はじめに
このドキュメントでは、Sophosウイルス対策エンジンまたはMcAfeeウイルス対策エンジンがCisco Eメールセキュリティアプライアンス(ESA)でスキャンしていることを確認するためのサンプルメッセージの送信方法について説明します。
アンチウイルスエンジンがCisco Eメールセキュリティアプライアンス(ESA)でスキャンしていることを確認するためのサンプルメッセージの送信方法
テストウイルスペイロードを含むサンプルメッセージをESA経由で送信することで、SophosまたはMcAfeeアンチウイルスエンジンをトリガーできます。 このドキュメントに記載されている手順を実行する前に、着信または発信メールポリシーを設定し、アンチウイルスドロップまたは検疫ウイルスに感染したメッセージを含むようにメールポリシーを設定する必要があります。 このドキュメントでは、添付ファイルとしてテストウイルスをシミュレートするEICAR(www.eicar.org)から提供されるASCIIコードを使用します。
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
注:EICAR準拠:このテストファイルは、「EICAR標準アンチウイルステストファイル」としてEICARに提供されており、上記のすべての基準を満たしています。それはウイルスではなく、ウイルスコードの断片を含んでいないため、回避することは安全です。ほとんどの製品は、ウイルスであるかのように反応します(ただし、通常は「EICAR-AV-Test」などの明白な名前で報告されます)。
TXTファイルの作成
上記のASCII文字列を使用して.txtファイルを作成し、ファイルの本文として書き込まれた文字列を配置します。 このファイルは、サンプルメッセージの添付ファイルとして送信できます。
サンプルメッセージの送信
作業方法に応じて、ESAを介してサンプルメッセージをさまざまな方法で送信できます。 2つの例は、mailを使用するUNIX CLI経由の方法と、Outlook(または他の電子メールアプリケーション)からの方法です。
UNIXのCLI
joe@unix.local:~$ echo "TEST MESSAGE w/ ATTACHMENT" | mail -s "A/V test example" -A av.txt bob@av.esa
ESAを介してメールを送信または中継するには、UNIX環境を適切に設定する必要があります。
見通し
Outlook(または別の電子メールアプリケーション)を使用してASCIIコードを送信するには、1)作成した.txtファイルを使用する、2)メールメッセージの本文にASCII文字列を直接貼り付ける、という2つの選択肢があります。
.txtファイルを添付ファイルとして使用する:
メールメッセージの本文でASCII文字列を使用する:
ESAを介してメールを送信または中継するには、Outlook(またはその他の電子メールアプリケーション)を適切に設定する必要があります。
検証
ESA CLIで、コマンドtail mail_logsを使用してからサンプルメッセージを送信します。 メールログを見ている間、メッセージがスキャンされ、McAfeeによって「VIRAL」として捕捉されていることがわかります。
Wed Sep 13 11:42:38 2017 Info: New SMTP ICID 306 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
Wed Sep 13 11:42:38 2017 Info: ICID 306 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
Wed Sep 13 11:42:38 2017 Info: Start MID 405 ICID 306
Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 From: <joe@example.com>
Wed Sep 13 11:42:38 2017 Info: MID 405 ICID 306 RID 0 To: <bob@av.esa>
Wed Sep 13 11:42:38 2017 Info: MID 405 Message-ID '<20170913153801.0EDA1A0121@example.com>'
Wed Sep 13 11:42:38 2017 Info: MID 405 Subject 'A/V test attachment'
Wed Sep 13 11:42:38 2017 Info: MID 405 ready 1057 bytes from <joe@example.com>
Wed Sep 13 11:42:38 2017 Info: MID 405 attachment 'av.txt'
Wed Sep 13 11:42:38 2017 Info: ICID 306 close
Wed Sep 13 11:42:38 2017 Info: MID 405 matched all recipients for per-recipient policy my_av in the inbound table
Wed Sep 13 11:42:38 2017 Info: MID 405 interim AV verdict using McAfee VIRAL
Wed Sep 13 11:42:38 2017 Info: MID 405 antivirus positive 'EICAR test file'
Wed Sep 13 11:42:38 2017 Info: MID 405 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
Wed Sep 13 11:42:38 2017 Info: MID 405 queued for delivery
