概要
InterScan Messaging Security Suite (以下、InterScan MSS) および InterScan Messaging Security Virtual Appliance (以下、IMSVA) では、いくつかのトレンドマイクロ提供のサーバへの通信が発生するかと思います。これらの通信に失敗する場合の影響について教えてください。
詳細
InterScan MSS / IMSVA では、以下の機能でトレンドマイクロ提供のサーバとの通信が発生いたします。通信に失敗する場合の影響は、それぞれ以下の通りです。
本QAでは、以下を対象としております。
InterScan MSS 7.1 Linux版
InterScan MSS 9.1 Linux版
InterScan MSS 7.5 Windows版
IMSVA 9.1
1. メールレピュテーションサービス(Email Reputation Service)
メールフィルタリング処理の一環として、送信元IPアドレスの評価を行い、必要ならばメールの受信拒否を行います。参照先DNSサーバに対してトレンドマイクロ社提供のメールレピュテーションサービス向けのDNSクエリを発行し、その応答で判定しています。
【通信失敗時の影響】
以下の影響があります。その他の InterScan MSS / IMSVA の機能に影響はありません。
(1)
【通信失敗時の影響】
以下の影響があります。その他の InterScan MSS / IMSVA の機能に影響はありません。
(1)
メールレピュテーション処理がスキップされます。メールレピュテーション処理でスキップが発生しても、現在のフィルタリングルールと配送設定に従って、メール受信処理は続行されます。
(2) (InterScan MSS 9.1 Linux版 / IMSVA 9.1 のみ)
送信者フィルタサービス(foxproxyd)起動後の初回メール受信時に、当該サービスがメールレピュテーションサービス向けDNSクエリの通信チェックを行います。この通信チェックに失敗すると、以降、当該サービスの再起動までメールレピュテーション機能は無効化されます。この通信チェックに成功した場合は、以降でメールレピュテーションサービス向けDNSクエリに失敗しても、メールレピュテーション機能の無効化は発生しません。
(2) (InterScan MSS 9.1 Linux版 / IMSVA 9.1 のみ)
送信者フィルタサービス(foxproxyd)起動後の初回メール受信時に、当該サービスがメールレピュテーションサービス向けDNSクエリの通信チェックを行います。この通信チェックに失敗すると、以降、当該サービスの再起動までメールレピュテーション機能は無効化されます。この通信チェックに成功した場合は、以降でメールレピュテーションサービス向けDNSクエリに失敗しても、メールレピュテーション機能の無効化は発生しません。
[InterScan MSS 9.1 Linux版 Hotfix 1220未満 / IMSVA 9.1 Hotfix 1834 未満でのご注意]
メールレピュテーションサービス向けDNSクエリの応答で応答待ちタイムアウトが発生すると、Managerサービス(imssmgr)によるTCP 25番ポート(SMTPサービスポート)の監視でもタイムアウトが発生します。その際、Managerサービスは送信者フィルタサービスの再起動を行います。そのため、上述のメールレピュテーション機能の無効化が発生しやすくなります。
一度メールレピュテーション機能が無効化されると、以降、メールレピュテーションサービス向けDNSクエリは発生いたしません。「メールレピュテーションサービス向けDNSクエリの応答タイムアウト」に起因する「Managerサービス(imssmgr)によるTCP 25番ポートの監視の失敗」が発生しなくなるため、送信者フィルタサービスは別の要因による次回再起動までメールレピュテーション機能が無効化されたままとなります。
こちらの問題は、以下のHotfixで修正されております。
InterScan MSS 9.1 Linux版:Hotfix 1220以降
IMSVA 9.1:Hotfix 1834以降
(3) (InterScan MSS 7.5 Windows版 のみ)
SMTPサービス(tsmtpd)起動後の初回メール受信時に、当該サービスがメールレピュテーションサービス向けDNSクエリの通信チェックを行います。この通信チェックに失敗すると、以降、当該サービスの再起動までメールレピュテーション機能は無効化されます。この通信チェックに成功した場合は、以降でメールレピュテーションサービス向けDNSクエリに失敗しても、メールレピュテーション機能の無効化は発生しません。
(3) (InterScan MSS 7.5 Windows版 のみ)
SMTPサービス(tsmtpd)起動後の初回メール受信時に、当該サービスがメールレピュテーションサービス向けDNSクエリの通信チェックを行います。この通信チェックに失敗すると、以降、当該サービスの再起動までメールレピュテーション機能は無効化されます。この通信チェックに成功した場合は、以降でメールレピュテーションサービス向けDNSクエリに失敗しても、メールレピュテーション機能の無効化は発生しません。
【事象解消後に必要な作業】
*InterScan MSS 7.1 Linux版
事象解消後に必要な作業はありません。
*InterScan MSS 9.1 Linux 版 / IMSVA 9.1
(InterScan MSS 9.1 Linux版 Hotfix 1220未満 / IMSVA 9.1 Hotfix 1834 未満)
上記(2)の事象への対策のため、送信者フィルタサービス(foxproxyd)の再起動の実施をお願いします。
例として、以下のコマンドで再起動可能です。
