ビュー:

InterScan VirusWall スタンダードエディション Windows版 ( 以降 ISVW SE ) を経由するSMTP通信に関連して、以下のような問題が発生することがあります。

[SMTP通信に関連した問題の例]

・ISVW SEを経由すると、全てのメールの送信が遅れる
・ほとんどのメールは問題なく送信できるが、特定のドメイン宛ての場合のみ失敗する
・特定の文面を持つメールを隔離するよう設定したが、期待通りに動作しない
・メールの件名や本文が文字化けする

このような問題が発生した際には、以下の手順で必要な情報を取得し、弊社サポートセンターへ調査をご依頼ください。

※以降、ISVW SEがインストールされたフォルダを<install_dir>と表記します。
初期設定では、このフォルダは “C:¥Program Files¥Trend Micro¥InterScan VirusWall” です。


■ 事象再現の手順

以下の手順に従って、問題になっている事象を再現させます。

※注意:設定ファイルの変更には、UTF-8に対応したエディタを使う必要があります。利用しているエディタがUTF-8に対応しているか判断できないときは、Windows付属のメモ帳 ( notepad.exe ) の使用を推奨します。ファイルが破損する可能性があるため、ワードパッドは使用しないでください。

(1) SMTPアクセスログを有効にする

<install_dir>¥config.xmlをテキストエディタで開き、<Key Name="Smtp">以下の”WriteConnectionMsg”パラメータを”1”に、”ConnectionLogLevel”を”0”にします。
----------
<Key Name="Smtp">
<Value Name="WriteConnectionMsg" string="" type="int" int="1" />
<Value Name="ConnectionLogLevel" string="" type="int" int="0" />
----------
”WriteConnectionMsg”は初期設定で”1”であるため、通常は”ConnectionLogLevel”のみを変更します。

続いてデバッグモードを有効にします。

(2) デバッグモードを有効にする

<install_dir>¥config.xmlをテキストエディタで開き、”DebugEnable”パラメータを”1”にします。
----------
<Key Name="root">
<Key Name="Common">
<Key Name="Logging">
<Value Name="DebugEnable" string="" type="int" int="1" />
----------
ファイルを保存して閉じ、”Trend Micro InterScan VirusWall”サービスを再起動して変更を反映させます。

(3) パケットキャプチャを開始する

ISVW SEサーバ上でWiresharkなどのパケットキャプチャソフトを起動し、キャプチャを開始します。
キャプチャ手順の詳細については、こちらを参照してください。

(4) 現象を再現させる

ここで現象を再現させます。再現時の時刻を記録してください。

(5) コマンドプロンプトによる情報取得

コマンドプロンプトを起動し、以下のコマンドでISVWのインストールパスに移動します。(インストール先を変更している場合はそのパスを入力します)

cd "C:¥Program Files¥Trend Micro¥InterScan VirusWall"

その後、以下の4つのコマンドを順番に入力してください。

・netstat –ano > netstat.txt (Windows2000では”netstat –an”)
・ipconfig /all > ipconfig.txt
・tasklist /V > tasklist.txt (Windows2003/XPのみ)
・dir /S > dir.txt

(6) システム情報の取得

スタートメニューの「ファイル名を指定して実行」から”msinfo32”と入力して、「システム情報」を起動します。
「ファイル」から「エクスポート」と選択して、”msinfo32.txt”というファイル名で情報を保存します。



さらにタスクマネージャを起動し、「プロセス」、「パフォーマンス」の2つのタブのスクリーンショットを取得してください。

(7) デバッグモードとパケットキャプチャの停止

設定ファイルを、情報取得前の状態に戻します。

“DebugEnable”パラメータを”0”に戻します。
・”ConnectionLogLevel”を”10”に戻します。”WriteConnectionMsg”を変更した場合は同様に戻します。

