シェアは上からバラク−ダ、シマンテック、ミラポイント、アイアンポ−ト、アイマトリ ックスだそうだ、2006年度の出荷台数から。本当かやマカフィ−が出てないけど。メ −ル処理能力は高いと書かかれている、8360 は20通程度/秒、8380 は32通程度/秒。 平均メッセ−ジサイズ 60KB でウィルスとスパムのチェックをさせた場合でのこと。すで にウィルス対策として InterScan を入れているユ−ザが、 この装置を加えて導入する事 例が多く紹介されていた。メ−ルのアンチウィルスとコンテンツフィルタリングあり。 [1] ---------- MX1 MX2 Symantec Mail Security 8340。1U 44.7Wx4.3Hx54.6D | ■SMS ◆MR メモリ2GB、ディスク 80GBx2 RAID1、ユ−ザ数の目安 | |↑↓ | | 100〜1000。 □------|-------| | ●MS ←―― SMS で受けて MSへ。SMS が止まっている場合は MRで | | 受けて MSへ。MS からは SMSへ投げる、外へのメ−ル -------------------- もチェックする。隔離メ−ルは装置の中にできる。 [2] ---------- MX1 MRを置き換 [3] ---------- MX1 間に挟む。SMS は透過 | ■SMS えてしまう | ◆MR 型ブリッジで設置でき | | | |↓ るとは書かれていない。 □------------ □---------- | ●MS | ■SMS → ●MS | | | | | -------------------- ------------------------ spamの判定は結構、負荷がかかる。大量にメ−ルがやってくるところでは、spam チェックする前に、あらかじめチェックするメ−ルを極力減らすことが必要になる。その ための装置が Symantec Mail Security 8160、これでトラフィック・ショ−ピングを行な う。spamらしいメ−ルの発信IPアドレスをセンタ−で収集する。spamらしい割 合から受け取るメ−ルの数の流量制限(スロットリング)をする。spamらしさが高けれ ば、単位時間当たりに受け取るメ−ルの数は少なくなる。結果的にまともそうなメ−ルが 優先して通されることになる。設置は Mail-Relay の前に、例えば透過型ブリッジで置き SMTP パケットのみにこの処理を行なう。8160 は `25/09 のパンフレットには出ていた。 * マカフィ− Secure Internet Gateway 3100 か 3200 [1] [2] [3] [4] MR:Mail-Relay ------------ --------- ↓ ------ ◆MR ------- ◆MR MS:Mail-Store | ■MR兼SIG |MR◆←■SIG | | | SIG | | | | | | □------ □--■----- SIG 2台での冗 □------- □--------- | | 長構成もできる。 | ●MS | ●MS SIG■ ●MS | ●MS 1台スタンバイ | | | | | | | | か2台とも稼働。 ------------ ------------- ----------- ------------- 明示的プロキシ 透過型ブリッジ or 透過型ル−タ McAfee Secure Internet Gateway(SIG) の 3100/3200/3300、能力の違いだけである。 価 格は Google で検索して NTT-ME のサイトに出ていた、多分消費税込み。3100 が 86.6万 円、サポ−ト料は初年度から必要で 28.8万円。3200 が 173.2万円、サポ−ト料57.7万円。 3100 はスル−プット 25 Mbpsでメ−ルだけなら1000ノ−ドまで、250名以下とも記載。ラ イセンス数うんうんということはない。LDAPサ−バがなくても各ユ−ザにspamのレポ −トメ−ルを出すことができる、確か装置にユ−ザを直接登録すればよい。LDAPがあれば 装置に各ユ−ザの隔離領域を作って、直接各ユ−ザがアクセスできる。 LDAP か AD があ ればそのユ−ザ情報を使えるので便利ということ。 model 3100 は推奨最大ノ−ド数 400 で RAID なし。D546xW426xH42.6 model 3200 は推奨最大ノ−ド数 800 で RAID 1。 D772xW426xH42.6 迷惑メ−ルにはメッセ−ジダイジェスト機能あり。各ユ−ザに隔離したスパムを HTML メ −ルで知らせる。メ−ルを削除とかリリ−スするとかできる。その場で見ることはできの かな。マカフィ−によれば迷惑メ−ルではなく、もはや危険なメ−ルだ。判定用のル−ル とエンジンを週に5回とってくる、外のDBに毎度判定を尋ねに行くのではない。画像ス パム対応、送信者IPレピュテ−ション。メ−ル本文の中の URLも怪しいかDBで判定す る、このDBもダウンロ−ドしてきた中にあるのか?。スコアを付けて、ある点数内で明 らかにスパムなのは破棄、隔離、通過と処理する。 設置は透過型ル−タ、透過型ブリッジ、プロキシ型がある。7〜8割の顧客は透過型ブリ ッジを採用しているとのこと。透過型ブリッジはネットワ−クの構成を変更しなくてもい い、2台のメ−ルサ−バの設定も何もいじらなくてもいい。管理用のIPアドレスはいる。 マカフィ−によれば、他社の製品で透過型ブリッジはまともに動かない。プロキシ型は明 示的プロキシと呼んでいる、Cisco や BlueCoat とICAP対応。プロキシ型と過型ル−タは HTTP, FTP も対象にできる。透過型ル−タはファイアウォ−ル直下におく。スパニングツ リ−による複数台の冗長化、ロ−ドシェアリングによる負荷分散機能がある。 Webフィルタリングはオプションで McAfeeのサイトに出ている料金では、500未満ライ センスで1年2,000円、500 以上で1,590円。サブスクリプション・ライセンス(購読料)と いう。税込みは 250〜499 は 2,100円1年、2年3,580円、3年5,050円。怪しいサイトの 閲覧を防止する SiteAdviser 標準搭載。 Webフィルタ−の SmartFilter は BlueCoat にもOEMで使われている、日本語サイトもちゃんと対応している。例えば2chのアダ ルトは駄目とか細かく制御できる。その他、アンチウィルス/アンチスパイウェア/フィ ッシング対策/情報漏洩対策のメ−ルコンテンツフィルタ−は標準搭載する。 * アイアンポ−トのこと ビッグサイトの展示会で `28/05/16 に聞いたこと。装置にユ−ザ登録ができる。LDAP が なくても装置のユ−ザ登録がなくても、各ユ−ザに通知メ−ルは出せる、HTMLメ−ル。装 置は静かである。扱っているところによるとこれまで一番売れたとのこと。Mail-Relayの 置き換えとして設置する。アイアンポ−トのIronPort C150 1台目は約130万円、予備 として2台目は約65万円。`27/01 に Cisco 社に買収された。価格は2つの体系がある。 ライセンス数掛ける単価。本体価格プラスライセンス数掛ける単価。500位までならラ イセンス数掛ける単価の方が安いとか、単価は 4,300 円ぐらい。 * 関連ニュ−ス `28/03/12 の晩、家で asahi.com を見ていたら "トレンドマイクロのHP改ざん 閲覧で ウィルス感染も" が飛び込んできた。なんていうこと。9日から12日まで改竄されたホ −ムペ−ジ、ウィルス情報ペ−ジがでていたという。閲覧したり、中身のURLをクリッ クするとウィルスに感染する恐れがあった。パソコンに入って情報を盗むトロイの木場型 のウィルスをダウンロ−ドしてくる。この後、トレンドマイクロだけでなくかなり広範囲 に多くのサイトでホ−ムペ−ジの改竄が起こった模様。どうもトレンドマイクロの最近の 印象として組織に緩みが出ているのでないか。扱う業者も減っている気がするし。 * 迷惑メ−ル対策装置の選択 いろいろ検討してきたが、選定するのに一番重要なことは、設置作業をちゃんとやれる会 社であること。そうなると、これまでメ−ルサ−バやファイアウォ−ルの設置設定をやっ てくれて来たSI業者さんが扱える、できるものを選ぶしかない。その装置以上に優れた 物があれば、また考えないかんが。どうも自分の中で候補に挙げている製品は、似たよう な物だと感じる。やはり誤検知はどうしたって少しはあるだろうし、スル−させてしまう のもあるだろう。プロバイダが導入した装置を幾つか聞いた、アイアンポ−トとかアイマ トリックスとか。プロバイダではユ−ザへの迷惑メ−ルは隔離せずに、件名に"SPAM"とか 付けるのみである。まあ勝手に隔離したり破棄はできないということである。企業では2 番目の条件として隔離を必須にしたい。おかしなメ−ルはパソコンに来るだけでメ−ルソ フトがおかしくなることがある。メ−ルを POP3 でダウンロ−ドしてきて、何や整理する 動作で処理が止まってしまう。家の Netscape Messenger ではちょくちょくある。 -------------------------------------------------------------------------------- 2008年は勢いに乗っていた感のあるマカフィ−社。2009年はトレンドマイクロ社 が盛り返したような感がある。その後2011年時点でもトレンドかという感じである。 -------------------------------------------------------------------------------- (2) spam対策はマカフィ−で行くか `28/06 * McAfee Secure Internet Gateway 3100 で行こう 結局やめたけど Webレピュテ−ション機能とプロキシサ−バの機能もあるがどう考える。マルウェアな どが潜んでいる危険なサイトを検知するWebレピュテ−ション機能がマカフィ−の装置 には最初から入っていて、オプションの追加料金は必要ではない。スポ−ツサイトなどを 見れないようにするのが、URLフィルタリング機能でこちらオプション料金が必要であ る。Webのプロキシサ−バの機能はどうだ。しかしプロキシとしてだけであり、キャッ シュ機能はない。懇意にしているSI業者のエンジニアとも相談したら、キャッシュ機能 がないことには注意したいとのこと。能力のやや高いサ−バでフリ−ソフトのSquid でキ ャッシュサ−バにするのがいいのでないか。これらをやろうとすると 3100 では能力不足 だろう、1つ上の 3200 にしないことには。それに透過型ブリッジで設置はできないかも 知れない。いろいろ機能はあって魅力的だが、それらは別に考えた方がよさそうである。 購入する前にマカフィ−が各地で開催している LiveDEMO に参加して、実際触ってみるこ とをお勧めする。かなり内容の濃い実習で昼から夕方まで4人前後、どんどん進んでいく のでついていくのがやっという感じである。ベンダ−の人で2回目参加の人とか付き合い のあるSI業者の若手エンジニアもいた。 参加すると Sales Support センタ−に細かい ことをメ−ルで尋ねることができる。それで触ってみた自分の感想。