Wed Sep 13 11:42:38 2017 Info: New SMTP DCID 239 interface 10.1.2.84 address 10.1.2.87 port 7025
Wed Sep 13 11:42:38 2017 Info: DCID 239 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
Wed Sep 13 11:42:38 2017 Info: Delivery start DCID 239 MID 405 to RID [0] to Centralized Policy Quarantine
Wed Sep 13 11:42:38 2017 Info: Message done DCID 239 MID 405 to RID [0] (centralized policy quarantine)
Wed Sep 13 11:42:38 2017 Info: MID 405 RID [0] Response 'ok: Message 49 accepted'
Wed Sep 13 11:42:38 2017 Info: Message finished MID 405 done
Wed Sep 13 11:42:43 2017 Info: DCID 239 close
Sophosで送信およびスキャンされた同じメッセージ:
Wed Sep 13 11:44:24 2017 Info: New SMTP ICID 307 interface Management (10.1.2.84) address 10.1.2.85 reverse dns host zane.local verified yes
Wed Sep 13 11:44:24 2017 Info: ICID 307 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS None country Australia
Wed Sep 13 11:44:24 2017 Info: Start MID 406 ICID 307
Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 From: <joe@example.com>
Wed Sep 13 11:44:24 2017 Info: MID 406 ICID 307 RID 0 To: <bob@av.esa>
Wed Sep 13 11:44:24 2017 Info: MID 406 Message-ID '<20170913153946.E20C7A0121@example.com>'
Wed Sep 13 11:44:24 2017 Info: MID 406 Subject 'A/V test attachment'
Wed Sep 13 11:44:24 2017 Info: MID 406 ready 1057 bytes from <joe@example.com>
Wed Sep 13 11:44:24 2017 Info: MID 406 attachment 'av.txt'
Wed Sep 13 11:44:24 2017 Info: ICID 307 close
Wed Sep 13 11:44:24 2017 Info: MID 406 matched all recipients for per-recipient policy my_av in the inbound table
Wed Sep 13 11:44:24 2017 Info: MID 406 interim AV verdict using Sophos VIRAL
Wed Sep 13 11:44:24 2017 Info: MID 406 antivirus positive 'EICAR-AV-Test'
Wed Sep 13 11:44:24 2017 Info: MID 406 enqueued for transfer to centralized quarantine "Virus" (a/v verdict VIRAL)
Wed Sep 13 11:44:24 2017 Info: MID 406 queued for delivery
Wed Sep 13 11:44:24 2017 Info: New SMTP DCID 240 interface 10.1.2.84 address 10.1.2.87 port 7025
Wed Sep 13 11:44:24 2017 Info: DCID 240 TLS success protocol TLSv1.2 cipher DHE-RSA-AES256-GCM-SHA384 the.cpq.host
Wed Sep 13 11:44:24 2017 Info: Delivery start DCID 240 MID 406 to RID [0] to Centralized Policy Quarantine
Wed Sep 13 11:44:24 2017 Info: Message done DCID 240 MID 406 to RID [0] (centralized policy quarantine)
Wed Sep 13 11:44:24 2017 Info: MID 406 RID [0] Response 'ok: Message 50 accepted'
Wed Sep 13 11:44:24 2017 Info: Message finished MID 406 done
Wed Sep 13 11:44:29 2017 Info: DCID 240 close
このラボ演習のESAでは、特定のメールポリシーの「メッセージに適用されたアクション」を隔離するように「ウイルスに感染したメッセージ」が設定されています。 ESAでのアクションは、メールポリシーのウイルス対策で処理されるウイルスに感染したメッセージに対して実行されるアクションに応じて異なる場合があります。
関連情報