mailサーバーでのウイルス検出通知につ いて
kanemi
一般的にはどのように取られているものなのでしょうか。
または、皆さんの個人的な考えを参考にいただけないでしょうか。
[疑問・不満の背景]
無関係な人へウイルスを検出したと通知をするメールサーバーが
あり、都合上非常にわずらわしいのです。
原因はウイルスでの発信者のメールアドレスを騙ることと理解は
していますが、勤め先でネットワーク管理者的なことをやっている
ために都度社内の人間から問い合わせされることになるのです。
また、説明しても、サーバーによってフォーマットが変わることも
有り、不安感をもたれたり・妙にウイルスに対して鈍感になることが
心配なところです。
更に殆ど解決の約に立たない通知のためトラフィックもムダですし、
デメリットばかり目立ち役に立っているとは思えないのです。
たまたまなのでしょうが、勤め先で現在利用のホスティングサービスの
メールサーバーでは送受信ともに検出時は社内に向けての通知のみを行い
外部に対しての通知を行わない仕様となっています。
これが現状では理想に近いのではと個人的に考えているのですが・・・
また、自社が加害者にならないように祈るばかりです。
Shibuya, Nobuhiro
> mailサーバーでのウイルス検出通知についての疑問・不満なのですが
> 一般的にはどのように取られているものなのでしょうか。
> または、皆さんの個人的な考えを参考にいただけないでしょうか。
では忌憚無く私見を申し述べます。
> [疑問・不満の背景]
> 無関係な人へウイルスを検出したと通知をするメールサーバーが
> あり、都合上非常にわずらわしいのです。
ちょい待ち。
1. 無関係な人って何よ。
2. 都合上って何よ。
考えが練れていないんじゃないの?
> 原因はウイルスでの発信者のメールアドレスを騙ることと理解は
> していますが、勤め先でネットワーク管理者的なことをやっている
> ために都度社内の人間から問い合わせされることになるのです。
で、そちら様の職務では
3-a. ネットワーク管理者がその都度問い合わせるという職掌になっている
3-b. 他のセクションが機能していないため本来範囲外の職掌を自分でこなしている
のどちらが現状に照らして近いのでしょうか?
さらに御社のメイルゲイトウェイ管理ポリシーは
4-a. 来るメイルは拒まずなんでも貪欲に受け取る
4-b. 具体的なポリシーなんぞないし問題点を指摘しても周囲が無理解
4-c. 策定中だがNonDisclosureのため教える気はさらさらない
> また、説明しても、サーバーによってフォーマットが変わることも
> 有り、不安感をもたれたり・妙にウイルスに対して鈍感になることが
> 心配なところです。
5. 職場のコンピュータリテラシを担当するのはネットワーク管理者を
兼務している(と見受けられる)そちら様か他者か?ボトムアップする
担当者は存在するか不在か?コンピュータ・ウィルスに関するもろもろの
リスクを損得勘定して意思決定/予算掌握権のある担当者は誰なのか?
> 更に殆ど解決の約に立たない通知のためトラフィックもムダですし、
> デメリットばかり目立ち役に立っているとは思えないのです。
この点はまずまず同意します。ウィルストラフィック通知はは元メイルの
Sendor にも Recipient にも不要です。その辺のことがまるで
分かっていないメーカーとユーザがあまりにも多いですが。
> たまたまなのでしょうが、勤め先で現在利用のホスティングサービスの
> メールサーバーでは送受信ともに検出時は社内に向けての通知のみを行い
> 外部に対しての通知を行わない仕様となっています。
社内ってSenderとRecipientともにですか?
メイルトラフィック管理者だけでいいんじゃないの?
