18.ウイルスをブロックしよう (Enterprise II)

コンピュータウイルスの種類やその感染経路は、今や多彩になってきているが、相変わらず、ウイルス感染経路の大部分がメール経由で添付ファイルで送られてくるもの、という事実は変わっていない。
E-Post Mail Server Enterprise II は、ウィルス感染を未然に防ぐための方法としてファストスキャン版アンチウイルスエンジンを搭載している。
このアンチウイルスエンジンの対象は、あくまでメールだけだが、狭義のウイルスだけでなく、マルウェアや一部のスパイウェアと呼ばれる広義のウイルス付きメールもブロックしてくれる。
ウイルス付きメールをブロックをするには、アンチウイルス機能を有効にし、必要に応じて通知設定などを設定する。

「Virus Check機能図」

アンチウイルス機能を有効にする

設定方法は、次の通り、非常に簡単だ。
「Virus check」タブの「アンチウイルスを有効にする」チェックボックスをオンにする。手順としては、その後「適用」ボタンをクリックし、「サービス制御」タブ画面から EPSTRS を「終了」→「開始」で再起動させればよい。
アンチウイルス機能が有効にされると、受信しようとするメールに対し、ウイルススキャンがその都度実行され、ウイルスが発見された場合は受信拒否を行うようになる。
また、「ログを残す」チェックボックスがオンにされていると、[メール作業フォルダ]下の"viruslog"というフォルダ中に、発見されたウイルスメールがメールデータファイルとして保管される。記録とともに隔離がされるわけだ。
そして、実際にメールにウイルスが発見されているかどうかを管理者が知りたい場合には、「通知設定」ボタンをクリックして、表示されるダイアログボックスで設定することで、ウイルス発見時の通知有無の設定が可能になっている。

通知メール設定

表示される「通知メール設定」ダイアログボックスにある「メールで通知する」チェックボックスをオンにし、送信元アドレスや送信先アドレスを指定しておけば、指定した内容に従ってメール通知が行われるようになる。

「通知メール設定」ダイアログボックスの内容

SMTPサーバー
  通知に使用するSMTPサーバーを指定。これは自身のSMTPサーバーでよい。
ポート
  SMTPサーバーのポート番号(デフォルト 25)
送信元アドレス
  通知メールの送信者アドレスを指定。
  たとえば user1@test-sample.jp などと設定する。
送信者名
  通知メールの送信者名を指定。
  わかりやすいように、Virus Alart などとしておけばよい。
送信先指定
  送信先指定は、いわゆる通知先でいろいろな条件が指定できる。
  詳細な条件指定は次の通り。
送信先を指定
  送信先アドレス欄に指定したアドレスに通知を行う。
  複数送信先を指定する場合は、","(半角カンマ)の区切りを入れることで
  可能になる。
  また、変数名(&TO,&FROM,&RCV,&SND)を指定すると、変数名に
  従って、次のように通知を行うようになる。
   変数名
   &TO   ウイルスの発見されたメールのTO:ヘッダに記載された最初のアドレスに通知する。
   &FROM ウイルスの発見されたメールのFROM:ヘッダに記載された最初のアドレスに通知する。
   &RCV  ウイルスの発見されたメールの送信手順で送られたRCPT TO:のアドレスに通知する。
   &SND  ウイルスの発見されたメールの送信手順で送られたMAIL FROM:のアドレスに通知する。
   例)
   xxx1@abc.jp と メールの送信手順で送られたRCPT TO:のアドレスへ通知する場合
   xxx1@abc.jp,&RCV または &RCV,xxx1@abc.jp
   先頭の記述アドレスがメールのTO:ヘッダに記録され、それ以降のアドレスはCC:ヘッダに記録される。
   
送信元へ送信
  送信元アドレスに通知を行う。
両方に送信
  送信先アドレス欄に指定したアドレス及び送信元アドレスに通知を行う。
SMTP認証で送信(PLAINのみ)
  SMTP認証で送信する場合に指定。(PLAIN方式のみ)
  ユーザー名 SMTP認証で使用するアカウントを指定。
  パスワード SMTP認証で使用するアカウントのパスワードを指定。

「チェック不要なIP」

「チェック不要なIP」は、ウイルスチェックの不要なIPアドレス(つまり、信頼できるIPのホワイトリスト)を指定する。チェックをパスすることで、そのIPアドレスからの送信レスポンスを向上させる目的に利用する。
逆に言うと、設定していない場合は、外から中に入ってくるメールはもちろん、中から外に送信するメール、内部どうしのメールなどもすべてウイルスチェックがされることになり、よけいなパフォーマンスがかかることになる。
送信時には、ウイルスチェック不要で送りたい場合もある。たとえば、LAN内のマシンからメールマガジンや案内メールを個別に多数のユーザ宛に送る場合などがそうだ。
安全であるとわかっているメール送信に対して、ウイルスチェックを行うことで安心感は増すものの、送信時のパフォーマンスは低下し、時間もその分だけかかる計算になる。
そうした場合、「チェック不要なIP」にチェック不要な送信元のIPアドレスを、指定すればよい。

