TMEmSまたはV1ECSでは、管理コンソールの [受信保護設定] > [ウイルス検索] > [ウイルスポリシー] または [送信保護設定] > [ウイルス検索] > [ウイルスポリシー] の画面に配置されているウイルス検索用のポリシールールにおいてメッセージに添付されているファイルに対してウイルス検索が実行されます。
ウイルス検索では圧縮ファイル解凍後のファイル数が 353個 に制限されているため、制限に抵触した場合、「圧縮ファイルに含まれるファイルの数が353を超えています。」の 検索除外 でメッセージは処理されます。初期設定ではメッセージは削除され、送信者に通知が送信されます。
-
上限値 (しきい値) は 353 となり、ユーザは任意にしきい値を引き上げたり、引き下げることはできません。また、この制限を無効化することもできません。
-
上限値に到達する前にマルウェアが検索されれば、制限に抵触するファイルであったとしても検出される可能性があります
初期設定
検索除外「圧縮ファイルに含まれるファイルの数が353を超えています。」の設定は、管理コンソールの[受信保護設定] > [ウイルス検索] > [検索除外] または [送信保護設定] > [ウイルス検索] > [検索除外] の画面に、受信保護と送信保護のトラフィックに分けて用意されています。
初期設定では同検索除外の処理に「削除、通知」が設定されています。
「削除、通知」をクリックすると「メッセージ全体を削除」と「通知送信」が選択されており、さらに「通知メッセージ」をクリックすると指定されている通知設定を確認できます。初期設定では "Non Delivery Report" の通知設定が指定されており、[管理] > [ポリシーオブジェクト] > [通知] の画面でその通知設定の内容を確認できます。
検索除外で処理されるメッセージ
メッセージに添付されている圧縮ファイル (ZIP や RAR, 7-Zip など) に 353個 を超えるファイルがアーカイブされている場合、「圧縮ファイルに含まれるファイルの数が353を超えています。」の検索除外でメッセージは処理されます。
また、圧縮ファイルを複数圧縮した (アーカイブした) 圧縮ファイルが添付されている場合には、各圧縮ファイルと、圧縮ファイルにアーカイブされているファイル数の合計が制限の対象となります。
例えばメッセージに attachment.zip という圧縮ファイルが添付されており、attachment.zip には a.zip と b.zip というふたつの圧縮ファイルがアーカイブされていたとします。a.zip, b.zip とも 200個 のファイルがそれぞれアーカイブされていればファイル数の合計は 402 となるため、同検索除外でメッセージは処理されます。
Microsoft Office 2007 以降の Office ファイル (*.docx や *.xlsx, *.pptx など) では XML ベースのファイルフォーマット Open XML が使用されています。
Open XML のファイル形式では ZIP の圧縮技術が使用されており、Office ファイルを構成する内部ファイルが圧縮されています。言い換えれば Word (*.docx) や Excel (*.xlsx) など、Open XML 形式の Office ファイル自体が ZIP の圧縮ファイルであり、実際、圧縮ファイル解凍ツールを使用して Office ファイルを解凍したり、アーカイブされているファイルを確認できます。
そのため、添付されている圧縮ファイルに Office ファイルがアーカイブされている場合、圧縮ファイルがアーカイブされているものとみなされてファイル数がカウントされます。
例えばメッセージに attachment.zip という圧縮ファイルが添付されており、a.docs と b.xlsx というふたつの Office 2007 以降の Office ファイルがアーカイブされていたとします。a.docs, b.xlsx とも 200個 の内部ファイルで構成されていれば、attachment.zip にアーカイブされている 2個 の Office ファイルも含め、ファイル数の合計は 402 となるため、同検索除外でメッセージは処理されます。
ログの確認方法
「圧縮ファイルに含まれるファイルの数が353を超えています。」の検索除外で検出されて処理されたメッセージは メール追跡 または ポリシーイベント のログから確認できます。
メール追跡のログ
管理コンソールの [ログ] > [メール追跡] の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。
「圧縮ファイルに含まれるファイルの数が353を超えています。」の検索除外で処理された場合には 処理 のセクションにある 評価済みポリシー に以下のように表示されます。
隔離済み (example: Organization: Virus) -圧縮ファイルのファイル数が最大値を超えています。 -不正プログラムは見つかりませんでした。