# /opt/trend/imss/script/foxproxyd restart
(InterScan MSS 9.1 Linux版 Hotfix 1220以降 / IMSVA 9.1 Hotfix 1834以降)
事象解消後に必要な作業はありません。
上記(2)の事象が発生しても、メールレピュテーションサービス向けDNSクエリの成否を1分毎に確認し、送信者フィルタを自動再起動して復旧させる機能がございます。
*InterScan MSS 7.5 Windows版
上記(3)の事象への対策のため、SMTPサービス(tsmtpd)の再起動の実施をお願いします。
例として、Windows OSの「管理ツール」>「サービス」より「Trend Micro IMSS SMTP Services」を再起動します。
上記(2)の事象への対策のため、送信者フィルタサービス(foxproxyd)の再起動の実施をお願いします。
例として、以下のコマンドで再起動可能です。
# /opt/trend/imss/script/foxproxyd restart
(InterScan MSS 9.1 Linux版 Hotfix 1220以降 / IMSVA 9.1 Hotfix 1834以降)
事象解消後に必要な作業はありません。
上記(2)の事象が発生しても、メールレピュテーションサービス向けDNSクエリの成否を1分毎に確認し、送信者フィルタを自動再起動して復旧させる機能がございます。
*InterScan MSS 7.5 Windows版
上記(3)の事象への対策のため、SMTPサービス(tsmtpd)の再起動の実施をお願いします。
例として、Windows OSの「管理ツール」>「サービス」より「Trend Micro IMSS SMTP Services」を再起動します。
2. Webレピュテーションサービス
メールフィルタリング処理の一環として、メールに記載のURLの評価を行います。その際に、トレンドマイクロ提供の Web レピュテーションサービス用サーバへの通信が発生します。
【通信失敗時の影響】
Web レピュテーション処理がスキップされます。結果として、ポリシーの条件「Webレピュテーション」は合致しなくなります。メールレピュテーション処理でスキップが発生しても、現在のフィルタリングルールと配送設定に従って、メール受信処理は続行されます。
その他の InterScan MSS / IMSVA の機能に影響はありません。
Web レピュテーション処理がスキップされます。結果として、ポリシーの条件「Webレピュテーション」は合致しなくなります。メールレピュテーション処理でスキップが発生しても、現在のフィルタリングルールと配送設定に従って、メール受信処理は続行されます。
その他の InterScan MSS / IMSVA の機能に影響はありません。
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。
事象解消後に必要な作業はありません。
3. Webレピュテーションフィードバック
Web レピュテーション結果のフィードバックのため、トレンドマイクロ提供の Web レピュテーションフィードバック用サーバへの通信が発生します。フィードバック結果は、Web レピュテーションの判定精度向上のための参考情報として使用されます。
【通信失敗時の影響】
一時的にフィードバック処理に失敗いたします。フィードバック処理は メールフィルタリング処理とは独立しているため、メールフィルタリング処理には影響はありません。また、その他の InterScan MSS / IMSVA の機能にも影響はありません。
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。
事象解消後に必要な作業はありません。
4. スマートスキャン
メールフィルタリング処理の一環として提供している機能です。添付ファイルに対する未知の脅威の検索のため、必要に応じて、トレンドマイクロ提供の Smart Protection Server への通信が発生します。
【通信失敗時の影響】
[ポリシー] > [Smart Protection] > "Trend Micro Smart Protection NetworkまたはSmart Protection Serverに接続できない場合は従来型スキャンに切り替える"
以下2つの影響があります。その他の InterScan MSS / IMSVA の機能に影響はありません。
(1)
検索サービス(imssd)がSMTP 4xx系応答を返却します。当該メールは、検索サービスの前段(SMTPクライアント)となるposttix(またはsendmail)のキュー領域に一時的に滞留いたします。
(2)
検索方式が"従来型スキャン"に自動的に切り替わります。通信失敗が継続する場合、自動的にスマートスキャンを無効化し、検索方式を"従来型スキャン"に切り替えます。"従来型スキャン"となった場合、(1)は発生いたしません。
InterScan MSS 9.1 Linux版 / IMSVA 9.1をご利用の場合、以下を有効にしている場合にのみ、この切り替わりが発生いたします。
(1)
検索サービス(imssd)がSMTP 4xx系応答を返却します。当該メールは、検索サービスの前段(SMTPクライアント)となるposttix(またはsendmail)のキュー領域に一時的に滞留いたします。
(2)
検索方式が"従来型スキャン"に自動的に切り替わります。通信失敗が継続する場合、自動的にスマートスキャンを無効化し、検索方式を"従来型スキャン"に切り替えます。"従来型スキャン"となった場合、(1)は発生いたしません。
InterScan MSS 9.1 Linux版 / IMSVA 9.1をご利用の場合、以下を有効にしている場合にのみ、この切り替わりが発生いたします。