アンチウイルス関係のすべての設定が終わった後は、Mail Controlの「適用」ボタンをクリックし、「サービス制御」タブ画面から EPSTRS を「終了」→「開始」で再起動させるのを忘れないようにしよう。再起動後、メール着信ごとにメールに対するウイルスチェックが働くようになる。

パターンファイル更新記録とウイルス検出記録

Mail Controlの「サービス制御」タブ画面にある VMCS(E-POST Virus Modify Client Service)は、ウイルス情報DBを時間単位で更新するサービスである。
更新が行われないと、ウイルスチェックは古い情報でしかチェックがされない。VMCSサービスが動いていないと、最新のウイルスの発見ができなくなるおそれがあるので注意が必要である。

パターンファイル自動更新記録を有効にするとともに、ウイルス検出記録を有効にさせて、動作を実際に確認してみよう。ただし、確認といっても、ウイルス付きメールは流せないので、処理が正しくされているかチェックしてみることにする。

    (パターンファイル自動更新ログ)
  1. 「サービス制御」タブ画面を開き、VMCS「詳細ボタン」をクリック。
  2. 「(詳細設定)ウイルスデータ更新」ダイアログボックスが表示されるので、「ログを残す」チェックボックスをオンにする。
  3. オンにした後、「OK」ボタンをクリックし、ダイアログを閉じる。
  4. 「VMCS」を「停止」→「開始」することで、再起動を行い、自動更新サービスを起動し直す。
  5. ウイルス情報の自動更新が正しく行われている場合は、プログラムインストールフォルダ(C:\Program Files\EPOST\MS\)内に「log」フォルダが自動作成され、このフォルダ内に更新記録が定期的に記録されるようになる。
    逆に、ログが不要な場合は、上記「ログを残す」チェックボックスをオフして、上記3〜5の手順を行えばよい。
    (ウイルス検出ログ)
  1. メール受領時に正しくアンチウイルス機能が働いているかを確認するために、ログを取得する場合は、メール作業フォルダ(デフォルト C:\mail)内に、「3rd-party」というフォルダを手動で作成する。
  2. フォルダを手動作成した後、「EPSTRS」を「停止」→「開始」することで、再起動を行う。
  3. メールクライアント、または telnetからメールを送信する。
  4. 「3rd-party」フォルダ内に検出動作ログが記録されるのを確認する。

動作ログ例1(正常=ウイルスが発見されない場合)

Source = C:\mail
_spawnl() "C:\PROGRA~1\EPOST\MS\kasp.exe" C:\mail\temp\B00000xxxx1.MSG
[B00000xxxx1] argv[1] = C:\mail\temp\B00000xxxx1.MSG
[B00000xxxx1] Source = C:\mail
[B00000xxxx1] Start Virus scan.
[B00000xxxx1] End Virus scan.(C:\mail\temp\B00000xxxx1.MSG, )
[B00000xxxx1] nResult = 1 ()
Return code = 1

動作ログ例2(ウイルスが発見された場合)

Source = C:\mail
_spawnl() "C:\PROGRA~1\EPOST\MS\kasp.exe" C:\mail\temp\B00000xxxx0.MSG
[B00000xxxx0] argv[1] = C:\mail\temp\B00000xxxx0.MSG
[B00000xxxx0] Source = C:\mail
[B00000xxxx0] Start Virus scan.
[B00000xxxx0] End Virus scan.(C:\mail\temp\B00000xxxx0.MSG, TRO-DOWNLOADER.W32/FRAUDLOAD.Z6157)
[B00000xxxx0] nResult = 0 (TRO-DOWNLOADER.W32/FRAUDLOAD.Z6157)
[B00000xxxx0] send alert = C:\mail\temp\B00000xxxx0.MSG
[B00000xxxx0] _execl(vcpisc "C:\PROGRA~1\EPOST\MS\vcpisc.exe" xxx1@abc.jp -subject="ウイルス警告 TRO-DOWNLOADER.W32/FRAUDLOAReturn code = 0D.Z6157" -message="ウイルスが発見されました。(Message-ID: B00000xxxx0)" -attach="C:\mail\temp\B00000xxxx0.txt"
Return code = 0

試用ライセンスの状態のままで試用期間を過ぎてしまっていたり、ライセンスが有効でもウイルス情報DBが更新され続けていないと、そのうちウイルスチェックは働かなくなる。ウイルスチェックが働かなくなったメールサーバは、ウイルスメールがやってきても、すべててスルーさせてしまうので、注意が必要だ。
なお、ウイルス検出ログが不要な場合は、作成した 3rd-party フォルダを削除するか、リネームしておくことで、記録自体はされなくなる。



書籍『E-Post Mail Server完全ガイド』ご案内