非常に機能が多いと いうのが実感。つまり設定は sendmail などメ−ルサ−バのオプションを熟知していれば どないでもできるだろうという感じ。反対に素人さんには設定はほとんど無理、SI業者 などにお任せでやってもらうしかない。また実習は VMware を使ったパソコンでやるので VMwareのことも少しは分かっていないと最初からつまずいてしまいかねない。その後、実 習に出ていたベンダ−がお客さんに導入した、spam排除は満足との話を聞いた。 * 装置の配備と運用開始 Mail-Store のすぐ下に透過型ブリッジで設置する。 装置のIPアドレスは付ける必要は あるが、Mail-Store とハブの間にかますだけである。 既存の2つのメ−ルサ−バである Mail-Relay と Mail-Store は全くいじらなくてもいいのは、この構成しかない。 透過型ブリッジ構成のメリットは装置の動作がおかしいと思えば装置を取り去ればいいだ けである。そのため実際の運用では装置の予備は特に用意しないでおく。装置設置の初期 の段階ではやたら誤検知が多いとかいろいろ起こるだろう。そうした場合は一時的に外す。 この装置は、グル−プで LDAP 情報を使うユ−ザと装置内に登録したユ−ザに分けて管理 ができる。LDAPサ−バが準備できてから LDAP を見るようにユ−ザを変更していく。LDAP 設定の資料をちらっと見たが、DN の構造とか幾つかのクエリとか難しそう。 LDAP利用が装置設置までに間に合えばいいが、間に合わなくても一括隔離ということで運 用を始めることができる。とりあえず管理者がメ−ルの誤検知をチェックする。LDAPにユ −ザを登録した分からグル−プにして、隔離メ−ルの扱いを各自できるようにしていける。 迷惑メ−ルは装置などに隔離し、ユ−ザには迷惑メ−ルのダイジェストを送ること。ダイ ジェストとは HTML メ−ルで、マカフィ−の装置ではどこから来たメ−ルか件名などを日 本語表示する。これで正常なメ−ルかはほぼ判断できる。メ−ル本文は日本語は化ける。 実践配備する前に、この装置がもっている他の機能も試しておきたい。メ−ルのウィルス チェックもできるわけだし。透過型ブリッジで設置すると危険なサイトへのアクセスのブ ロック、つまりWebレピュテ−ション機能を確かめることはできないかも知れない。 MQM という Windows サ−バ上のspam隔離領域と確認ソフトは必要か。 ここまではい らないのでないか。ダイジェストのメ−ルを各自が毎度、見ていればそれで十分でないか と思う。改めてまともなメ−ルが無かったか後からチェックするようなことはないと思う。 ------------------------- マカフィ−の TRY & BUYプログラム。未 | □ Mail-Relay 使用の新製品を30日間評価でき、気に | | 入ればそのまま買っておいておくことが FireWall □-------------- できる。新しく POP3 のスパム対策に対 | LDAP□ Mail-Store 応、これでspam検知の評価ができる。 | | | spam ■ □ Mail-Store McAfee Secure Internet Gateway の装 | 対策 | | LDAP 予備 置は Mail-Store のすぐ下に設置する。 ------------------------------ [ 隔離したメ−ルの各ユ−ザへのメ−ルでの通知 ] ・迷惑メ−ルがきてますと各ユ−ザにメ−ルする。メ−ル本文のURLをクリックすると 装置のWeb画面がでてくる。ここで確認できる。1つクッションがある。Web画面 にアクセスするのにパスワ−ドがいるのと、いらないのとがある。いらないのは、メ− ルのURLのところに認証情報が埋め込まれている。 ・こんな迷惑メ−ルがきてますとリストになっていて、そのメ−ルでもう確認できる。メ −ルソフトを開いて、今日の迷惑メ−ルを一応チェックしておこうとダイジェストのメ −ルを開くと、すぐに一覧が見える。こっちの方がスマ−トでいい。IIJのサ−ビス はこちらの方式だった。マカフィ−のもこれである。 * マカフィ−の装置の確認その1 AD( Windows の Active Directory ) 1) 装置にユ−ザのアカウントを登録してない、LDAP や AD を見るようにもしてない。 各ユ−ザのメ−ルアドレスにより、迷惑メ−ルは各ユ−ザに HTML でダイジェストを送る。 ダイジェストは日本語になっている。隔離されたメ−ルはダイジェストからは表示できな い。メ−ル本文を見たい場合は、ダイジェストの操作で各自手元に改めて送信する。あら かじめ、まともなメ−ルアドレスはホワイトリストに登録できる。 迷惑メ−ルは装置内に一括して保管される。管理者はWebで保管された迷惑メ−ルの一 覧を見ることができる。一覧リストは日本語化されている、しかしメ−ルの本文は日本語 表示に対応してないので、文字が化ける。各ユ−ザは一括して保管されている迷惑メ−ル は見ることはできない、管理用Webにアクセスできないということ。 2) 装置にユ−ザのアカウントを登録する、LDAP や AD を見るようにしている。 装置に各ユ−ザのメ−ルの隔離領域を作ることができる。これで直接、各ユ−ザが隔離領 域にWeb画面でアクセスできる。アクセスの際には各自のアカウントを入れること。保 存されている期間内のメ−ルを検索できる、しかしメ−ル本文の表示は文字が化ける。 各自がWeb画面で、メ−ルの件名で迷惑メ−ルでなかったか判断し、手元に送信して確 認することになる。もちろん、迷惑メ−ルのダイジェストのメ−ルは各ユ−ザに送ること はできる。1) だと各自が毎日ちゃんとダイジェストを見るしかない。 登録したアカウント、LDAP や AD によりアカウントを調べて、Unknownユ−ザへのメ−ル を拒否または破棄する事ができる。破棄しないと、関係ないところにメ−ルが飛んでいっ て、逆に当社がよそに迷惑メ−ルを出すことになってしまう。 3) MQM( McAfee Quarantine Manager )を用意する場合 迷惑メ−ルの隔離領域を大きくとりたい場合 MQM を用意する。 MQM ソフトを動かすには Windows Server 2003 などが必要である。複数のマカフィ−の装置の迷惑メ−ルを、この パソコン内に保管することができる。Windows ライセンスの CAL がユ−ザ数だけいる。 各ユ−ザがこのパソコンの MQMソフトにより、Web画面で自分に来た迷惑メ−ルの一覧 を見ることができる。メ−ル本文もちゃんと日本語表示できる。アクセスの際には各自の アカウントを入れる。隔離されているのを、改めてまともなメ−ルがなかったか調べる。 MQM にユ−ザのアカウントを登録するか LDAP や AD を見るようにしていれば、各ユ−ザ 用のメ−ルの隔離領域ができる。でないとやはり管理者が一括した隔離領域を見ることに なる、これは管理者の負担が増えるばかりで望ましくない。 * マカフィ−の装置の確認その2 ユ−ザの存在しないメ−ルアドレスは拒否する。LDAPサ−バが利用できる。装置にテキス トでメ−ルアドレスを入れてもいい。やって来たメ−ルのメ−ルアドレスを装置がLDAPサ −バに検索しに行き、LDAPサ−バに存在しなければ、装置で受取りを拒否する。拒否する とは、つまり発信元に返却するということである。たまたま間違ってメ−ルアドレスを書 いてしまったというのを、spamの判定をした後で返すのならいいが。katou@xxx と書 くところを katuo@xxx としたとか。 ここは結構、実運用では注意したいところであり要 確認。装置で処理してくれれば Mail-Relay や Mail-Store で LDAP 連携して、処理する までもなくなる。もう1つ確認、Mail-Relay に溜まる "User unknwon"なメ−ル、ダブル バウンスメ−ルはどう処理されるのか。拒否で返してしまうのでは、 やはり Mail-Relay に溜まってしまうのでないか。これまでのところ "User unknwon" 文字列を検出して消去 するスクリプトを作成して、cron で一定時間経ったメ−ルを消去するようにしている。 * マカフィ−社の製品いろいろ `28/01 [ 企業向け ] アンチウィルス製品 McAfee VirusScan Enterprise > ウィルス、ワ−ム、トロイの木場など不審なコ−ドやプログラムからコンピュ−タを保 護する。今パソコンに入っているのはこれ、バ−ジョンは 8.0.0。どうもスパイウェア の対策はこれではできないみたい。 スパイウェア対策 McAfee AntiSpyware Enterprise > VirusScan Enterprise に統合して使用もできる。当初VirusScan Enterprise のモジュ −ル、追加機能として 2005/01 から販売。単独でもOKとなったのは 2005/12 から。 McAfee Host Intrusion Prevention Desktop v6.0 > ファイアウォ−ルの McAfee Desktop Firewall から、これになった?。 ライセンスタ イプはサブスクリプション(購読権)1年とか2年とか。 [ 個人向け ] McAfee VirusScan Plus ウィルススキャン プラス 2007 > ウィルス、スパイウェア、パ−ソナルファイアウォ−ル。4,095円。 McAfee Spam killer はもうないみたい。次の Suite 統合型が売れ筋の主流。 McAfee Internet Security Suite 2700 インタ−ネット セキュリティスイ−ト > ウィルス対策、スパイウェア対策、パ−ソナルファイアウォ−ル、迷惑メ−ル対策、フ ィッシング詐欺、個人情報漏洩防止など。ダウンロ−ド価格 5,775円。 (3) InterScan のバ−ジョンアップが `28/09〜`29/03 * InterScan のバ−ジョンアップがまだあった 現行のバ−ジョン5は、`29/03/18 にサポ−トが打ち切られる。数ヶ月はパタ−ンファイ ルは供給されるだろうがトレンドマイクロは何も保証しない。IMSS 5.11 を IMSS 7 にバ −ジョンアップするなら、この際だから迷惑メ−ル対策もやるとしよう。バ−ジョン7に 上げること自体は費用は発生しない。ただし単にバ−ジョン7にしてもspam機能は使 えない。厄介なことにもう一つ注意すべき事がある、ライセンス体系が変わった。新ライ センスプログラム Trend Micro Reliable security License( TRSL )というのが2008 年8月1日に開始された。このプログラムに基づき、後継製品にライセンスを移行してバ −ジョン7にするとspam機能が使える。これまではオプション扱いだったspam対 策の Spam Prevention Solution( SPS ) とモバイルコ−ドが利用できるようになる。 ・現行製品 LEIsec InterScan VirusWall Enterprise Edition ・後継製品 TSRL InterScan VirusWall Enterprise Edition Plus 今年はライセンスの猶予期間で、新ライセンスに移行するかこれまでのライセンスのまま を選択できる。