ビュー:

InterScan Messaging Security Suite (InterScan MSS) や InterScan Messaging Security Virtual Appliance (IMSVA) では、検索エンジンにおける検索制限とは別にメッセージヘッダサイズが異常に大きいメッセージなど、メッセージ構造に対しても制限しています。

不正な形式のメッセージと判定された場合、「その他の検索の除外」または「正しくない形式のメッセージ」として処理され、初期設定ではメッセージは隔離されます。 

InterScan MSS 7.1/7.5/9.1, IMSVA 9.1

[ポリシー] > [検索の除外] > [正しくない形式のメッセージ] として処理されます。
 

不正な形式と判定されるメッセージについて

InterScan MSS と IMSVA では、主なメッセージに対する制限として以下が挙げられます。

  • メッセージのMIMEパート数がしきい値を超える場合(LimitEntities)
  • メッセージヘッダのパラメータ数がしきい値を超える場合 (LimitHeaderParams)
  • メッセージヘッダのヘッダフィールド数がしきい値を超える場合 (LimitHeaders)

  • メッセージヘッダのサイズがしきい値を超える場合 (LimitBytesPerEntityHeader)

※ 上記以外でも、MIME 構造が正しくないメッセージについて、不正な形式のメッセージと判定される場合があります.

メッセージがこの制限を超え、不正な形式のメッセージと判定された場合、ログディレクトリ (log)にある 検索サービスのログ (log.imss.yyyymmdd.nnnn) には以下のようなメッセージが出力されます。

2014/07/10 14:44:25 GMT+09:00   [16721:4124210896] Encounter malformed message, fall into exception handling. (9) 'TMMSG_ERR_C_INT_MUCH_BYTES_IN_ENTITYHEADER'

a

上記の場合、「TMMSG_ERR_C_INT_MUCH_BYTES_IN_ENTITYHEADER」のエラーコードから、メッセージがメッセージヘッダのサイズ制限に該当し、不正な形式のメッセージとして判定されたことがわかります。
 

メッセージの MIME パート数がしきい値を超える場合 (LimitEntities)

初期設定値512
エラーコード

TMMSG_ERR_C_INT_MUCH_ENTITIES_IN_MESSAGE

説明

パラメータ「LimitEntities」は MIME のパート数 (バウンダリ数) を制限します。

メッセージヘッダのパラメータ数がしきい値を超える場合 (LimitHeaderParams)

初期設定値128
エラーコード
TMMSG_ERR_C_INT_MUCH_HEADERPARAM_IN_FIELD
説明
パラメータ「LimitHeaderParams」はひとつのヘッダに指定されたパラメータ数を
制限します。

メッセージヘッダのヘッダフィールド数がしきい値を超える場合 (LimitHeaders)

初期設定値512
エラーコード
TMMSG_ERR_C_INT_MUCH_HEADERFIELD_IN_ENTITY
説明
パラメータ「LimitHeaders」はメッセージヘッダにおけるヘッダフィールドの
総数を制限します。

メッセージヘッダのサイズがしきい値を超える場合 (LimitBytesPerEntityHeader)

初期設定値
65535 (bytes)
エラーコード
TMMSG_ERR_C_INT_MUCH_BYTES_IN_ENTITYHEADER
説明
パラメータ「LimitBytesPerEntityHeader」は、メッセージヘッダの合計サイズ
を制限します。
例えば宛先が多く、To や Cc のヘッダに大量のメールアドレスが指定されている
場合に制限に該当します。
※ IMSVA9.1 では設定ファイル ($IMSS_HOME/config/imss.ini)に本パラメータが存在しません。設定が無い場合は、上述の初期値が設定されています。もし、値を変更する場合は本パラメータを追加ください。

回避策について

検索サービスのログからエラーコードを確認し、以下の手順にしたがって関係するパラメータの値を引き上げてください。
 
【InterScan MSS 7.1/9.1 Linux版、IMSVA 9.1】

※ インストールディレクトリ $IMSS_HOME は初期設定では /opt/trend/imss です
※ IMSVA ではインストールディレクトリは常に /opt/trend/imss です

1. 設定ファイル $IMSS_HOME/config/imss.ini を編集し、[MessageModule] セクションにパラメータを追加します。

例えば、メッセージヘッダのサイズ制限に抵触したのであれば、「LimitBytesPerEntityHeader」のパラメータを追加し、しきい値を 131,072 bytes (128 KB) に引き上げます。

[MessageModule]
LimitBytesPerEntityHeader=131072

※ 「LimitEntities」「LimitHeaderParams」「LimitHeaders」のパラメータは imss.ini にコメントアウトされて記述されていますので、コメントアウトを外し、任意の値を設定してください。 

2. 設定変更後、検索サービスを再起動します。
# $IMSS_HOME/script/S99IMSS restart

 

【InterScan MSS 7.5 Windows版】
※ インストールフォルダ %IMSS_HOME% は初期設定では C:\Program Files\Trend Micro\IMSS です
 

1. 設定ファイル %IMSS_HOME%\config\imss.ini を編集し、[MessageModule] セクションにパラメータを追加します。同様にもしメッセージヘッダのサイズ制限に抵触したのであれば、「LimitBytesPerEntityHeader」のパラメータを追加し、しきい値を 131,072 bytes (128 KB) に引き上げます。

[MessageModule]
LimitBytesPerEntityHeader=131072

※ 「LimitEntities」「LimitHeaderParams」「LimitHeaders」のパラメータは imss.ini にすでに記述されていますので、任意の値に変更してください。

2. 検索サービス「Trend Micro IMSS Scan Service」を再起動します。


 

関連リンク

キーワード: InterScan Messaging Security Suite,InterScan Messaging Security Virtual Appliance