どれだけの規模の職場でどれほどのメイル流量なのかしらないけど。
> これが現状では理想に近いのではと個人的に考えているのですが・・・
であればどうして「非常にわずらわしいのです」なのか言っていることが
自家撞着しているように聞こえます。
> また、自社が加害者にならないように祈るばかりです。
とりあえず祈るのは止めませんが、そっから先に進むべきでしょう。
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩
Yasushi Shinjo
In article <c2jseb$4ge$1...@nn-tk102.ocn.ad.jp>
"kanemi" <haruhik...@hotmail.com> writes:
> 無関係な人へウイルスを検出したと通知をするメールサーバーが
> あり、都合上非常にわずらわしいのです。
たしかに。私も、3日に1通くらい、無関係なウイルス検出通知を
受け取ります。From: を偽装してあるメールに反応して。
> たまたまなのでしょうが、勤め先で現在利用のホスティングサービスの
> メールサーバーでは送受信ともに検出時は社内に向けての通知のみを行い
> 外部に対しての通知を行わない仕様となっています。
> これが現状では理想に近いのではと個人的に考えているのですが・・・
その方針だと、情報漏れは防げていいんじゃないですか。外に出し
てしまうと、正規のユーザ(っぽい)の電子メールのアドレスが外
に出てしまうし。つっかえされる方としても、同じパタンなので、
procmail なんかで簡単に弾けます。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
NAKAJI Hiroyuki
>>>>> In <YAS.04Ma...@kirk.is.tsukuba.ac.jp>
>>>>> y...@is.tsukuba.ac.jp (Yasushi Shinjo) wrote:
> たしかに。私も、3日に1通くらい、無関係なウイルス検出通知を
> 受け取ります。From: を偽装してあるメールに反応して。
しかも、それは、受け取る方にしてみればスパムメールと変わりなくうっとう
しいものなので、ふと気づくと、受信拒否されてたりしますね。
> その方針だと、情報漏れは防げていいんじゃないですか。外に出し
> てしまうと、正規のユーザ(っぽい)の電子メールのアドレスが外
> に出てしまうし。つっかえされる方としても、同じパタンなので、
> procmail なんかで簡単に弾けます。
うちの場合、どっちにも知らせません。envelope from は invalid だし、
From: も大抵ウソだし、To: に知らせると「これは何だ?」という質問への応
対が発生するし、で、「なかったことにする」のがよいと判断しました。
## 北の某学校は「知らせる」設定ですね。:-)
実績を記録するためにウィルス付と判定されたメールを保存しているのですが、
2001年8月から2003年8月までは月に50あるかないかだったのが、2003年9月以
降大幅に増えて、月に1800ぐらいの勢いです。棒グラフにしてみたら面白いや
ら哀しいやら…。
--
NAKAJI Hiroyuki (中治 弘行)
Hidenori HoRi
NAKAJI Hiroyuki <nak...@tutrp.tut.ac.jp> wrote:
> > その方針だと、情報漏れは防げていいんじゃないですか。外に出し
> > てしまうと、正規のユーザ(っぽい)の電子メールのアドレスが外
> > に出てしまうし。つっかえされる方としても、同じパタンなので、
> > procmail なんかで簡単に弾けます。
>
> うちの場合、どっちにも知らせません。envelope from は invalid だし、
> From: も大抵ウソだし、To: に知らせると「これは何だ?」という質問への応
> 対が発生するし、で、「なかったことにする」のがよいと判断しました。
わたしの管理しているサーバもそうしてます。
特にワームがいっせいに広まると、着信した知らせを受信者にしていると、
受信者のメールボックスがその通知で一杯になってしまいますし。
逆に、From等を偽ったものだと、そのアドレスへ送信して、半ばメール爆弾
みたいな感じになってしまいますし。
となれば、通知は管理者(postmaster)に届くだけが一番いいのかな?
と思ってます。
--
ほり <vg3...@moat.net>
kanemi
指摘から現状では外部からのメールを受け取る時点で
処理すべきとは理解できました。
残念ならがら現在利用のホスティングサーバーではそのようなことの
出来ないサーバーなので諦めるか対応できるサービスへ移行するしか
無いことになるのですが・・・
わずらわしいこととして書き足りなかったのですが、
他社のひどいメールサーバーの運用ではウイルス検出の通知に
メールをそのまま添付してくるところもあり、結果ウイルスが
復元可能な状態で社内に入り込んでくる事態も起きています。
書き方がうまくない為か自社内のメールサーバが思ったように操れないと
愚痴に取られてしまったようで残念なのですが。
ありがとうございました
kanemi
> てしまうと、正規のユーザ(っぽい)の電子メールのアドレスが外
> に出てしまうし。つっかえされる方としても、同じパタンなので、
> procmail なんかで簡単に弾けます。
外に出すとはメールサーバーのことならば、運用費用とセキュリティ面で
それなりに天秤にかけてホスティングサービスを利用してます。
(年間数万円の費用では自前でサーバーを維持することは出来ないですから)
もちろん、運用面では手元にサーバーがあるのが理想とは認識しています。
Yasushi Shinjo
In article <c2l3ep$tt6$1...@news.moat.net>
vg3...@moat.net (Hidenori HoRi) writes:
> となれば、通知は管理者(postmaster)に届くだけが一番いいのかな?