来年は新ライセンスしかなくなるので、どのみち新ライセンスに移行する しかない。2009年9月30日までは旧ライセンスのままでいい。Eの 250〜499 ユ− ザの範囲では、旧だと1ユ−ザ 2,145円の更新、新だと 2,335円の更新料で 210円のアッ プとなる。注意すべきは InterScan VirusWall Enterprise Edition から Plus には移行 できる。InterScan Messaging Security Suite Plus には移行できない、この場合はライ センスは買直しになる、Eで1ユ−ザ 4,300円先ず支払い次の年から半額になる。 Linux のバ−ジョン7は2007年3月に出荷された。Solaris のバ−ジョン7は2007年9 月にでた。いきなりバ−ジョンアップするのでなく、だいたい半年は様子をみた方がいい。 * InterScan バ−ジョン7のspam対策について 最初話を聞いた時、IPレピュテ−ションが目玉でこれで大方のspamを弾く。IPレ ピュテ−ションは外からメ−ルリレ−にアクセスした相手IPアドレスを評価するという ことなので、メ−ルリレ−のマシンに、InterScan をインスト−ルしてこの設定をするこ とになる。メ−ルストアでは補助的にspam判定をする。トレンドマイクロから何回か 電話がありそんな説明を彼等はしていた。だからメ−ルリレ−のマシンに、InterScan を 新たにインスト−ルしなければならず、そのためにはマシンをある程度止めないといけな い。1日、しかも休日作業となる。それでこんなのはとてもや採用できないと思った。 しかし2008年9月頃に再度、話を聞いたところひょっとしてと思った。IPレピュテ −ションはメ−ルリレ−でspamの流量を減らすという意味合いが大きいとのこと。メ −ル本文など中身をチェックすることなく、あらかじめ分かっているspamの発信元の IPアドレスを見て入り口で止めましょうということである。メ−ルストアの InterScan のspam判定でも7から8割はspamを弾くという。メ−ルストアでの InterScanの みで、件名や本文などで全部のメ−ルをspamチェックするのはマシンの負荷は大きい。 それを承知で、メ−ルリレ−でspamチェックするしないは自由である。 ↓インタ−ネット NRS と IPプロファイラ を "IPフィルタ" という。 ---------------- | NRS | <-------> Trend Micro DNS に問い合わせる。トレンドマイクロ ---------------- 社が運営するDNSサ−バ。問い合わせIPアドレス ↓ のAレコ−ドがあればspamと判定するのか?。 ---------------- |IPプロファイラ| <-------> 設置している自社DNSサ−バに問い合わせる?。そ ---------------- れとも InterScan をインスト−ルする際に、 ひょっ | として選択して入れる専用のDNSサ−バのことか?。 ↓ IPプロファイラには BIND 9.x 以上が必要 ---------------- | TMASE | TMASE( Trend Micro Anti-Spam Engine ) でspam ---------------- をブロック。InterScan MSS 7.0 から載ったスパムメ ↓社内 −ル対策専用の検索エンジン。今回はこれのみを利用。 * ソフトとマニュアルの入手 トレンドマイクロのサイトから Solaris 用のソフトをダウンロ−ドしてくる。 誰でも取 れる。http://www.trendmicro.co.jp/download/ から。検索エンジンは InterScan7 をイ ンスト−ルして管理画面で、[アップデ−ト]->[手動アップデ−ト]の [検索エンジン] を クリックするとアップデ−トを開始し、取ってくるので特に自分で取ってきておく必要は ない。お試しで1ヶ月は SPS、迷惑メ−ル対策機能の利用ができる。 imss70_sol_b7153.tar.gz Solaris用 マスタ−プログラム 2007/09/18 515.8MB imss70_sol_sp1_b8043.tar.gz Solaris用 サ−ビスパック1 2008/05/12 43.9MB vsapi8700_sol.tar.Z Solaris用 検索エンジン 2008/04/23 install_guide_imss70_unix_r1.pdf 管理者ガイド 188ペ−ジ admin_guide_imss70_unix.pdf インスト−ルガイド 150ペ−ジ quick_start_guide_imss70_sol_b7153.pdf クイックスタ−トガイド178ペ−ジ # gzip -d imss70_sol_b7153.tar.gz /usr/source/ とか適当なディレクトリにて。 # tar xf imss70_sol_b7153.tar これで imss70_sol_b7153/ ができる。 # ls imss70_sol_b7153 IMSS_Solaris_readme_sjis.txt ipfilterinst.sh foxnrs.tar imss.tar isinst.sh インスト−ルガイドは150ペ−ジ、ざっとみて必要な所だけプリントした。2005年 9月にきた InterScan Messaging Security Suite 操作マニュアルと今回ダウンロ−ドし た中にあったインスト−ルガイドの sendmail.cf の記述を見比べてみた。 ほとんど同じ だった。多分これまでの sendmail-rx.cf、sendmail-tx.cf はそのまま使えるのでないか。 実際やってみたらそのまま使えた。ペ−ジ数はたくさんあるが、あまり肝心なことは書か れていない。行間を読み、どういうことができるのか想像し、そして試すしかないという 感じである。管理者ガイドも特にプリントするまでもない。InterScan のヘルプで出てく る以上の詳しい説明はない。セミナ−でもらった資料もあると理解の手助けになる。 * 設定の方針と手順 Mail-Store の InterScan5 を InterScan7 にバ−ジョンアップする。 迷惑メ−ル対策に は NRS と IPプロファイラは使わずに、TMASE のみ利用することにする。つまりメ−ル本 文の内容や件名によって検知させることにする。また LDAP サ−バは設けず、隔離した迷 惑メ−ルは管理者だけがチェックするものとする。 Mail-Store の本番機は 192.168.1.1、 予備機は 192.168.1.2。予備機に InterScan7 を入れ本番機と交換、そしてまた交換する。 InterScan7 を稼働させるために Solaris 9 で必要なモジュ−ルがある。 InterScan7 を インスト−ルには SUNWlibC がいる。Control Manager エ−ジェントには SUNWcslまたは SUNWcslx がいる。PostgreSQL をインスト−ルする時には SUNWzlib が必要。参考で、今 回は使わないが NRS には SUNWcsu がいる。調べたらいずれも全部入っていた。 予備機の InterScan7 を停止する。 /usr/trend/imss/script に入り、imssstop.sh stop, dbctl.sh stop を実行する。本番機で sendmail と InterScan5 を止める。/etc/rc2.dに 入り S88sendmail stop, S99ISIMSS stop。 本番機で止めるのは /var/spool/mqueue/ と /opt/trend/imss/queue/postpone/ にファイルがないことを確認してからやること。本番 機のメ−ルボックスを予備機にコピ−する。/var/mail/ 内のファイル全部。 予備機で #ifconfig bge0 192.168.1.1 とやり、IPアドレスを本番機のに変える。本番 機のIPアドレスも適当なのに変える。/usr/trend/imss/config/imss.ini.dbファイルを vi で開き ConfigUrl = https://192.168.1.1:8455/ と書き換える。予備機のInterScan7 を起動する。 /etc/rc2.d に入り S98dbctl start, S99CMAGENT start, S99IMSSUI start, S99MONITOR start を順番に実行。https://192.168.1.1:8455/IMSS.html で動作確認。 本番機の /etc/aliases が予備機でもそうなっているかチェックする。本番機のメ−ルユ −ザのアカウントも見てみる、新規に追加されたユ−ザ、退職などで削除されたユ−ザと か。/var/mail/ に溜まっているメ−ルの確認、移動する時間を計ってみること。 これが ほぼ社内でのメ−ルサ−ビスの停止時間になる。マシンの交換作業は、あらかじめ手順書 を用意しておいてその通り実施するようにした。所要時間は実際やって約5分だった。 予備機には InterScan7 のサ−ビスパックは入れずにしばらく運用した。本番機にはサ− ビスパックをインスト−ルした。`29/01/20リリ−スの imss70_sol_sp1_b8043_r1.tar.gz を InterScan7 本体の imss70_sol_b7153.tar.gz と同じディレクトリで展開した。 一応 # /etc/rc2.d/S99ISIMSS stop で止め、# cd imss_70_sol_sp1, # ./imssinst とやると 最新の InterScan7 が稼働してくる。これで予備機を外し、本番機を元に戻して動かす。 * インスト−ルと設定のポイント 現在のイント−ルして稼働している InterScan5 の状態とは別に、新しいのをインスト− ルできるか。それはできない。InterScan7をインスト−ルすると InterScan5 のインスト −ルしたファイルに上書きしてしまう。それにマシンのカ−ネルをいじる /etc/systemの 記述が必要なので、マシンを全然止めずにバ−ジョンアップすることはできない。 isinst.sh でインスト−ルするのは、Central Controller と Scanner Service だけでい い。EUQ Service と EUQ Database は入れなくていい。しかし PostgreSQL は必要である。 EUQ を使わなくても PostgreSQL はいる。これが InterScan5 と異なる大きな点。メ−ル を隔離するのにともかくデ−タベ−ス・ソフトを使うということ。 isinst.sh をやると Unpacking the package ..... と出て、次のメッ−ジが出て来るの に1分程かかる。InterScan7 は /usr/trend/ に例えばインスト−ルするように指定して も、PostgreSQL は /opt/trend/ に入ってしまう。もし別に入っている PostgreSQL があ れば、InterScan7 は利用することができるとあるが、設定はかなりやっかいである。 