境界ネットワークでのウイルススキャン


境界ネットワークでのウイルススキャン

職場は大学なんで、各学科や組織が好き勝手独自にメールサーバを立ててます。

それなんで、個々のサーバの設定は様々です。

大学のネットワーク管理部門から対外接続のFirewallにメールのアンチウイルス機能入れましたという通知がありました。

個々のサーバの設定変更は必要ないとの事です。

この対策は暗号化されてたら意味ないんでは。。

SSL/TLSという暗号化はネットワークの途中で盗聴ができないような実装になっています。

メールのウイルススキャンをするにはメールの中身を見る必要があります。Firewallにアンチウイルスを入れても暗号化されていたら見る事ができません。つまりウイルススキャンはできません。

試しに自分が契約している学外サーバから大学のメールサーバにサンプルウイルス(eicar.com)付きメールを送信してみました。

暗号化無しの場合はウイルスが駆除されましたが、暗号化有りの場合は駆除されませんでした。

つまり暗号化されてたら境界ネットワークでのウイルススキャンは無力なんですね。

メールの暗号化比率を調べてみました。

補足:以下で挙げるメールのログは以下で説明しているSSL/TLSのログを詳細に記録する設定をすでに行っていることを前提としています。

https://qiita.com/qiitamatumoto/items/608b56e63eec26702caf
CentOS6.6でメール関連のSSLログの取得および調査

メールを受信するpostfixのdaemonはsmtpdです。なのでsmtpdのログを追いかければよいです。(受信時のログであり、送信時のログではありません。)

非暗号化通信時のログ

Dec 10 08:27:52 mail postfix/smtpd[27899]: connect from host-name.example.com[ip-address]
Dec 10 08:27:52 mail postfix/smtpd[27899]: QUEUE-ID: client=host-name.example.com[ip-address]
Dec 10 08:27:53 mail postfix/smtpd[27899]: disconnect from host-name.example.com[ip-address]

暗号化通信時のログ

Dec 10 04:29:03 mail postfix/smtpd[24209]: connect from host-name.example.com[ip-address]
Dec 10 04:29:03 mail postfix/smtpd[24209]: setting up TLS connection from host-name.example.com[ip-address]
Dec 10 04:29:03 mail postfix/smtpd[24209]: Anonymous TLS connection established from host-name.example.com[ip-address]: TLSv1.2 with cipher ADH-AES256-
GCM-SHA384 (256/256 bits)
Dec 10 04:29:03 mail postfix/smtpd[24209]: QUEUE-ID: client=host-name.example.com[ip-address]
Dec 10 04:29:04 mail postfix/smtpd[24209]: disconnect from host-name.example.com[ip-address]

となります。 なので ": disconnect from" の数と ": setting up TLS"の数を数えればおおよそわかるかと思います。 (以下はCentOS6.xのみ.CentOS7ではダメ)

$ fgrep "postfix/smtpd[" /var/log/maillog*|grep ": disconnect from"|wc

$ fgrep "postfix/smtpd[" /var/log/maillog*|grep ": setting up TLS"|wc

管理しているサーバをいくつか調べてみました。

サーバA: 2017/10/29-2017/12/10
全受信数: 76,032通、暗号化: 18,496通、暗号化率: 24%
学外から全受信数:49,016通、暗号化: 1,491通、暗号化率: 3%

サーバB: 2016/4/20-2017/12/10
全受信数: 2,210,894通、暗号化: 274,071通、暗号化率: 12%
学外からの全受信数: 2,114,847通、暗号化: 196,812通、暗号化率: 9%

サーバC: 2017/6/10-2017/12/10
全受信数: 957,621通、暗号化: 100,754通、暗号化率: 11%
学外からの全受信数: 840,284通、暗号化: 80,922通、暗号化率: 10%

というような感じでした。思ったより低かったです(^_^; ですがログを軽く見た感じでは、非暗号化通信のメールはSPAMっぽいのが多いようです。unknown userで弾いているのも多数ありました。

境界ネットワークでウイルスチェックが入ってないメールの対策

思ったより暗号化率は低かったのですが、暗号化されているメールは境界ネットワークのFirewallのアンチウイルスが適用されていません。それらについてアンチウイルスを適用する必要があります。

多くの場合は個々のクライアントPCにアンチウイルスが導入されています。それで駆除できるかと思いますが、念のため、メールサーバ自身にもアンチウイルスを導入する事にしました。

翌日の記事に続きます。