メッセージの添付ファイルのウィルススキャン

Domino を ICAP プロトコルサーバーと連携して、メールメッセージの添付ファイルをスキャンしてウィルスを検出するように設定できます。ウィルスを含むメッセージが検出されたときに Domino で実行するアクションを定義できます。

要件

この機能を使用するには、以下が必要です。
  • Domino 12.0.2 以上。
  • Windows および Linux でのみサポートされます。
  • ウィルススキャンを実行するサードパーティーの ICAP プロトコルサーバー。Domino は、Trend Micro Web セキュリティおよび McAfee Web ゲートウェイ製品でテストされています。ICAP プロトコルをサポートする他のウィルススキャンサーバーは、Domino で動作する可能性がありますが、HCL によってテストされていません。ICAP サーバーに接続するには TLS が必要です。

コンポーネント

ウィルススキャンには、以下のコンポーネントが含まれます。
  • ルーター、Domino メールルータータスク。ウィルススキャンが有効になっている場合、ルーターはサーバー上の mail.box データベースでウィルスの評価が必要なメッセージをスキャンし、それらを mailscan タスクのキューに入れて処理します。メッセージの通常のルーター処理は、mailscan によってメッセージが処理され、場合によっては変更が行われるまで延期されます。
  • mailscan は、ウィルスをスキャンする必要があるメッセージを処理する Domino タスクで、ICAP サーバーと通信して実際のウィルススキャンを実行し、結果を収集します。デフォルトでは、ウイルスに感染した添付ファイルやメッセージに関する情報をログに記録します。また、感染したメッセージを別のデータベースに隔離するように構成することもできます。
  • Domino コンテンツスキャン構成 (cscancfg.nsf) は、ウィルススキャンの構成に使用される mailscan によって作成されたドメイン全体のデータベースです。
  • Domino コンテンツスキャンログ (cscanlog.nsf) は、mailscan によって作成されたサーバー固有のデータベースで、サーバーのウィルススキャンの結果をログに記録します。mailscan は、サーバーの ICAP 構成を検出するとデータベースを作成します。
  • Domino コンテンツスキャン検疫 (cscanquarantine.nsf) は、mailscan によって作成されたサーバー固有のデータベースで、元の感染メッセージが保存されます (管理者が保存することを選択した場合)。mailscan は、サーバーの ICAP 構成を検出するとデータベースを作成します。

スキャンの仕組み

  1. Domino では、各インバウンドメッセージが mail.box に保持され、ウィルススキャンが実行されます。
  2. Domino は mail.box 内の各メッセージを評価し、以下のいずれかの手順を実行します。
    • メッセージが既に別の Domino サーバーでスキャンされている場合は、サーバーがメッセージに配置したセキュアトークンを検証します。トークンがドメイン内の信頼されたサーバーによって書き込まれ、かつトークン内のウィルス定義シグニチャーが現在の ICAP サーバーのウィルス定義シグニチャーと同等であり、さらにスキャンされたデータが変更されていない場合は、メッセージが配信されます。
    • メッセージに添付ファイルがない場合は、メッセージが配信されます。
    • メッセージに、Domino が解釈できないためスキャンできない暗号化された添付ファイルが含まれている場合は、メッセージが配信されます。
    • それ以外の場合、Domino サーバー上の mailscan タスクは、メッセージの各添付ファイルを ICAP サーバーに送信します。
  3. ICAP サーバーは、各添付ファイルをスキャンして、 Domino サーバーに応答し、添付ファイルにウィルスが含まれているかどうかを示します。
  4. Domino はその添付ファイルにウィルスが含まれているかどうかを評価することで、メッセージにウィルスが含まれているかどうかを判断します。
  5. メッセージにウィルスが含まれていない場合、Domino は添付ファイルデータのハッシュと、現在のウィルス定義を識別する ICAP サーバーによって提供されるウィルス定義署名を含むセキュアトークンを作成します。次に、トークンがメッセージのアイテムとして追加され、メッセージが配信されます。オプションで、スキャンされたすべてのメッセージと添付ファイルに関する情報が cscanlog.nsf に記録されるように機能を構成することもできますが、通常はウィルスが含まれている場合にのみログを記録します。
  6. メッセージにウィルスが含まれている場合、Domino は、感染したコンテンツが受信者に配信されないことを確認し、感染したコンテンツに関する情報をログに記録するためのアクションを実行します。
    1. cscancfg.nsf 構成に応じて、以下のいずれかのステップを実行します。
      • 通知付きでメッセージを破棄: メッセージの内容を削除し、管理者によって構成された変更された件名行と置換本文テキストでメッセージを配信します。
      • メッセージを消去して配信: 感染した添付ファイルを、その内容を管理者が構成した添付ファイルテキストに置き換えてクリーンアップし、管理者によって構成された変更された件名行でメッセージを配信します。
      • メッセージのサイレント廃棄: メッセージを削除し、ユーザーに通知を送信しません。
    2. Domino は、感染したメッセージと添付ファイルに関する情報を cscanlog.nsf に記録します。
    3. また、cscancfg.nsf で設定されている場合は、元のメッセージが cscanquarantine.nsf に隔離されます。

パフォーマンス

Mailscan タスクは、パフォーマンスを向上させるために複数のスレッドをサポートしています。デフォルトは 4 スレッドで、ANTI_VIRUS_WORKER_THREADS=20 notes.ini 変数を使用して 20 スレッドまで増やすことができます。