InterScan5 は /opt/trend/ にインスト−ルされている InterScan7 とかち合わないよう に /opt/trend5/ 位にディレクトリ名を変えて isinst.sh をやる。しかし InterScan5が 入っていると認識してしまう、そして Migration Install. を選ぶと Install path を変 更ができないとなってしまう。そこで Fresh Install. を選んでやってみたらできた。 PostgreSQL をインスト−ルするのに /etc/system に共有メモリ、セマフォの設定を記述 しないとダメ。インスト−ル時にメッセ−ジがでてくる。指示の通りエディタで書き込み マシンをリブ−トする。スワップ領域は4GB以上が望ましい。とりあえずこのマシンは 2GBだがインスト−ルできて動いた。スワップ領域はマシン稼働中でも追加できる。 インスト−ルで System Check (Named Server) と出てきて、BIND がないといけないかの ようなメッセ−ジがでる。IPプロファイラを使う場合に、社内に BIND が必要という話で あって無視していい。IPプロファイラは Mail-Relay にいれる、SMTP Proxy、送信元の IPアドレスをチェックする。自社にこれまでに来たspamのデ−タを元に判定する。 インスト−ルで "No Postfix was found on your computer. IMSS requires Postfix."と 出てくる。Postfix でなくて sendmail でも qmail でもいいはず。sendmail を使う場合 の指定の仕方が見当たらないが、何もしなくてもいい。あくまでも InterScanではポ−ト を見ているだけであって、ポ−トの先が Postfix であろうと sendmailであろうと、そこ は見てない。ただ Postfix ならこの isinst.sh でインスト−ルできますよということ。 15分毎のパタ−ンファイルをとってくるので、POP3の時はチェックしなくていいのでな いか。ユ−ザがメ−ルを取る時にチェックすると、結構時間がかかる可能性がある。受信 時チェックがデフォルトになっている。送信時もチェックした方がいいかは考えどころで ある。社内のパソコンがボットに感染して、外におかしなメ−ルを出すこともあり得る。 InterScan 本体が動いていても PostgreSQL が止まっていたら、InterScan にロッグイン できなかった。../imss/bin/imssd は動いているが。# ../imss/script/.dbctl.sh start これでロッグインはできるようになるが、[接続] [検索サ−ビス] [ポリシ−サ−ビス]が 動いてない。# ../imss/script/.S99MANAGER start もやるといいはずだが、少し怪しい。 # /opt/trend/imss/PostgreSQL/bin/psql imss sa ( 止まっていると ) psql: could not connect to server: ファイルもディレクトリもありません。 Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.PGSQL.5432"? 予備機 192.168.1.2 で InterScan7 をインスト−ルすると、制御ファイルのimss.ini.db で ConfigUrl = https://192.168.1.2:8455/ となる。本番機として稼働させるため .1.1 と書き直すのだが .1.2 に戻る。InterScan7起動スクリプトの S99MONITOR start が実行 した時に変わるようだが .1.1 での稼働は問題ない。pslist.iniファイルも注意されたし。 InterScan はメ−ルのエンベロ−プ情報を元にフィルタリングしている。隔離領域の "送 信者" と "受信者" もエンベロ−プの情報である。 "送信者" のところが空白のがあると いうことは、エンベロ−プを見ている証拠といえる。 ヘッダ−の "送信者" と "受信者" はなくてもメ−ルは行くから。エラ−メ−ルは Envelope From: 部が付かないらしい。 `2b/04追記。Mail-Storeのマシンがおかしくなって、実際に予備機を稼働させて分かった こと。imss.ini.db は出力されたファイルで元の設定は PostgreSQL で管理されていると いうこと。だから vi で imss.ini.db 内の ConfigUrl のIPアドレスを変えても意味は ない。PostgreSQL に InterScan がアクセスできないことになる。 * メニュ− [管理] のところ [通知]->[イベント] {システムイベント通知}は "システムステ−タス"の欄のメ−ル全部に〆。"予約アップ デ−トイベント" は全部〆なし。あまり必要ないメ−ルは管理者に出さないようにする。 [通知]->[通知設定] 宛先と送信者のメ−ルアドレスを記述。"サ−バ名/IPアドレス [ 127.0.0.1 ]"、"SMTP ポ−ト番号 [ 10026 ]"、"文字コ−ド [ 日本語(ISO-2022-JP) ]"。 [通知]->[EUQ通知] それに [ユ−ザ隔離アクセス] は今回関係なし。 LDAPサ−バを設けて、各ユ−ザが自身で隔離されたメ−ルをチェックできるようにする 場合に利用するところ。 [InterScan MSSの設定]->[SMTPル−ティング]->[SMTP] 〆すべての検索サ−ビスに適用。{メ−ル処理キュ−} パス[ /var/spool/mqueue ]、デ フォルトは /var/spool/postfix。 [InterScan MSSの設定]->[SMTPル−ティング]->[接続] {SMTPインタ−フェ−ス} "IPアドレス [すべてのインタ−フェ−ス]"。 "ポ−ト番号 [ 10025 ]"、デフォルトは 25。 [製品ライセンス] 上の InterScan MSS で1つのアクティベ−ションコ−ド。スパムメ−ル対策(コンテン ツ検索)にもう1つコ−ドを入れる、同時に IPフィルタ もアクティベ−ト済みになる。 * メニュ− [ポリシ−] のところ [内部アドレス] は [ドメインの入力] で 選択済み [ *.nix.co.jj ]。 InterScan ではメ−ルが受信メ−ルなのか送信メ−ルなのかをこれで判断すると説明さ れている。しかし自社ドメイン名のメ−ルアドレスを詐称したメ−ルも含まれてしまう。 [ポリシ−リスト] は{フィルタ} [すべてのル−ト] [すべての種類] [すべてのグル−プ]。 □[グロ−バルウィルス対策ル−ル ] トレンドマイクロの推奨処理 ステ−タス緑丸。 □[初期設定のスパムメ−ル対策ル−ル] 隔離 ステ−タス緑丸。 [グロ−バルウィルス対策ル−ル] の [ル−ル] は〆有効、{検索条件}は "IntelliTrapを 有効にする" に〆、デフォルト。{スパイウェア検索}の所はどれか選んだ方がいいのか、 お好みでどうぞということらしい、スパイウェアが来ていると思えば〆したら〜という。 [検索の除外] の"暗号化メッセ−ジ(検索不能)" は "隔離および通知" になっていたのを "ログのみ" にした。"パスワ−ドで保護された zipファイル(検索不能)を含むメッセ− ジ" は "スタンプ" になっていたのを "ログのみ" にした。 [検索の除外] の"セキュリティ設定違反" と "その他の検索の除外" は"隔離および通知" のままとした。"隔離および通知" の設定はデフォルトのままで、 はインタ−セプトが "次の場所に隔離"、監視が "通知を送信" である。 (4) 続 InterScan のバ−ジョンアップ `28/11 * InterScan の LDAP 連携を初めからやろうと思ったけど まともなメ−ルをspamと誤検知することが多ければ、管理者が隔離されたメ−ルを全 部いちいち内容を見てチェックしなければならない。その場合に各ユ−ザが自分でチェッ クできるようにすれば管理者の仕事がその分減る。もし誤検知がほとんど無ければ、管理 者もユ−ザも隔離メ−ルをチェックする必要はない。以下のテストのやり方で結果、誤検 知は滅多に無いことが分かった。 よって InterScan はとりあえず LDAP 連携しないこと とした。無理して LDAP を使う必要はない。ここでは当初予定の内容を変えて InterScan バ−ジョン7の事前の動作確認、それに迷惑メ−ル排除の性能について記述することにす る。POP3 アクセスでメ−ルを取るときにspamチェックする。 会社の自分宛のメ−ル と個人で入っているプロバイダに来たメ−ルの会社への転送。最近はなぜか個人宛の迷惑 メ−ルは減っていた、1日に5通ぐらいか。会社へは1日30通前後。半年ぐらい前から 数が逆転してきた。ともかく、迷惑メ−ルのサンプルの一つ。もう一人、社内で迷惑メ− ルが1日に数十通来る人にもサンプルに協力してもらった。 * 動作確認1 本番機にきたメ−ルでspam対策を確認する POP3 アクセスするのに POP3のプロキシサ−バを通す。こんなことができるとは知らなか った。改めて InterScan5 のマニュアルを見たら、この説明がでていた。PC1 から予備機 をプロキシにして本番機に POP3 アクセスする。PC1 では普段使いのメ−ルソフトとして Outlook もあるとする。Outlook ではメ−ルをサ−バに残す設定にしておく。Outlook で 本番機のメ−ルストアからメ−ルを取ってきた後に、Netscape Mail で代理POP3アクセス してメ−ルを取ってくるようにする。ここではメ−ルはサ−バに残さない設定にしておく。 テストしている間にメ−ルを無くしたり見落としたりすると困るということである。 ikken宛のメ ____ ____ ____ ikken 宛にメ−ル −ルを取る/ 120\/ 110↓ ↓ \ ------- ------- ------- ------- 本番機の InterScan5 はこ | PC1 | |予備 | |本番 | | PC2 | れまで稼働してきた設定の ------- ------- ------- ------- まま。 |.8 |.2 |.1 |.9 ---------------------------------------------------- 192.168.1.0 InterScan7 InterScan5 PC1 の Netscape 7.1 Mail設定 パソコンのメ−ルソフトでメ−ル取得の設定を POP3サ−バ: 192.168.1.2 このようにすれば、これだけで迷惑メ−ルを排 ユ−ザ名 : ikken@192.168.1.1 除できることになる。もはや予備機ではなく迷 ポ−ト番号: 120 惑メ−ルをフィルタリングするサ−バである。 予備機の InterScan7 の [概要] 画面の "POP3接続を許可する" に〆する。imss.iniファ イルは何もいじらない。予備機 [管理]->[接続]->[POP3] で {一般的なPOP3接続}で、"ユ −ザが要求した任意のPOP3サ−バ" で、"受信InterScan MSSポ−ト:[ 120 ]" にして、画 面下の [保存] をクリックすると直ちに有効になる。おかしなメ−ルは隔離される。管理 者が見ることができる。