[ポリシー] > [Smart Protection] > "Trend Micro Smart Protection NetworkまたはSmart Protection Serverに接続できない場合は従来型スキャンに切り替える"
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。
事象解消後に必要な作業はありません。
5. Email Encryption(InterScan MSS 9.1 Linux版 / IMSVA 9.1 のみ)
メールの暗号化/復号化を実現する機能(別途ライセンスが必要)です。管理画面の[ポリシー] > [暗号化設定]にて設定を行います。機能の設定、メールの暗号化/復号化のために専用のサーバへの通信が発生いたします。
【通信失敗時の影響】
以下2つの影響があります。その他の InterScan MSS / IMSVA の機能に影響はありません。
(1)
暗号化/復号化対象のメールに対し、管理画面の[ポリシー] > [検索の除外] > [IBE暗号化の除外]にて設定した処理が適用されます。デフォルトでは当該メールは InterScan MSS / IMSVA に隔離されます。
(2)
管理画面の[ポリシー] > [暗号化設定]から、Email Encryptionに関する設定ができなくなります。
(1)
暗号化/復号化対象のメールに対し、管理画面の[ポリシー] > [検索の除外] > [IBE暗号化の除外]にて設定した処理が適用されます。デフォルトでは当該メールは InterScan MSS / IMSVA に隔離されます。
(2)
管理画面の[ポリシー] > [暗号化設定]から、Email Encryptionに関する設定ができなくなります。
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。
事象解消後に必要な作業はありません。
6. Time-of-Clickプロテクション(InterScan MSS 9.1 Linux版 / IMSVA 9.1 のみ)
メールフィルタリング処理の一環として、メール内のURLを書き換え、アクセス先をTime-of-Clickプロテクション用のサーバに変更する機能です。ユーザが当該URLをクリックした場合、Time-of-Clickプロテクション用のサーバにて元のURLの評価が行われ、その評価結果に従って元のURLへのアクセスを制限します。管理画面の[ポリシー] > [Time-of-Clickプロテクション]にて設定を行います。
【通信失敗時の影響】
以下2つの影響があります。その他の InterScan MSS / IMSVA の機能に影響はありません。
(1)
(2)
(1)
URLの書き換えが行われた場合、当該URL(Time-of-Clickプロテクション用のサーバ)にアクセスできなくなります。
(2)
管理画面の[ポリシー] > [Time-of-Clickプロテクション]から、Time-of-Clickプロテクションに関する設定ができなくなります。
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。
事象解消後に必要な作業はありません。
7. クラウドプレフィルタ(InterScan MSS 9.1 Linux版 / IMSVA 9.1 のみ)
トレンドマイクロのクラウドプレフィルタ(クラウドメールサービス)と連携する機能(別途ライセンスが必要)です。メールは、クラウドプレフィルタでフィルタリングを実施後に、InterScan MSS / IMSVA へ中継されるようになります。管理画面の[クラウドプレフィルタ]から連携設定を行いますが、その際に InterScan MSS / IMSVA からクラウドプレフィルタ環境への通信が発生いたします。
【通信失敗時の影響】
管理画面の[クラウドプレフィルタ]から、クラウドプレフィルタとの連携設定ができなくなります。その他の InterScan MSS / IMSVA の機能に影響はありません。
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。
事象解消後に必要な作業はありません。
8. アップデート
パターンファイルや検索エンジンの更新のため、アップデートサーバへの通信が発生いたします。
【通信失敗時の影響】
一時的に最新のパターンファイルや検索エンジンの取得が行われなくなります。メールフィルタリング処理を含めた、その他の InterScan MSS / IMSVA の機能に影響はありません。メールフィルタリング処理は、現在のパターンファイル/検索エンジンを使用して実施されます。
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。事象解消後の次回のアップデート処理で、最新のパターンファイルや検索エンジンのチェック/取得が行われます。
事象解消後に必要な作業はありません。事象解消後の次回のアップデート処理で、最新のパターンファイルや検索エンジンのチェック/取得が行われます。
9. 製品ライセンス
管理画面の[管理] > [製品ライセンス]から、製品のアクティベーションコード(ライセンス)に対して、オンラインでの詳細情報の確認と、アクティベーションコードの更新が行えます。これらの操作で、ライセンスサーバへの通信が発生いたします。
【通信失敗時の影響】
上記管理画面から、オンラインでの詳細情報の確認と、アクティベーションコードの更新が行えなくなります。メールに対するフィルタリング処理を含めた、その他の InterScan MSS / IMSVA の機能に影響はありません。
【事象解消後に必要な作業】
事象解消後に必要な作業はありません。
事象解消後に必要な作業はありません。
事象解消後に、管理画面から再操作の実施をお願いします。
