메시지 첨부 파일에서 바이러스 스캔

ICAP 프로토콜 서버와 함께 작동하여 메일 메시지의 첨부 파일에서 바이러스를 스캔하도록 Domino를 설정할 수 있습니다. Domino에서 바이러스가 포함된 메시지를 찾으면 수행하는 조치를 정의할 수 있습니다.

요구사항

이 기능을 사용하려면 다음이 필요합니다.
  • 최소 Domino 12.0.2
  • Windows 및 Linux에서만 지원
  • 바이러스 스캔을 수행할 써드파티 ICAP 프로토콜 서버. Domino는 Trend Micro 웹 보안 및 McAfee 웹 게이트웨이 제품과 함께 테스트되었습니다. ICAP 프로토콜을 지원하는 기타 바이러스 스캔 서버는 Domino에서 작동할 가능성이 크지만 HCL에서 테스트하지 않았습니다. ICAP 서버에 연결하려면 TLS가 필요합니다.

Components

바이러스 스캔과 연관된 구성요소는 다음과 같습니다.
  • 라우터 - Domino 메일 라우터 태스크. 바이러스 스캔이 사용 가능한 경우 라우터는 서버의 mail.box 데이터베이스에서 바이러스를 평가해야 하는 메시지를 스캔하고 처리를 위해 메일 스캔 태스크의 큐에 넣습니다. 일반적인 라우터의 메시지 처리는 메일 스캔이 처리될 때까지 지연되며 메시지를 수정할 수 있습니다.
  • 메일 스캔 - 바이러스를 스캔해야 하는 메시지를 처리하고 ICAP 서버와 통신하여 실제 바이러스 스캔을 수행하고 결과를 수집하는 Domino 태스크. 기본적으로 바이러스에 감염된 첨부 파일 및 메시지에 대한 정보를 기록합니다. 또한 감염된 메시지를 별도의 데이터베이스로 격리하도록 구성할 수도 있습니다.
  • Domino 컨텐츠 스캔 구성(cscancfg.nsf) - 메일 스캔에 의해 작성되는 도메인 범위 데이터베이스로, 바이러스 스캔을 구성하는 데 사용됩니다.
  • Domino 컨텐츠 스캔 로그(cscanlog.nsf) - 메일 스캔에 의해 작성되는 서버별 데이터베이스로, 서버의 바이러스 스캔 결과를 기록합니다. 메일 스캔에서는 서버에 대한 ICAP 구성을 감지하면 이 데이터베이스를 작성합니다.
  • Domino 컨텐츠 스캔 격리(cscanquarantine.nsf) - 메일 스캔에 의해 작성되는 서버별 데이터베이스로, 관리자의 선택에 따라 원래 감염된 메시지가 저장되는 데이터베이스입니다. 메일 스캔에서는 서버에 대한 ICAP 구성을 감지하면 이 데이터베이스를 작성합니다.

스캔 작동 방식

  1. Domino에서 바이러스 스캔을 위해 각 인바운드 메시지를 mail.box에 보관합니다.
  2. Domino에서 mail.box의 각 메시지를 평가하고 다음 단계 중 하나를 수행합니다.
    • 메시지가 다른 Domino 서버에서 이미 스캔된 경우 해당 서버가 메시지에 배치한 보안 토큰을 검증합니다. 토큰이 도메인의 신뢰할 수 있는 서버에 의해 작성되었고, 토큰의 바이러스 정의 서명이 현재 ICAP 서버의 바이러스 정의 서명과 동등하고, 스캔된 데이터가 수정되지 않은 경우 메시지를 라우팅합니다.
    • 메시지에 첨부 파일이 없으면 메시지를 라우팅합니다.
    • 메시지에 Domino에서 해석할 수 없어서 스캔할 수 없는 암호화된 첨부 파일이 포함되어 있으면 메시지를 라우팅합니다.
    • 그 외의 경우 Domino 서버의 메일 스캔 태스크에서 각 메시지 첨부 파일을 ICAP 서버로 보냅니다.
  3. ICAP 서버가 각 첨부 파일을 스캔하고 첨부 파일에 바이러스가 포함되어 있는지를 나타내는 응답을 Domino 서버에 보냅니다.
  4. Domino는 첨부 파일에 바이러스가 포함되어 있는지를 평가하여 메시지에 바이러스가 포함되어 있는지를 판별합니다.
  5. 메시지에 바이러스가 포함되어 있지 않은 경우 Domino는 첨부 파일 데이터의 해시 및 ICAP 서버에서 제공하는 현재 바이러스 정의를 식별하는 바이러스 정의 서명을 포함하는 보안 토큰을 작성합니다. 그런 다음 토큰을 메시지의 항목으로 추가하고 메시지를 라우팅합니다. 필요에 따라 스캔한 모든 메시지 및 첨부 파일에 대한 정보를 cscanlog.nsf에 기록하도록 기능을 구성할 수도 있습니다. 통상적으로는 바이러스가 포함된 경우에만 기록합니다.
  6. 메시지에 바이러스가 포함된 경우 Domino는 다음과 같은 조치를 통해 감염된 컨텐츠가 수신인에게 전달되지 않도록 하고 감염된 컨텐츠에 대한 정보를 기록합니다.
    1. cscancfg.nsf 구성에 따라 다음 단계 중 하나
      • 알림이 있는 메시지 삭제: 메시지 내용을 삭제하고 관리자가 구성한 수정된 제목 행 및 대체 본문 텍스트와 함께 메시지를 라우팅합니다.
      • 메시지 정리 및 배달: 감염된 첨부 파일의 컨텐츠를 관리자가 구성한 첨부 파일 텍스트로 대체하여 첨부 파일을 정리하고 관리자가 구성한 수정된 제목 행과 함께 메시지를 라우팅합니다.
      • 자동으로 메시지 삭제: 메시지를 삭제하고 사용자에게 알림을 보내지 않습니다.
    2. Domino에서는 감염된 메시지 및 첨부 파일에 대한 정보를 cscanlog.nsf에 기록합니다.
    3. 또한 Domino에서는 cscancfg.nsf의 구성에 따라 원본 메시지를 cscanquarantine.nsf에 격리합니다.

성과

메일 스캔 태스크에서는 성능을 향상하기 위해 여러 스레드를 지원합니다. 기본값은 4개 스레드이며 ANTI_VIRUS_WORKER_THREADS=20 notes.ini 변수를 사용하여 최대 20개 스레드까지 늘릴 수 있습니다.