扫描邮件附件以查找病毒

您可以将 Domino 设置为与 ICAP 协议服务器配合工作,以扫描邮件消息中的附件来查找病毒。您可以定义 Domino 在发现包含病毒的邮件时采取的操作。

要求

此功能需要:
  • 至少 Domino 12.0.2。
  • 仅在 Windows 和 Linux 上受支持。
  • 用于进行病毒扫描的第三方 ICAP 协议服务器。Domino 已使用 Trend Micro Web Security 和 McAfee Web Gateway 产品进行了测试。支持 ICAP 协议的任何其他病毒扫描服务器都可能与 Domino 一起使用,但尚未经过 HCL 测试。需要 TLS 才能连接到 ICAP 服务器。

组件

病毒扫描涉及以下组件:
  • router,Domino 邮件路由器任务。如果启用了病毒扫描,router 将扫描服务器上的 mail.box 数据库以查找需要进行病毒评估的邮件,并将它们排队到 mailscan 任务进行处理。邮件的正常路由器处理将延迟到 mailscan 处理(可能是修改)邮件之后。
  • mailscan,一个 Domino 任务,它处理需要进行病毒扫描的邮件,并与 ICAP 服务器通信以执行实际病毒扫描并收集结果。缺省情况下,它会记录有关感染病毒的附件和邮件的信息。还可以将它配置为将受感染的邮件隔离到单独的数据库。
  • Domino 内容扫描配置 (cscancfg.nsf),由 mailscan 创建的域范围的数据库,用于配置病毒扫描。
  • Domino 内容扫描日志 (cscanlog.nsf),由 mailscan 创建的特定于服务器的数据库,用于记录服务器的病毒扫描结果。mailscan 在检测到服务器的 ICAP 配置时创建该数据库。
  • Domino 内容扫描隔离区 (cscanquarantine.nsf),由 mailscan 创建的特定于服务器的数据库,在该数据库中保存原始受感染的邮件(如果管理员选择这样做)。mailscan 在检测到服务器的 ICAP 配置时创建该数据库。

扫描的工作方式

  1. Domino 将每个外来邮件保存在 mail.box 中以进行病毒扫描。
  2. Domino 评估 mail.box 中的每个邮件,并执行下列其中一个步骤:
    • 如果邮件已在另一个 Domino 服务器上扫描,它会验证该服务器放置在邮件上的安全令牌。如果令牌是由域中的可信服务器编写的,并且令牌中的病毒定义特征码等同于当前 ICAP 服务器的病毒定义特征码,并且扫描的数据没有被修改,则路由邮件。
    • 如果邮件没有附件,它会路由邮件。
    • 如果邮件包含 Domino 无法解释而因此无法扫描的加密附件,它会路由邮件。
    • 否则, Domino 服务器上的 mailscan 任务会将每个邮件的附件发送到 ICAP 服务器。
  3. ICAP 服务器扫描每个附件并对 Domino 服务器进行响应,以指示附件是否包含病毒。
  4. Domino 通过评估邮件的任何附件是否包含病毒来确定邮件是否包含病毒。
  5. 如果邮件不包含病毒,那么 Domino 将构造一个安全令牌,其中包括附件数据的散列以及 ICAP 服务器提供的用于标识其当前病毒定义的病毒定义特征码。然后,Domino 将令牌添加为邮件上的项,并路由邮件。您可以选择性地配置此功能,以便将所有已扫描邮件和附件的信息记录到 cscanlog.nsf,但通常您只会在它们包含病毒时进行记录。
  6. 如果邮件包含病毒,Domino 会执行一些操作来确保受感染的内容不会传递给收件人,并记录有关受感染内容的信息。
    1. 执行下列其中一个步骤,具体取决于 cscancfg.nsf 配置:
      • 丢弃带有通知的邮件:删除邮件内容,并使用管理员配置的修改后主题行和替换正文文本路由邮件。
      • 清理邮件并发送:通过将受感染附件的内容替换为管理员配置的附件文本来清理受感染附件,并使用管理员配置的修改后主题行路由邮件。
      • 静默丢弃邮件:删除邮件,且不向用户发送任何通知。
    2. Domino 将有关受感染邮件和附件的信息记录到 cscanlog.nsf。
    3. Domino 还会将原始邮件隔离到 cscanquarantine.nsf(如果将 cscancfg.nsf 配置为这样操作 )。

性能

mailscan 任务支持多个线程以提高性能。缺省值为 4 个线程,可以使用 ANTI_VIRUS_WORKER_THREADS=20 notes.ini 变量增加到最多 20 个线程。