> と思ってます。
それで、postmaster に1日、何通くらい来ますか?
私は、150 人くらいのドメインの postmaster していますが、毎日
だいたい 10 通くらい来ます。来るときはどどっときますが。
ウイルス検査の結果、ウイルスが見つかったという通知は、1日
150 通くらい来ます。もし、個人の通知が全部 postmaster に送ら
れた日には、150x150 で 1 日 22500通、というのは大げさとして
も、数増えるのは、勘弁して欲しい。
In article <c2n9g4$hrd$1...@news511.nifty.com>
"kanemi" <haruhik...@hotmail.com> writes:
> > その方針だと、情報漏れは防げていいんじゃないですか。外に出し
> > てしまうと、正規のユーザ(っぽい)の電子メールのアドレスが外
> > に出てしまうし。
> 外に出すとはメールサーバーのことならば、運用費用とセキュリティ面で
> それなりに天秤にかけてホスティングサービスを利用してます。
「外に出す」というのは、内部から To: が外向きの電子メールを
出すという意味です。それで、内部から外に電子メールを出す時に
ウイルスチェックして、引っ掛かったとして、どこに通知するかと
いう話です。この場合は、To: に通知するよりは、From: に通知す
る方がまだいいと。サーバを会社の外に置くという意味ではありま
せん。
Hidenori HoRi
Yasushi Shinjo <y...@is.tsukuba.ac.jp> wrote:
> > となれば、通知は管理者(postmaster)に届くだけが一番いいのかな?
> > と思ってます。
>
> それで、postmaster に1日、何通くらい来ますか?
>
> 私は、150 人くらいのドメインの postmaster していますが、毎日
> だいたい 10 通くらい来ます。来るときはどどっときますが。
今年に入ってからですと、1日200通前後ですね。
SCOにアタックするワームが流行った時などは、瞬間的にもっと
きますよ。Gibe.Fが盛り上がってた(?)時は1日5000通くらい
届いてたときも....。
わたしの管理しているサーバで、ID(メールで利用しているID)は
150くらいです。
> ウイルス検査の結果、ウイルスが見つかったという通知は、1日
> 150 通くらい来ます。もし、個人の通知が全部 postmaster に送ら
> れた日には、150x150 で 1 日 22500通、というのは大げさとして
> も、数増えるのは、勘弁して欲しい。
全てのユーザにウイルス(or ワーム)がたくさん届くとも限らない
ですよ。実際わたしの場合、約20のID(メールアカウント)には結構
毎日届いていますが、他のIDへは届くのはかなり稀です。
--
ほり <vg3...@moat.net>
kanemi
> いう話です。この場合は、To: に通知するよりは、From: に通知す
> る方がまだいいと。サーバを会社の外に置くという意味ではありま
指摘の面では問題無しですね。
●内部から外部へのメールでのウイルスの検出ではfromに通知し
外部へのメールは遮断されます。
もっとも仕様上で有って、PC上でも対策ソフトで保護してあるので
発生の報告は現在無いです。
●外部から内部へのメールでのウイルスの検出では内部宛toへ検出通知を
することを代わりにメールを遮断します。
もっとも、通知を管理者宛にすることが出来ないことには変わらないのですが・・・
Ajioka
In article <YAS.04Ma...@kirk.is.tsukuba.ac.jp>,
y...@is.tsukuba.ac.jp (Yasushi Shinjo) wrote:
> 新城@筑波大学情報です。こんにちは。
>
> In article <c2l3ep$tt6$1...@news.moat.net>
> vg3...@moat.net (Hidenori HoRi) writes:
> > となれば、通知は管理者(postmaster)に届くだけが一番いいのかな?