それに宛先ユ−ザにも隔離しましたという通知メ−ルがいく。 [概要] 画面の {検索サ−ビス} を [停止]すると、PC1 から POP3 アクセスできなくなる。 [概要]->[システム] で "POP3接続を許可する" に〆して [保存]。これをやらないと PC1 からメ−ルを受信しようとすると、"サ−バ 192.168.1.2 には接続できませんでした。接 続は拒否されました" と出る。"POP3接続を許可する" の〆を外して、[保存] をクリック すると直ちに有効になる。 [管理]->[接続]->[POP3] "受信InterScan MSSポ−ト:[ 110 ]"にするとおかしい。[概要] の {検索サ−ビス} が停止していて、開始をクリックしてもまま先に進まない。popperデ −モンが 110 番ポ−トで稼働していたためと思われる。popper デ−モンを kill したら [ 110 ] でも有効になった。PC1 から 192.168.1.2 の 110 番ポ−トにアクセスし、これ をプロキシサ−バとして 192.168.1.1 の 110 番ポ−トにアクセスした。 [ポリシ−]->[ポリシ−リスト]->[ポリシ−] フィルタ[すべてのル−ト▽] の {初期設定 のスパムメ−ル対策ル−ル}->{受信者と送信者} の "このル−ルの適用対象者 [POP3▽]"。 PC1 に来たメ−ルは件名はそのままで、"元のメッセ−ジID: EFXXX-XXX... 処理:隔離"と なっていた。迷惑メ−ルは [隔離およびア−カイブ] に隔離される。 [ポリシ−]->[ポリシ−リスト] {初期設定のスパムメ−ル対策ル−ル} の{処理} "●メッ セ−ジをインタ−セプトしない" にして[保存]をクリックしたら直ちに有効になり、迷惑 メ−ルはそのままきた。{処理} "●メッセ−ジ全体を削除" にしたら、メ−ルはユ−ザに きた。件名はそのままで "元のメッセ−ジID: EFXXX-XXX.... 処理:削除" になっていた。 PC1 の Netscape 7.1 Mail & Newsgroups の設定。 ユ−ザ名は ikken@192.168.1.1 だが これは ikken@192.168.1.1#110 を指定したことになる。 110 番は POP3 のデフォルトの ポ−ト番号だから。どうもこのような指定ができるのは Netscape のメ−ルソフトだけな のか。Outlook でも Outlook Express でもエラ−表示が出て、設定できなかった。 * 動作確認2 予備機で外にメ−ルを送る [管理]->[SMTPル−ティング]->[接続] の {SMTPル−ティング} の "ポ−ト番号 [10025]" にする。[概要]->[検索サ−ビス] を停止し起動する。kenko@tcp.jj へ送り、転送で自分 宛にエッチな内容の本文を送った、隔離された、メ−ルはすぐにいった。kenko@tcp.jjへ には隔離しましたというメ−ルはいかなかった。隔離されたのを[解除]をクリックしたら kenko@tcp.jj へメ−ルは行った、そして隔離からは消えた。 外にメ−ルを送るのではうまくいかないと kenko@tcp.jj へ送る。"ポ−ト番号 [10026]" だとどうなるかやってみた。メ−ルソフトで送信中となって10秒ぐらいかかる、一応送 信したようにみえるが /var/spool/mqueue-rx に溜まっていた。"ポ−ト番号 [10025]"に 変更して[保存] し、[概要]->[検索サ−ビス] を停止し起動しても、すぐに溜まったメ− ルは処理されなかった。数分して処理されメ−ルが行った。 * 動作確認3 予備機だけでspam対策を確認するには ---------------------Mail-Store PC パソコンから ikken宛にメ−ルして | POP3 InterScan |予備機 --------- Mail-Store 予備機でのユ−ザikken | □←――→□―――――――→| 受信 | のメ−ルボックスに入る様子。 | ↑10100 110 | | | | |で稼働 | |Outlook| 予備機の POP3 サ−バの状態の確認。 | ↓ SMTP 25 | | | # ps -ef | grep pop | □ ○←―――――――| 送信 | root ... /usr/sbin/popper 10110 |ikkenのmailbox | | | --------------------- --------- InterScan7 の configディレクトリ |.2 |.9 には、imss.ini.db というのもある。 ------------------------------------- これはいじらくてもいい。 /opt/trend/imss/config/imss.ini 制御ファイルは関係するところのみ示す。 --------------------------------------- |[socket_2] |#proxy_service=POP3_GENERIC_SERVICE コメントとして記述されていた。どうも |#proxy_port=110 これがデフォルト値になっているもよう。 | |proxy_service = POP3_DEDICATED_SERVICE これら4つ記述した。変更を反映するに |proxy_port = 110 は[概要]の{検索サ−ビス}を停止し起動 |dedicated_server_name = 127.0.0.1 する。この設定をすると動作確認1はで |dedicated_server_port = 10110 きなくなる。popperデ−モンは関係ない。 * InterScan7 のバ−ジョンアップの失敗に備える これまでの InterScan5 のディレクトリやファイルをコピ−しておく。/opt/trend/ にあ るので /opt/trend.org/ ぐらいで #cp -pr /opt/trend /opt/trend.org コピ−しておく。 InterScan7 のインスト−ル、設定がうまくいかない場合に備えて、これまでのInterScan に戻せるようにしておかないといけない。InterScan7のインスト−ルでは、一応戻すこと ができるように InterScan5 の設定をバックアップすることもできるようにはなっている。 しかしあてにして、戻せなかったでは困る。これらのファイルやリンクが InterScan7 の インスト−ルの過程で消えていた。あらかじめコピ−しておく。 /etc/init.d/ccgi.init, /etc/tmicfgdir, /etc/trend/ccgi.cfg, /etc/rc2.d/S99ISIMSS のリンク。 InterScan5 に戻すには。もし InterScan7 が動いていれば停止する。InterScan7 をイン スト−ルしたディレクトリ /usr/trend/imss/script/ に入り、imssstop.sh stop をやる。 念のため dbctl.sh stop もやる。2つの sendmail デ−モンはそのままでいい。 そして バックアップしておいた /opt/trend.org/ を /opt/trend/ に変更する。/etc/trend/ デ ィレクトリもなくなっているので作成する。ccgi.init はコピ−うんぬんで実行権がなく なっていないか確認する、必要に応じて chmod +x すること。 /etc/rc2.d/S99ISIMSS の リンクも消えているので /opt/trend/imss/script/S99ISIMSS にリンクしておく。 # /opt/trend/imss/script/S99ISIMSS start これで InterScan5 を起動する。ファイ CM needs to be stopped. ルを元に戻していないとエラ−になる。 Error: Cannot find TMI_CFG_PATH Error: Cannot find TMI_CFG_PATH ./S99ISIMSS: /etc/init.d/ccgi.init: 見つかりません。 Start regserver. RegServer has been started successfully. http://192.168.1.1:8081/IMSS.html で The regserver executed successfully. 動作の確認をすること。 Start imssd. /opt/trend/imss/bin/imssd has started. Start aphost. /opt/trend/imss/bin/aphost has started. Start imsssysmon. /opt/trend/imss/bin/imsssysmon has started. (5) InterScan7 の迷惑メ−ル対策を実施 * InterScan7 を設置した結果 UNIXの mail コマンドで自分宛にメ−ルを出したら、迷惑メ−ルとしてブロックされ てしまった。Subject: 111、本文 111 というようなメ−ル。 Outlook Express で同様な 短いメ−ルを出したら、それは通った。トレンドマイクロに聞いたら、よくある問い合わ せとのこと。ということは自分のようなUNIXからやっている人が、まだメ−ルサ−バ をめんどうみている場合が多いのか。telnet でテストメ−ルを出したりする人である。 TMASE は単体でスパムメ−ル検知率は約96%とのこと。実際それ位の性能はあるという のが実感。高、中、低レベルで低でも十分である。5千通に1通位が誤検知になるという 感じ。高だと mixi から出るメ−ルがブロック、中だと4行位の何でもない日本語のメ− ルが止めらることがあった、低にしたら通った。開封確認のメ−ルが止められた、これは "初期設定のスパムメ−ル対策ル−ル > テキスト除外ル−ル" で通るようにした。 1時間に300通前後をブロックしている。1日で約5千通。1週間で 200MBぐらい喰う。 "隔離およびア−カイブ > 設定" でディスク割り当てを 300 MB にしてたら、実際の隔離 された容量がこれをオ−バした。でも特にトラブルは起きなかった。レポ−ト機能も使っ てみよう。[レポ−ト]->[設定] {日次レポ−ト}、{週次レポ−ト} 全部チェックすればい い。"スパムメ−ル受信者 [トップ10]" とか詳細なレポ−トがでる。 メ−ル本文が1行とか2行のごく短いメ−ルが止められる。IIJ のレポ−トにも記事が出 ていた。IIJ でも難しいのか。どんな迷惑メ−ル対策ソフト、アプライアンスを入れても 出てくる問題と思っていいだろう。自分とこだけの問題ではない。「IIJ.news」 October 2008, vol.89。特集 最新迷惑メ−ル対策11ペ−ジに、"また最近では、ごく短い文面と URLだけの迷惑メ−ルが増えています。" と書かかれていた。 メ−ルの本文が "お疲れ様です。"、"お疲れ様です。テストです。"、"お疲れ様です。了 解です。"、件名は "かとう" を自分宛に送った。隔離されなかった。`29/04/23どうもこ の数日、誤検知が減ったような気がしていた。検索エンジンの精度が上がったのか?。