|
Dr.Web vxCubeとの統合 |
|
このセクションの内容 Dr.Web MailDは外部メールチェックフィルターとしてメールサーバーに接続し、メール添付ファイルを解析するDr.Web vxCubeと統合することができます。 Dr.Web vxCubeは、潜在的に悪意のあるファイルを解析し、選択された環境での動作に関する詳細なレポートを作成し、検出された脅威を駆除するツールを生成するWebサービスです。Dr.Web vxCubeは解析のためにハードウェア仮想化を使用します。これにより、Dr.Web vxCubeは高速で動作し、解析対象のファイルから見えないようになります。 Dr.Web vxCubeは高度なマルウェア検出機能を備えており、シグネチャデータベースにまだ存在せず、他の解析方法では見過ごされる可能性のある最新の脅威を特定できます。 Dr.Web vxCubeを使用する場合、Dr.Web MailDコンポーネントは解析のために、vxCube APIを通じてDr.Web vxCubeにメール添付ファイルを送信します。Dr.Web vxCubeはすべての添付ファイルをスキャンし、ファイルのステータス(クリーン、疑わしい、または危険)の判定をレポートにしてDr.Web MailDに返します。動作モードに応じて、Luaスクリプトがこのレポートを使用して各メールを処理するか、レポートがシステム管理者にメール送信されます。 Dr.Web vxCubeをメールスキャンに使用するには、有効なDr.Web vxCubeのライセンスが必要です。 Dr.Web MailDとDr.Web vxCubeはSMTPモードとBCCモードのどちらかで統合できます。これらのモードではメールサーバーへの接続にMilter、Spamd、およびRspamdインターフェースを使用しません。 SMTPモードではメールのトラフィックが能動的にフィルタリングされ、メールに適用されるルールを設定できます。 SMTPモードはPostfixメールサーバーでサポートされています。 SMTPモードで運用する場合、Dr.Web vxCubeとの統合はオプションです。Dr.Web vxCubeを使用しない場合、Dr.Web MailDがすべてのチェックを行います。 動作 1.クライアントはメールを送信するときに、ローカルエリアネットワークの外部からアクセス可能なMTAソケットに接続します。 2.MTAは受信メッセージをチェック待ちのメッセージのキューに保存し、その保存ステータスをユーザーに通知し、スキャンのためにメッセージをDr.Web MailDに転送します。 3.Dr.Web MailDはメールメッセージを整理するために、それらをディスクに保存し、Dr.Web MailDコンポーネントのDr.Web Mail Quarantineを通じてそのメタデータをSQLiteデータベースに保存します。 4.Dr.Web MailDは、明示的に設定されたLuaスクリプトを使用してメッセージをチェックします。 メッセージのチェックはDr.Web MailDまたはDr.Web vxCubeを使用して行えます。それらの製品がDr.Web vxCubeと統合されている場合、Dr.Web MailDは、選択されている処理手順に応じて、メッセージ全体をDr.Web vxCubeに転送して添付ファイルを抽出することも、その設定で指定されているタイプの添付ファイルを独自に抽出してDr.Web vxCubeに転送することもできます。いずれの方法でも、Dr.Web vxCubeは添付ファイルを受信すると、悪意のあるコードがないか各ファイルを解析し、添付ファイルのセキュリティステータスに関する判定を行い、その判定結果をDr.Web MailDに送信します。 5.Dr.Web MailDは、メッセージ処理手順(hook)を含むLuaスクリプトを使用して、メッセージに適用する適切なアクション(pass、reject、return error to senderなど)を決定します。 通過したチェック済みのメッセージは、プロセスで変更することもできます。たとえば、件名を付けたり、既存の件名を編集したりできます。添付ファイルに脅威が発見された場合、その添付ファイルはアーカイブされます。 6.Dr.Web MailDはメッセージをMTAキューに返します。そのメッセージは、チェック済みのメッセージ専用に予約され、ローカルネットワークの外部からはアクセスできないソケットに転送されます。 7.MTAはチェック済みメールのキューにメッセージを保存し、保存ステータスをDr.Web MailDに通知し、受信者へのメッセージの配信を試みます。配信に成功した場合、メッセージはMTAのキューから削除されます。失敗した場合は、一定時間後に配信が再試行されます。 MTAを設定する 外部メールフィルターとしてDr.Web MailDをSMTPモードで接続するMTA Postfixの設定例については、フィルターとしてのMTAとの統合のセクションを参照してください。 Dr.Web MailDを設定する Dr.Web vxCubeに加えて、Dr.Web MailDをSMTPモードのメールサーバーとも統合するには、設定ファイルの多くのパラメータ、すなわちDr.Web MailD設定([MailD]セクション)およびDr.Web ConfigD設定([Root]セクション)のパラメータが正しく設定されていることを確認する必要があります。 SMTPモードでのMTAとの統合を制御するDr.Web MailDの主要パラメータには、すべてその名前にプレフィックスSmtpが付きます。 Dr.Web vxCubeとの統合を行わず本製品をSMTPモードで動作させるためには、[MailD]セクションで次のパラメータを設定する必要があります。 •SmtpSocket - Dr.Web MailDがMTAからチェック済みのメールメッセージを受信するために使用するソケット。UNIXまたはネットワークソケットを使用できます。 •SmtpSenderRelay - Dr.Web MailDがチェック済みのメールメッセージを転送するために使用するMTAソケット。UNIXまたはネットワークソケットを使用できます。 必要に応じてオプションのパラメータを設定することもできます。SMTPモードに影響するパラメータにはSmtpプレフィックスが付いています。 