> > と思ってます。
その際は用件が含まれる可能性があるので、ポストマスタは必ず
毎日チェックしなければならないと思います。
> れた日には、150x150 で 1 日 22500通、というのは大げさとして
> も、数増えるのは、勘弁して欲しい。
MUAのフィルタで受信時に振り分けばMax数千止りですのであまり
邪魔にならないのでは。
> In article <c2n9g4$hrd$1...@news511.nifty.com>
> "kanemi" <haruhik...@hotmail.com> writes:
> > > その方針だと、情報漏れは防げていいんじゃないですか。外に出し
> > > てしまうと、正規のユーザ(っぽい)の電子メールのアドレスが外
> > > に出てしまうし。
> > 外に出すとはメールサーバーのことならば、運用費用とセキュリティ面で
> > それなりに天秤にかけてホスティングサービスを利用してます。
>
> 「外に出す」というのは、内部から To: が外向きの電子メールを
> 出すという意味です。それで、内部から外に電子メールを出す時に
> ウイルスチェックして、引っ掛かったとして、どこに通知するかと
> いう話です。この場合は、To: に通知するよりは、From: に通知す
社外から来たのはVirusを除去した後、ポストマスタとTo:に
(用件が含まれる可能性あり。)
社内発のは社外には出さずにVirusを除去し、配送はされていない旨を付けて
ポストマスタとFrom:に返すので良いのでは?
Virusが付いていても届けて欲しいという輩には、会社全体の信用を落とす旨
話した上でFax,電話,他の人に頼む等の代替手段をとってもらうべきと思います。
Virus防御していても感染するということは、パターンのない新手のVirusに
感染している恐れがあります。たとえVirusを除去できたとしても、そのまま
社外に出すのは大いにリスクがあります。
--
---------------------------------------
Ajioka FURUNO ELECTRIC CO., LTD
Hiroki Kashiwazaki
At Wed, 10 Mar 2004 00:34:43 +0900,
NAKAJI Hiroyuki wrote:
> うちの場合、どっちにも知らせません。envelope from は invalid だし、
> From: も大抵ウソだし、To: に知らせると「これは何だ?」という質問への応
> 対が発生するし、で、「なかったことにする」のがよいと判断しました。
>
> ## 北の某学校は「知らせる」設定ですね。:-)
あうあうあう。設定の変更に関する提言をメールしておきました x<
あれ…妙な既視感。何か去年の夏頃にも中治さんに言われてメールを
したような。脳の誤作動かしらん。
--
柏崎 礼生 (Hiroki Kashiwazaki)@HUIIC
Ph.D candidate in the Division of Electronics & Information
Engineering, Hokkaido University
mailto:r...@cc.hokudai.ac.jp
Tel:+81-11-706-2998
Hiroki Kashiwazaki
# で、その後のお話。
At Wed, 10 Mar 2004 00:34:43 +0900,
NAKAJI Hiroyuki wrote:
> うちの場合、どっちにも知らせません。envelope from は invalid だし、
> From: も大抵ウソだし、To: に知らせると「これは何だ?」という質問への応
> 対が発生するし、で、「なかったことにする」のがよいと判断しました。
>
> ## 北の某学校は「知らせる」設定ですね。:-)
北大では To:宛にVirus Alertを出している訳ですが、本来なら(Alertを
出すとしても) 、Delivered-to を見て、学外に Alertを出さないように
するのがスマートなんじゃないかしらんとか考えてしました。
で、担当者の人とメールでやりとりして、公的立場としてではなく私見
として考えた時、ウィルス対策を全然考えていない人がわんさかいる現
状において、Virus Alert を出す事によって少しでも Virusに対する認
知度が上がるなら、意味はあるかもとか言う話になりました。
まあそういう考えも有りかな…。
Nobuhiro Shibuya at Office
Hiroki Kashiwazaki wrote:
> 柏崎@北海道です。
> 北大では To:宛にVirus Alertを出している訳ですが、本来なら(Alertを
> 出すとしても) 、Delivered-to を見て、学外に Alertを出さないように
> するのがスマートなんじゃないかしらんとか考えてしました。
同感ですね。
> で、担当者の人とメールでやりとりして、公的立場としてではなく私見
> として考えた時、ウィルス対策を全然考えていない人がわんさかいる現
> 状において、Virus Alert を出す事によって少しでも Virusに対する認
> 知度が上がるなら、意味はあるかもとか言う話になりました。
でもでも、同時に Virus Alert を送りつける宛先であるところの
From であれ To であれ("MAIL FROM" "RCPT TO" といった方が良い?)
偽装されていたりウィルスメイルの餌食になっているだけの誰かの
アドレス帳の無断借用の場合は害こそあれ無益。
その点を見極めてからVirus Alertを送る手順を確立しているなら
構わないけど、現状はそんな事情に構わずアラート送ってんでしょ?