パラメータを戻したら、サービスを再起動して設定を反映させます。また、パケットキャプチャも終了させます。

これで情報の再現手順は完了です。


■ 取得する情報

現象の再現が完了したら、以下の情報を回収してください。

(1) ISVW SEのログ

“<install_dir>¥log”フォルダ内から、以下のログを回収します。yyyymmddは年月日、xxxxは連番です。

・debuglog.yyyymmdd.xxxx (デバッグログ)
・eventlog.yyyymmdd.xxxx (イベントログ)
・systemlog.yyyymmdd.xxxx (システムログ)
・smtpconnectlog.yyyymmdd.xxxx (SMTPアクセスログ)
・emanagerlog.yyyymmdd.xxxx (コンテンツフィルタログ、存在する場合のみ)
・antispamlog.yyyymmdd.xxxx (スパムメール対策ログ、存在する場合のみ)
・nrslog.yyyymmdd.xxxx (Network Reputation Serviceログ、存在する場合のみ)
・antispylog.yyyymmdd.xxxx (スパイウェア検索ログ、存在する場合のみ)
・viruslog.yyyymmdd.xxxx (ウイルス検索ログ、存在する場合のみ)

※ログが多い場合は、事象が発生した時間帯に記録されたものを抜粋して送付してください。
量が少ないときは、フォルダ内の全てのログを一括してご送付ください。

(2) ISVW SEの設定ファイル

以下のファイルを回収します。

・<install_dir>¥config.xml
・<install_dir>¥AuConfig.xml
・<install_dir>¥intscan.ini
・<install_dir>¥smtp¥mqueue¥ 内に存在する全てのファイル
・<install_dir>¥smtp¥bmqueue¥ 内に存在する全てのファイル
※数が多い場合は、事象再現時間帯に作成されたファイルを抜粋してください。
・ISVW Web管理コンソールの「概要」画面のスクリーンショット

(3) パケットキャプチャ

取得済みのパケットキャプチャファイルを回収します。

(4) コマンドプロンプトで取得した情報

ISVWインストールパスに生成された、以下のテキストファイルを取得します。

・netstat.txt
・ipconfig.txt
・tasklist.txt (Windows2003/XPのみ)
・dir.txt

(5) システム情報

生成済みの”msinfo32.txt”と、タスクマネージャのスクリーンショットを回収します。

さらに、「コンピュータの管理」内の「イベントビューア」から、「アプリケーション」と「システム」のイベントログを取得します。



(6) ネットワークの情報

クライアントPCからISVW SEを経由して後段メールサーバに至るまでのメール送受信経路が分かる簡単なネットワーク構成図を送付してください。構成図には以下の情報を含めてください。

・クライアントPC、前段メールサーバ、ISVW SE、後段メールサーバのIPアドレス
・Firewall、ルータが存在する場合はそのIPアドレス
・前段/後段メールサーバのソフトウェア名とバージョン (例:Postfix 2.2 )
・メール送信元で使用したメーラーソフト名 (例:Outlook Express 6 )

[経路の記述例]
クライアントPC(192.168.0.1/24) -> Sendmail8.13(192.168.0.249/24) -> ISVW SE(10.0.0.101/24) -> Postfix2.2(10.0.0.251/24) -> Firewall(10.0.0.252/24) -> Internet

(7) ISVW SE以外のネットワーク機器のログ

ISVW SEの前段または後段に位置するメールサーバのアクセスログをご提供ください。

(8) 現象発生時のメールデータ

現象が発生したときに送信または受信したメールデータがあれば、ご送付ください。データはテキストエディタで閲覧可能な形式 (Outkook Expressのeml形式など) でご提供ください。

メールデータは調査において大変有用です。送信元または受信先のメーラー、前段メールサーバのメールキューなどから回収いただき、ぜひご提供ください。

(9) 現象再現時の情報

以下の情報をご連絡ください。

・現象が発生した、または再現させた時刻
・事象発生時に送受信したメールの、送信元メールアドレスと送信先メールアドレス
・再現性の有無 (毎回発生する、まれに発生する、特定の時間帯に発生する、など)

また、具体的に発生した問題について、可能な限り詳細な状況を知らせてください。

[例]
・ほとんどのメールは送受信可能だが、大きな添付ファイルがあると失敗する
・送信元のメーラーで「○○○」というエラーメッセージが表示される
・一日に数回、レスポンスが非常に悪くなるが、放置していると復旧する