SMTPモードで動作するDr.Web MailDのメール処理ルールは、SmtpHookパラメータによって決定されます。その値として入力されたデフォルトのスクリプトを使用することも、編集することもできます。Luaスクリプトによるメール処理の詳細については、Luaでのメール処理を参照してください。 Dr.Web vxCubeと統合した本製品をSMTPモードで動作させるためには、[Root]セクションで次のパラメータも設定する必要があります。 •UseVxcube=Yes - MTAに接続された外部フィルターとして、メール添付ファイルの解析にDr.Web vxCubeを使用します。 •VxcubeApiAddress - Dr.Web vxCube APIサーバーが稼働しているホストのドメイン名(FQDN)またはIPアドレス。 •VxcubeApiKey - Dr.Web vxCubeのAPIキー。 必要に応じてオプションのパラメータを設定することもできます。Dr.Web vxCubeとの統合に影響するパラメータにはVxcubeプレフィックスが付いています。 BCCモードはメールのトラフィックセキュリティを受動的にモニタリングするもので、潜在的に悪意のあるファイルから受信者を能動的に保護するものではありません。 BCCモードは、ブラインドカーボンコピー(BCC)の送信をサポートするすべてのMTAでサポートされています。 このモードは、特にDr.Web vxCubeとの統合に使用されます。このモードでは、メールのチェック(およびフィルタリング)はDr.Web vxCubeによって実行されます。 動作 1.クライアントはメールを送信するときに、ローカルエリアネットワークの外部からアクセス可能なMTAソケットに接続します。 2.MTAは元のメッセージを受信者に送信し、そのブラインドカーボンコピーを作成して、Dr.Web MailD設定で指定されている、固有のドメインを持つ内部メールアドレスに転送します。 3.ローカルDNSサーバーは、システム管理者が作成したMXレコードに従って、LANの外部からアクセスできないDr.Web MailDのリスニングソケットに対応するIPアドレスにメッセージのコピーを送信します。 4.Dr.Web MailDはメールメッセージをチェック待ちのキューとチェック済みメールのキューに整理するために、それらをディスクに保存し、Dr.Web Mail Quarantineコンポーネントを通じてそのメタデータをSQLiteデータベースに保存します。 5.Dr.Web MailDは設定に基づいて、メール添付ファイルに含まれる特定のタイプのファイルを識別し、解析のためにDr.Web vxCubeに転送します。 6.Dr.Web vxCubeは、悪意のあるコードが含まれていないか各ファイルを解析し、添付ファイルのセキュリティステータスについて判定を行い、各添付ファイルの解析に関するレポートをDr.Web MailDに送信します。 7.Dr.Web MailDは、メッセージに添付されているすべてのファイルに関するレポートを1つの共通レポートに集約します。 8.少なくとも1つのファイルが「疑わしい」または「危険」と判定された場合、Dr.Web MailDはDr.Web MailD設定で指定されているメールアドレスで、システム管理者に集計したレポートを転送します。 MTAを設定する BCCモードでMTAとDr.Web MailDのインタラクションを確保するには、一意のドメインを持つメールアドレスにメールメッセージのブラインドカーボンコピーが転送されるように、MTAの設定を変更する必要があります。 設定の変更後、MTAを再起動します。 Dr.Web MailDにブラインドカーボンコピーを転送するには、MTAで指定したメールアドレスのドメインのMXレコードをローカルDNSサーバーに追加します。このレコードでは、Dr.Web MailDのリスニングソケットが指定されている必要があります(共通設定ファイルの[MailD]セクションのBccSocketパラメータ)。 Dr.Web MailDを設定する Dr.Web vxCubeに加えて、Dr.Web MailDをBCCモードのメールサーバーとも統合するには、設定ファイルの多くのパラメータ、すなわちDr.Web MailD設定([MailD]セクション)およびDr.Web ConfigD設定([Root]セクション)のパラメータが正しく設定されていることを確認する必要があります。 BCCモードでのMTAとの統合を制御するDr.Web MailDの主要パラメータには、すべてその名前にBccプレフィックスが付いています。 次のパラメータに値を設定する必要があります。 •[Root]セクション: ▫UseVxcube=Yes - MTAに接続された外部フィルターとして、メール添付ファイルの解析にDr.Web vxCubeを使用します。 ▫VxcubeApiAddress - Dr.Web vxCube APIサーバーが稼働しているホストのドメイン名(FQDN)またはIPアドレス。 ▫VxcubeApiKey - Dr.Web vxCubeのAPIキー。 •[MailD]セクション: ▫BccSocket - Dr.Web MailDがMTAからチェック済みのメールメッセージを受信するために使用するソケット。UNIXまたはネットワークソケットを使用できます。 ▫BccReporterAddress - Dr.Web MailDがチェック済み添付ファイルに関するレポートの送信に使用する送信元アドレス。 ▫BccReporterPassword - Dr.Web MailDがチェック済み添付ファイルに関するレポートの送信に使用するメールアカウントのパスワード。 ▫BccReportRecipientAddress - Dr.Web MailDがチェック済み添付ファイルに関するレポートの送信に使用する送信先アドレス。 ▫BccSmtpServer - メッセージの送信に使用されるMTAのアドレス。ドメイン、IPアドレス、またはUNIXソケットを指定できます。 必要に応じてオプションのパラメータを設定することもできます。BCCモードに影響するパラメータにはプレフィックスBcc、Dr.Web vxCubeとの統合に影響するパラメータはプレフィックスVxcubeが付いています。 |