5 月の連休前にスパムメ−ル判定ル−ルの点数付けが変わったらしい。パソコンの転送ソフ トで携帯電話に転送するメ−ルもほとんど引っかからなくなった。 * メ−ルのサイズの扱いについて メ−ルのサイズが大き過ぎて止めましたと送信した人に通知するのは?。幾つか設定する ところがある。一体どこでやればいいの?。多分、以下の b) だけでやればいい。b)につ いて分かったこと。"メッセ−ジの合計サイズが次の値を超える" というのは、 1つのメ −ルの中に幾つかの添付ファイルがあり、本文と合わせたサイズの合計のこと。 "いずれ か1つのうんぬん" は幾つかの添付ファイルの中で、どれか1つ解凍したサイズが設定し た値を超えると合致する。圧縮効率が非常に高い圧縮ソフトがあり、そうしたソフトで圧 縮した添付ファイルを検知し止めるためとも考えられる。メ−ルの添付ファイルは、画像 でも何でも最終的にはアスキ−形式の文字コ−ドに変換して送られる。 "メッセ−ジの合 計サイズうんぬん" のサイズというのは、この変換された状態でのメ−ルの中身の MIME- encapsulated message 範囲の文字列の大きさになる。と思うのだが、違うか?。 a) [管理]->[SMTPル−ティング]->[メッセ−ジル−ル] の最大メッセ−ジサイズ(0〜無制 限)の設定。[ 10 ]MB、デフォルト1 MB。これはそもそもメ−ルの不正中継をさせない ようにするための設定である。 ポリシ−ル−ルの検索条件よりも優先して処理される。 ここでの値を超えたメ−ルは、 ポリシ−照合のため検索サ−ビスに転送されないとあ る。他の設定もしないと有効にならないのでないか?。そうではなかった、以下参照。 b) [ポリシ−]->[検索の除外]->{セキュリティ設定違反}。DoS攻撃の危険があるため次の 制限のいずれかを超えるメッセ−ジは InterScanでは検索しない。"メッセ−ジの合計 サイズが次の値を超える [30]MB"、"いずれか1つのファイルの解凍後の合計サイズが 次の値を超える [50]MB"。値はデフォルト。{セキュリティ設定違反} の画面のメッセ −ジは任意の宛先または差出人とあるので、メ−ルの送受信でチェックする。 c) [ポリシ−]->[ポリシ−リスト]->{初期設定のスパムメ−ル対策ル−ル}の {検索条件}。 "添付ファイル" の "□サイズが [>▽][5▽][MB▽]"、"サイズ" の メッセ−ジサイズ [>▽][10▽][MB▽]。値はデフォルト。〆を入れないと有効にならない。対象メ−ルは デフォルトで受信するメ−ルになっていた。ここのル−ルは b)で通過したメ−ルをさ らにチェックしようとする場合に用いる。そのため bの値 > cの値 とすること。 社内で自分宛に送ってテストしてみた。a)を1MB, b)を1MB で 1.7MB のメ−ルは止まった。 a)を1MB, b)を2MB で 2.7MB のメ−ルも止まった。通知メ−ルが postmaster@imss.comか ら root@localhost 宛に出ていた。 root@localhost は Mail-Store の /etc/aliases で 自分宛にしているんで自分に届く。メ−ル本文は "InterScan Messaging Security Suite は、[ポリシ−]->[検索の除外]のセキュリティ設定に違反するメッセ−ジを検出しました。 メッセ−ジは隔離されました。うんぬん"。 つまり b) のル−ルが効いている、メ−ルの 中身をチェックすることなく隔離したということ。値を a)を1MB、bを5MB にしたら1.7MB のメ−ルは通過した、メ−ルは送信先である自分に来た。b) の範囲内ということで b)の ル−ルは引っかからなかった。ということは a) のル−ルはここでは効いてないのか、そ の通りらしく MTA を Postfix を使う場合に a) のル−ルが関係するとのこと。sendmail をここでは使っているので a) のル−ルは無視していい。分かりにくい話だ。 * 迷惑メ−ルのフィルタリング効果 `29/05 まとめると Mail-Store を InterScan7 にアップして、TMASE で迷惑メ−ル対策をやった。 かなり良好である、問題なし。ごく短いメ−ルの誤検知があったが5月の連休前に改善さ れたみたいである。自分宛には迷惑メ−ルは相変わらず、毎日100通ぐらいは来ている。 InterScan7をすり抜けてくるのは数通である。誤検知は先ずもってない。トレンドマイク ロの人が電話で話していて教えてくれた、市販の迷惑メ−ルソフト/アプライアンスの比 較テストの資料。West Coast Labs、独立系調査機関による製品テストおよび評価、 スパ ムメ−ル対策ソリュ−ション2009年1月付け、ベンダ−が10社のスパムメ−ル補足 率の表である。一番成績がいいのがトレンドマイクロのホステッドとソフトウェアで両者 96%を超えている。一番低いのが McAfee で60%弱、次に低いのが Fortinet の62 %、Barracuda の88%。システム調整はしていない、標準的な設定でお客様に納入した 状態を想定してテストしたとのこと。概ね妥当な数字だと思う。 かなり導入を前向きに検討していた McAfee が一番成績が悪いとは。McAfeeのアプライア ンスの実習セミナ−に出席して、何てたくさんのメニュ−があるのか。こりゃチュ−ニン グするのが大変だ。とても自分ではできそうもないと感じた。もし買うとすれば、数回の チュ−ニング設定費用込みで見積りを出してもらおうと思った。Fortinet は FotiGateの スパムメ−ルブロック機能、これも結構たくさんメニュ−がある。どこまでシステム調整 してないのか分からない。装置を納入したままの状態では、まるで機能に〆が入ってない のではないか。感触としては80%ぐらいは点を付けてあげてもいいと思う。 Barracuda は雑誌でも頻繁に宣伝している。スパム対策だけでなく、WAFやIPSなどのアプライ アンスも出してきている。元気はいいが、スパムブロックが9割を切っているのではふが いない。100通の迷惑メ−ルがあると12通は抜けてしまう、喜んでもらえるのは最初 だけ。慣れて来たら迷惑メ−ル対策、IT部門はやっているのかと苦情は必至である。 * 送信と受信メ−ルのフィルタリング 携帯電話への転送メ−ルが何故かフィルタリングの対象になっていて、迷惑メ−ルと判定 されてしまう。おかしいな−と思っていた。以下のような設定 [a]で、フィルタリングは 受信するメ−ルだけにしたつもりだった。しかし設定 [b]で送信するメ−ルも対象になっ ていた。[b] のところで受信だけにするならそう指定すること。しかし送信メ−ルもチェ ックすることにより、バウンスメ−ルやエラ−メ−ルも迷惑メ−ルとしてブロックされる ているようである。またこれまで数ヶ月の間、InterScan を運用してきて送信したメ−ル を誤検知した様子はほとんどなかった。スパムメ−ル検出レベルは低を指定しての運用で である。このままの運用で何ら問題ない。時期を見て検出レベルを中に上げていきたい。 ---------------------------------------------------------------------- | https://192.168.1.1:8455/console.imss |--------------------------------------------------------------------- | TREND MICRO InterScan Messaging Security Suite |--------------------------------------------------------------------- | | 受信者と送信者 [初期設定のスパムメ−ル対策ル−ル] | >概要 |---------------------------------------------------- | | |▽ポリシ− | ポリシ−リスト > ル−ルの概要 > 受信者と送信者 | ポリシ−リスト| | 検索の除外 | このル−ルの適用対象 [受信メッセ−ジ ▽] << [a] | 内部アドレス | | | [保存][キャンセル] | >レポ−ト |--------------------------------------------------- | ||宛先 受信者 | >ログ ||差出人 送信者 | ||除外 送信者から受信者 | >隔離 || | ||--------------------------------------------------- | >管理 ||受信者と送信者 | || 受信 | || 宛先 すべてのユ−ザ \ | || (および) |[b] | || 差出人 すべてのユ−ザ / | ||検索条件 | || スパムメ−ル _ | || (または) | || フィッシングメ−ル | ||処理 | || メッセ−ジを隔離 | |---------------------------------------------------- | | [保存] [キャンセル] * メ−ルのサイズが大きいと通知を出す [検索の除外] の {セキュリティ設定違反} は {隔離および通知}。{その他の検索の除外} は {通知}、他2つは {ログのみ} として運用中。{隔離および通知} での設定は、インタ −セプトは "◎次の場所" に隔離。監視は "〆通知を送信"。"〆通知を送信" をクリック して出てくる画面で "セキュリティ設定違反の通知" をクリックして[編集]。 ------------------------------------------------------------- | セキュリティ設定違反の通知 | ----------------------------------------------------------- | セキュリティ設定違反 > 通知 > セキュリティ設定違反の通知 | | 名前: [セキュリティ設定違反の通知] | 差出人: [postmaster@imss.com ] | 宛先: [root@localhost ] ここの設定、書い | 〆元のメ−ル送信者 た文面を有効にす | 〆元のメ−ル受信者 るにはこの画面の | 件名: [ メ−ルを止めたよん、メ−ルが大き過ぎます ] [保存]をクリック | メッセ−ジ: □メッセ−ジの添付 変数リスト し、1つ戻った画 | ---------------------------------------------- 面でも[保存]をク | |このメ−ルは NIX会社より自動で出しています。| リックすること。 | |メ−ルのサイズが大きくて止めました。添付フ | | |ァイルは何メガまでにしてくれ、うんたと書く。| | ---------------------------------------------- | SNMPトラップ ●無効 ○[ ] ------------------------------------------------------------- [保存] [キャンセル] ------------------------------------------------------------------------------------ [ 付録 ] InterScan7 で隔離されたメ−ル他 ● InterScan7 で止められたメ−ル * バウンスメ−ル --- InterScan7 で止められたメ−ルを見てみる --- 隔離されているメ−ルで、以下のようなメ−ルがたくさん止められている。