> まあそういう考えも有りかな…。
ひよらないでください、お願いですから。
--
mailto:shi...@dd.iij4u.or.jp
Nobuhiro Shibuya at Office
Tokyo Japan
Hiroki Kashiwazaki
At Thu, 11 Mar 2004 20:17:39 +0900,
Nobuhiro Shibuya at Office wrote:
> でもでも、同時に Virus Alert を送りつける宛先であるところの
> From であれ To であれ("MAIL FROM" "RCPT TO" といった方が良い?)
> 偽装されていたりウィルスメイルの餌食になっているだけの誰かの
> アドレス帳の無断借用の場合は害こそあれ無益。
SWENなんかは大抵そんな感じが。まあFromに送らないだけまだマシ…
とかいうのは日和ってますかそうですか。
To: "Microsoft Corporation Consumer" <consumer...@news.msn.com>
なんてなVirus Alertが届くのも毎日のことで。
> その点を見極めてからVirus Alertを送る手順を確立しているなら
> 構わないけど、現状はそんな事情に構わずアラート送ってんでしょ?
ですね。
> > まあそういう考えも有りかな…。
>
> ひよらないでください、お願いですから。
じゃあHINESと全面闘争の方向性で…。
Yasushi Shinjo
In article <ajioka-1103...@hrsrm1019.gikan.furuno.co.jp>
aji...@feclab.furuno.co.jp (Ajioka) writes:
> 味岡です。
> > れた日には、150x150 で 1 日 22500通、というのは大げさとして
> > も、数増えるのは、勘弁して欲しい。
> MUAのフィルタで受信時に振り分けばMax数千止りですのであまり
> 邪魔にならないのでは。
postmaster 当てのメールの中で、対処すべきものをどうやって探
しているのですか。
> 社内発のは社外には出さずにVirusを除去し、配送はされていない旨を付けて
> ポストマスタとFrom:に返すので良いのでは?
postmaster は勘弁して欲しいんだけど。個人情報みたいなものに
は近づきたくないし。一般企業と大学だとだいぶ違うんでしょうね。
> その際は用件が含まれる可能性があるので、ポストマスタは必ず
> 毎日チェックしなければならないと思います。
postmaster が本業なら、毎日見るのは仕事なんでしょうね。(トー
トロジーだ。)私の本業は、教育と研究なので、postmaster は、
本業ではないので、できるだけ手を抜きたいわけです。
In article <c2nonq$29kj$1...@news.moat.net>
vg3...@moat.net (Hidenori HoRi) writes:
> 全てのユーザにウイルス(or ワーム)がたくさん届くとも限らない
> ですよ。実際わたしの場合、約20のID(メールアカウント)には結構
> 毎日届いていますが、他のIDへは届くのはかなり稀です。
今の所、ワーム系は postmaster には来ていないので、それの対処
はしなくても済んでいます。ワーム系以外は、spam 系で、From:
などが偽装されているものです。あちこち中継している関係で、そ
ういうのも受け取ってしまいます。その後、.forward で転送され
た時、転送先のチェックが厳しくてそういうものを受け取ってもら
えなくて、postmaster に通知が来ます。
たとえば、こんな状況を考えます。
A --> B --> C --> D
A が元の発信、B が中間(ウイルスのフィルタ等)、C が自分の管轄
するもの(postmaster)、D がまた別の所(.forwardの転送先)としま
す。悪いのは、A で、From: を偽装して、spam を送っています。
でも、C-->D の転送に失敗して、C の postmaster にエラーが出る
わけです。
こういうのは、どうしようもないですよね。C も D 並に厳しくす
ればいいのかもしれませんが、それは単に B のエラーが増えるだ
けだし。
このようなメールをうまく捨てたいのですが、procmail などで取
り除けるためのルールなど教えて下さい。
一応、続きは、Followup-To: fj.mail.system にしてみました。
Hiroki Kashiwazaki
# かなり以前のお話へのフォローですみません。
At Thu, 11 Mar 2004 13:23:48 +0900,
Hiroki Kashiwazaki wrote:
> > ## 北の某学校は「知らせる」設定ですね。:-)
>
> あうあうあう。設定の変更に関する提言をメールしておきました x<
>
> あれ…妙な既視感。何か去年の夏頃にも中治さんに言われてメールを
> したような。脳の誤作動かしらん。
そういえばこのごろぱったり Virus Alert来ないなあとか思っていたら、
北の某学校も 2004/4/19付で Virus Alert送信を停止したんだそうです。
言ってみる価値はあるものなんだなと再認識しました :-)