検索除外でウイルス検索が実行されないため、「不正プログラムは見つかりませんでした。」と合わせて表示されます。
ポリシーイベントのログ
管理コンソールの [ログ] > [ポリシーイベント] の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。
脅威の種類 には「検索除外」、サブタイプ には「その他の除外」、そして 詳細 の項目には「圧縮ファイル内のファイル数が最大値を超えています。」と表示されます。
回避策
根本的な解決としてファイルをメールでやり取りせずオンラインストレージサービスを介したファイルのやり取りなどを検討する必要がありますが、製品側の回避策 (緩和策) として以下が考えられます。
検索除外に該当して業務上必要なメッセージが届かない場合の業務への影響と、回避策を実施することで脅威のあるメッセージが配送される可能性があることは常にトレードオフの関係にあります。業務への影響と脅威のあるメッセージが通過する可能性を考慮して回避策を実施してください。
処理方法を変更する
管理コンソールの [受信保護設定] > [ウイルス検索] > [検索除外] または [送信保護設定] > [ウイルス検索] > [検索除外] の画面において、検索除外「圧縮ファイルに含まれるファイルの数が353を超えています。」の処理設定(TMEmS / V1ECS )を変更し、メッセージを 隔離 または バイパス するよう設定します。
メッセージを隔離する
検索除外「圧縮ファイルに含まれるファイルの数が353を超えています。」の処理設定を「メッセージ全体を削除」から「隔離」に変更し、「通知送信」のチェックを外して設定を保存します。
同検索除外により検出されたメッセージは削除されず、隔離されるようになり、管理コンソールの [隔離] > [クエリ] の画面で検索されます。隔離されたメッセージの 理由 には「検索の除外」と表示され、管理者は必要に応じて [配信] ボタンから隔離されたメッセージを配信できます。
また、エンドユーザコンソールまたは隔離通知の機能を利用している環境では管理者は エンドユーザコンソールと隔離通知の管理対象となるメッセージ を選択できます。
そのため、管理コンソールの [隔離] > [エンドユーザメール隔離設定] において「検索除外」の隔離理由に対して 表示 と 処理を適用 を有効化することで、受信者であるエンドユーザは検索除外として検出された隔離メッセージを配信することが可能となり、管理者の負担を軽減できます。
-
配信された隔離メッセージに対してウイルス検索が実行されることはありませんが、スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。
-
隔離理由が「検索除外」のメッセージをエンドユーザコンソールと隔離通知の管理対象に設定した場合、検索除外として隔離されたメッセージすべてが管理対象となります。
-
エンドユーザコンソールと隔離通知の機能は受信保護のみに実装されており、送信保護では検索除外として検出されたメッセージを管理できません。
メッセージをバイパスする
検索除外「圧縮ファイルに含まれるファイルの数が353を超えています。」の処理設定を「メッセージ全体を削除」から「メッセージをインターセプトしない」に変更し、「通知送信」のチェックを外して設定を保存します。
同検索除外により検出されたメッセージに対してウイルス検索が実行されることはありませんが、スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。これらのポリシールールによりメッセージが隔離されたり削除されなければ、メッセージは最終的に配送先のメールサーバに配送されます。
ウイルス検索から除外する
受信保護のトラフィックで検出された場合にはメッセージの送信者を指定した除外設定をポリシールールに追加することで回避することは可能です。
[受信保護設定] > [ウイルス検索] > [ウイルスポリシー] に配置されたポリシールールの 受信者と送信者 の設定では、除外 セクションに送信者と受信者のペアで除外設定を登録できます。
除外設定に指定した送信者からのメッセージはポリシールールの検索対象から除外されるため、検索除外でメッセージが処理されることはありません。
-
除外設定に指定した送信者からのメッセージすべてに対してウイルス検索が実行されないことになります。
-
スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。
-
[送信保護設定] > [ウイルス検索] > [ウイルスポリシー] では "Organization: Global Outbound Policy (Virus)" のポリシールールが必ず有効化されており、ユーザはそのポリシールールの設定を任意に変更できないため、この方法では送信保護における同検索除外の検出は回避できません。