送信者は空白 のがほとんど。これらはバウンスメ−ルだと思う。止められたメ−ルで誤検知しているメ −ルがないかチェックするのに、メ−ルが見にくくなる。Mail-Store では /etc/aliases ファイルで "Postmaster: /dev/null" にしてある。 これで postmaster@[127.0.0.1] 宛 のメ−ルは破棄されると思うのだけど。 ・受信者postmaster@[127.0.0.1],件名Postmaster notify: see transcript for details。 ・受信者いろいろ,件名 Returned mail: see transcript for details。 "ポリシ−リスト > ル−ルの概要 > 検索条件" の {コンテンツ}の所の "件名のキ−ワ− ド" などの中に、幾つかのカテゴリがあり、あらかじめカテゴリに該当するような文字列 がたさん登録されている。この中の "バウンスメ−ル" は選択するとバウンスメ−ルをブ ロックしてくれるのか?。もしそうだとしても、メ−ルの中身をなめるようにして文字列 を検索することになり、ひょっとしてマシンに相当な負荷がかかるのでないか。 postmaster@[127.0.0.1] 宛のメ−ルは、Mail-Store の InterScan7 のスパムメ−ル/フ ィッシングメ−ル で隔離される。このメ−ルを [解除] すると、Mail-Store のsendmail で処理される。つまりこの時に /etc/aliases ファイルをみて "Postmaster: /dev/null" が合致して消える。"Postmaster: ikken" とすると ikken@nix.co.jj宛へのメ−ルとなる。 ということは InterScan7 でこうしたメ−ルも中身をチェックしている。 /etc/aliases 関係しそうな所 ----------------------- かなり postmaster@[127.0.0.1] 宛メ−ルは多くが止 |Postmaster: /dev/null められているので、それだけの負荷がかかっているこ |MAILER-DAEMON: ikken とになる。メ−ルの内容は社内に存在しないユ−ザだ |root: ikken った、User unknown なメ−ルである。 * その1 注. Return-Path: と To: のメ−ルアドレスが同じになっている。 日時 送信者 受信者 件名 -------------------------------------------------------------------------------- 2009/04/... 空白 postmaster@[127.0.0.1] Postmaster notify: see transcript for details 一杯止められている postmaster@[127.0.0.1] 宛のメ−ルの内容を調べてみよう。例えば kero@nix.con 宛におかしなメ−ルを送ってきた。kero というユ−ザはいなかった。それ でメ−ルを返すのだが、返信の宛先が偽造されていて kero@nix.con になっている。それ で kero@nix.con に送信できませんでしたとメ−ルを返すのだが、ここでまた kero とい うユ−ザはいないということで、メ−ルサ−バが Postmaster 宛にメ−ルを出す。[Q1]の Return-Path: の記述で、[P1] の postmaster@mmm.nix.con になるのか。 メ−ルの内容はどこが切れ目か本当に分かりにくい。 Mail-Store にやって来たメ−ルは Mail-Relay には戻ってない。戻る前に InterScan7 で引っかかる。 mmm.nix.con: Mail-Store / Received: from localhost by mmm.nix.con nnn.nix.con: Mail-Relay | From: Mail Delivery Subsystem | To: postmaster@mmm.nix.con | MIME-Version: 1.0 |P1 Content-Type: multipart/report; report-type=delivery-status; boundary="AAA" | Subject: Postmaster notify: see transcript for details | \ This is a MIME-encapsulated message --AAA / | The original message was received at Tue, from localhost | ----- The following addresses had permanent fatal errors ----- |P2 (reason: ... User unknown) | Need RCPT (recipient) \ --AAA / Content-Type: message/delivery-status | |P3 Final-Recipient: RFC822; kero@nix.con | Diagnostic-Code: SMTP; ... User unknown \ --AAA 以下が1つのメ−ルで処理されたメッセ−ジ。以 / Content-Type: message/rfc822 下、入れ子になったメ−ルの本文。 |P4 | / Return-Path: | | Received: from localhost by mmm.nix.con | | From: Mail Delivery Subsystem | | To: (a)の記述でこのメ−ルアドレスになっている。 | | MIME-Version: 1.0 | |Q1 Content-Type: multipart/report; report-type=delivery-status; boundary="BBB" | | Subject: Returned mail: see transcript for details | | | | This is a MIME-encapsulated message | \ | --BBB | / The original message was received at Tue, from nnn | | ----- The following addresses had permanent fatal errors ----- | | (reason: ... User unknown) | |Q2 Need RCPT (recipient) | | | \ | --BBB | / Content-Type: message/delivery-status | | | |Q3 Final-Recipient: RFC822; kero@nix.con | | Diagnostic-Code: SMTP; ... User unknown | \ | --BBB ここが元々送られてきたメ−ルの内容。 | / Content-Type: message/rfc822 | | | | Return-Path: 発信元でないメ−ルアドレスに注目(a)。 | | Received: from nnn.nix.con | | by mmm.nix.con for ; | | Received: from ehke8.adsl.internode.on.net | |Q4 by nnn.nix.con for ; | | From: "Drugstore.con" | | To: kero@nix.con | | Subject: Ultimate growth supplement | | | | HTMLでエッチな絵があった | \ \ --BBB --AAA ------------------------------------------------------- |差出: Mail Delivery Subsystem [MAILER-DAEMON@nix.con] |宛先: postmaster@mmm.nix.con [P1] |件名: Postmaster notify: see transcript for details |------------------------------------------------------ | (reason 550 < kero@nix.con >... User unknown) | <<< 503 Need RCPT [P2] |----------------------------------------- | □ [P3] ■ [P4] | ATT23.dat see transcript for details --------------|-------------------------- ↓クリックすると下の画面が出た -------------------------------------------------- 全部が[P4] |差出: Mail Delivery Subsystem [MAILER-DAEMON] |宛先: kero@nix.con [Q1] |件名: Returned mail: see transcript for details |------------------------------------------------- | (reason 550 < kero@nix.con >... User unknown) [Q2] | <<< 503 Need RCPT |---------------------------------------- ----------------------------------- | □ [Q3] ■ [Q4] |差出: Drugstore.con [kero@nix.con] | ATT29.dat Ultimate growth supplement |宛先: kero@nix.con --------------|------------------------- |件名: Ultimate growth supplement | |--------------------------------- ――――――――――――→ | HTMLでエッチな絵 クリックしたら右の画面が出た ---------------------- 全部が[Q4] * その2 注. Return-Path: と From: のメ−ルアドレスが同じになっている。 日時 送信者 受信者 件名 -------------------------------------------------------------------------------- 2009/04/... 空白 hgao@hotmail.con Returned mail: see transcript for details 外のどこかのコンピュ−タから直接 Mail-Relay に SMTP アクセスして、メ−ル送信して 来たのでないかと思う。[Q4] の "Received: from 202.241.128.3 ([555.222.111.777])" の記述、発信元が 202.241.128.3 の自分自身になっているのはおかしな話である。 多分 555.222.111.777 これが発信元なのだろう。ともかくメ−ルを送ってきた、jaki@nix.con 宛に。Mail-Store にてそんなユ−ザはいませんとなって、hgao@hotmail.con へその旨エ ラ−メ−ルを返すところで InterScan7 の迷惑フィルタ−にひっかかったのでないか。 mmm.nix.con: Mail-Store / Received: from localhost by mmm.nix.con nnn.nix.con: Mail-Relay | From: Mail Delivery Subsystem | To: | MIME-Version: 1.0 |Q1 Content-Type: multipart/report; report-type=delivery-status; boundary="AAA" | Subject: Returned mail: see transcript for details | \ This is a MIME-encapsulated message --AAA / The original message was received at Wed, from nnn [202.241.128.3] | ----- The following addresses had permanent fatal errors ----- |Q2 | (reason: 550 5.1.1 ... User unknown) \ <<< 503 5.0.0 Need RCPT (recipient) --AAA 202.241.128.3 はMail-Relayの / Content-Type: message/delivery-status バリアセグメント上の仮想IP | アドレス。 | Reporting-MTA: dns; mmm.nix.con |Q3 Received-From-MTA: DNS; nnn 555.222.111.777 は適当なIP | Final-Recipient: RFC822; jaki@nix.con アドレスに書き換えた。 | Action: failed \ Diagnostic-Code: SMTP; 550 5.1.1 ... User unknown --AAA / Content-Type: message/rfc822 | | Return-Path: | Received: from nnn.nix.con (nnn [202.241.128.3]) |Q4 by mmm.nix.con for ; | Received: from 202.241.128.3 ([555.222.111.777]) << ここおかしい。外部のど | by nnn.nix.con for ; こかのコンピュ−タから \ From: hgao@hotmail.con 直接 Mail-Relay にSMTP --AAA To: jaki@nix.con と記載のあるメ−ルもある。 アクセスしたのでないか。 メ−ルソフトで見たとしたら -------------------------------------------------- |差出: Mail Delivery Subsystem [MAILER-DAEMON] |宛先: hgao@hotmail.con [Q1] |件名: Returned mail: see transcript for details |------------------------------------------------- ----------------------- | (reason 550 < jaki@nix.con >... User unknown) [Q2] |差出: hgao@hotmail.con | <<< 503 Need RCPT |宛先: |------------------------ |件名: | □ [Q3] [Q4] ■ ――――――――――――→ |------------------- | ATT30.dat クリックすると多分 | 内容があれば ------------------------- 右の画面が出てきた ----------------- ● InterScan7 で止められた転送メ−ル * 短いメ−ルを誤検知する一つの問題 --- 携帯電話への転送メ−ルとか --- パソコンのメ−ル転送ソフトからのメ−ルが隔離される場合がおおい。どうも8割ぐらい 占めるのでないか。最初は 誤検知 のため仕方ないかと思っていたが、単なる誤検知では ない。パタ−ンがあるようだ。パソコンのメ−ル転送ソフトを TensouMail とでもいうこ とにするか。携帯電話用に整形するようになっている。改行、空白を削除する。添付ファ イルは削除する。 2009年5月連休明け時点、InterScan7 の判定ル−ルの改善により、 誤検知の問題はなくなっている。一応、こんな問題があったよと参考までに記しておく。 メ−ル転送ソフトに関係なく、そういうのもある。 メ−ル転送ソフトで添付ファイルを削除したら止められる。 メ−ル転送ソフトで改行と空白を削除したら止められる。 [ 解決するには ] パソコンのメ−ル転送ソフト TensouMail で転送メ−ルのエンベロ−プ情報を書き換える。 To: を satou@nix.co.jj から satou@ezweb.ne.jj に変更する。但しできそうにない。 とりあえずメ−ルの本文には署名を付けるように推奨する。そしてメ−ル転送ソフトで改 行と空白は削除しないようにする。 * パソコンのメ−ル転送ソフトの改行削除がやはり悪さをしている メ−ル転送ソフト。添付ファイルがついていてそれを消して。本文が "さっそく、資料を 送ります。" で、エクセルの添付ファイルをつけていた。 NG -------------------------------------------------------------------- |さっそく、資料を送ります。--REMOVED--ゴ−ルデンウィ−クの出勤.xls OK ----------------------------------------- |さっそく、資料を送ります。 |--REMOVED--ゴ−ルデンウィ−クの出勤.xls [ 改行がやはり悪さをしている ] NG 件名:おつかれさま−! -------------------------------------------------------------- |留守電の件です。。折り返しはいいです!おつかれさまでした−! OK ----------------------------------------- |留守電の件です。。。折り返しはいいです! |おつかれさまでした−! * 社内の人に送る、その人は携帯に転送 ------------------------- |お疲れ様です。了解です。 メ−ルの本文はこれだけ。 [ 先ずここで止まった ] 隔離領域の送信者と受信者はエンベロ−プ情報。 日時 送信者 受信者 件名 理由 -------------------------------------------------------------------------- 2009/... katou@nix.co.jj satou@nix.co.jj かとう スパムメ−ル InterScan7 で隔離されたメ−ルを解除する。 メ−ル転送ソフトで携帯電話にメ−ル転送。 [ ここでも止まった ] 日時 送信者 受信者 件名 理由 -------------------------------------------------------------------------- 2009/... satou@nix.co.jj satou@ezweb.ne.jj かとう スパムメ−ル ------------------------------------------ |Received: from TensouPC ([192.168.1.9]) メッセ−ジを見てみた。 | by ms.nix.co.jj for satou@ezweb.ne.jj |To: satou@nix.co.jj |From: katou@nix.co.jj |Resent-From: satou@nix.co.jj |Resent-To: satou@ezweb.ne.jj |----------------------------------------- |お疲れ様です。了解です。 メ−ルの本文が "お疲れ様です" だけのようなのは、2回止まることになる。基本的には InterScan7では受信メ−ルのみに対し、迷惑メ−ルのチェックやウィルスのチェックをす るよう設定した。それが2回目止まっているのはどうもげせない。satou@nix.co.jj から satou@ezweb.ne.jj への外へのメ−ルで、何でひっかかるのか。チェックはエンベロ−プ でなくメッセ−ジのヘッダ−情報の To: と From: をみていると解釈するしかない。サポ −トセンタ−の回答によれば、隔離表示もチェックもエンベロ−プでやっているとのこと。 間違えていた!。サポ−トセンタ−の人とやりとりしていて、スパムチェック等は送信で もやる設定になっていたことが分かった。お手数かけました、申し訳ありませんでした。 * 社内の人に送る、その人は /etc/aliases で転送 ------------------------- |お疲れ様です。了解です。 メ−ルの本文はこれだけ。 [ 止まった ] 日時 送信者 受信者 件名 理由 -------------------------------------------------------------------------- 2009/... katou@nix.co.jj jirou@nix.co.jj かとう スパムメ−ル InterScan7 で隔離されたメ−ルを解除する。 解除されたメ−ルは /etc/aliases で jirou@docomo.ne.jj に転送。これは止まらなかっ た。パソコンのメ−ル転送ソフトは使ってないから。 * 社内の人に送る、その人は携帯に転送 [ 止まった ] --------------- |お疲れ様です。 メ−ルの本文はこれだけ。 [ 通った ] ------------------------- |お疲れ様です。 | |*********************** 署名を付けた。 | 日の丸工業株式会社 | 生産システム部 推進課 | だれそれだれべえ |*********************** [ 止まった ] メ−ル転送ソフトで携帯電話にメ−ル転送。 ----------------------------------------------------- |お疲れ様です。***********************日の丸....