ビジネスサポートポータルアカウントでログイン
特定のメッセージが「不正な形式」として隔離される  

特定のメッセージが「不正な形式」として隔離される

    • 更新日:
    • 31 Oct 2018
    • 製品/バージョン:
    • InterScan Messaging Security Suite 7.0
    • InterScan Messaging Security Suite 7.1
    • InterScan Messaging Security Suite 7.5
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 8.2
    • InterScan Messaging Security Virtual Appliance 8.5
    • InterScan Messaging Security Virtual Appliance 9.All
    • OS:
    • Linux すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
メッセージが隔離されたため、ログのクエリで確認したところ、「ルールタイプ」に「不正な形式」と表示されていました。どのような場合に不正な形式のメッセージとして処理されるのか、教えてください。
詳細
Public

InterScan Messaging Security Suite (InterScan MSS) や InterScan Messaging Security Virtual Appliance (IMSVA) では、検索エンジンにおける検索制限とは別にメッセージヘッダサイズが異常に大きいメッセージなど、メッセージ構造に対しても制限しています。

不正な形式のメッセージと判定された場合、「その他の検索の除外」または「正しくない形式のメッセージ」として処理され、初期設定ではメッセージは隔離されます。 

InterScan MSS 7.0

[ポリシー] > [検索の除外] > [その他の検索の除外] として処理されます。

InterScan MSS 7.1/7.5/9.1, IMSVA 8.2/8.5/9.x

[ポリシー] > [検索の除外] > [正しくない形式のメッセージ] として処理されます。

不正な形式と判定されるメッセージについて

InterScan MSS と IMSVA では、主なメッセージに対する制限として以下が挙げられます。

  • メッセージのMIMEパート数がしきい値を超える場合(LimitEntities)
  • メッセージヘッダのパラメータ数がしきい値を超える場合 (LimitHeaderParams)
  • メッセージヘッダのヘッダフィールド数がしきい値を超える場合 (LimitHeaders)
  • メッセージヘッダのサイズがしきい値を超える場合 (LimitBytesPerEntityHeader)

※ 上記以外でも、MIME 構造が正しくないメッセージについて、不正な形式のメッセージと判定される場合があります.

メッセージがこの制限を超え、不正な形式のメッセージと判定された場合、ログディレクトリ (log)にある 検索サービスのログ (log.imss.yyyymmdd.nnnn) には以下のようなメッセージが出力されます。

2014/07/10 14:44:25 GMT+09:00   [16721:4124210896] Encounter malformed message, fall into exception handling. (9) 'TMMSG_ERR_C_INT_MUCH_BYTES_IN_ENTITYHEADER'

a

上記の場合、「TMMSG_ERR_C_INT_MUCH_BYTES_IN_ENTITYHEADER」のエラーコードから、メッセージがメッセージヘッダのサイズ制限に該当し、不正な形式のメッセージとして判定されたことがわかります。

メッセージの MIME パート数がしきい値を超える場合 (LimitEntities)

初期設定値512
エラーコード

TMMSG_ERR_C_INT_MUCH_ENTITIES_IN_MESSAGE

説明

パラメータ「LimitEntities」は MIME のパート数 (バウンダリ数) を制限します。

※ InterScan MSS 7.0 では初期設定値は 64 です。

メッセージヘッダのパラメータ数がしきい値を超える場合 (LimitHeaderParams)

初期設定値128
エラーコード
TMMSG_ERR_C_INT_MUCH_HEADERPARAM_IN_FIELD
説明
パラメータ「LimitHeaderParams」はひとつのヘッダに指定されたパラメータ数を
制限します。
※ InterScan MSS 7.0 では初期設定値は 100です。

メッセージヘッダのヘッダフィールド数がしきい値を超える場合 (LimitHeaders)

初期設定値512
エラーコード
TMMSG_ERR_C_INT_MUCH_HEADERFIELD_IN_ENTITY
説明
パラメータ「LimitHeaders」はメッセージヘッダにおけるヘッダフィールドの
総数を制限します。
※ InterScan MSS 7.0 では初期設定値は 500です。

メッセージヘッダのサイズがしきい値を超える場合 (LimitBytesPerEntityHeader)

初期設定値
65535 (bytes)
エラーコード
TMMSG_ERR_C_INT_MUCH_BYTES_IN_ENTITYHEADER
説明
パラメータ「LimitBytesPerEntityHeader」は、メッセージヘッダの合計サイズ
を制限します。
例えば宛先が多く、To や Cc のヘッダに大量のメールアドレスが指定されている
場合に制限に該当します。
※ IMSVA9.x では設定ファイル ($IMSS_HOME/config/imss.ini)に本パラメータが存在しません。設定が無い場合は、上述の初期値が設定されています。もし、値を変更する場合は本パラメータを追加ください。

回避策について

検索サービスのログからエラーコードを確認し、以下の手順にしたがって関係するパラメータの値を引き上げてください。

【InterScan MSS 7.0/7.1/9.1 Linux版、IMSVA 8.2/8.5/9.x】

※ インストールディレクトリ $IMSS_HOME は初期設定では /opt/trend/imss です
※ IMSVA ではインストールディレクトリは常に /opt/trend/imss です

1. 設定ファイル $IMSS_HOME/config/imss.ini を編集し、[MessageModule] セクションにパラメータを追加します。

例えば、メッセージヘッダのサイズ制限に抵触したのであれば、「LimitBytesPerEntityHeader」のパラメータを追加し、しきい値を 131,072 bytes (128 KB) に引き上げます。

[MessageModule]
LimitBytesPerEntityHeader=131072

※ 「LimitEntities」「LimitHeaderParams」「LimitHeaders」のパラメータは imss.ini にコメントアウトされて記述されていますので、コメントアウトを外し、任意の値を設定してください。 

2. 設定変更後、検索サービスを再起動します。
# $IMSS_HOME/script/S99IMSS restart

 

【InterScan MSS 7.1/7.5 Windows版】
※ インストールフォルダ %IMSS_HOME% は初期設定では C:\Program Files\Trend Micro\IMSS です

1. 設定ファイル %IMSS_HOME%\config\imss.ini を編集し、[MessageModule] セクションにパラメータを追加します。同様にもしメッセージヘッダのサイズ制限に抵触したのであれば、「LimitBytesPerEntityHeader」のパラメータを追加し、しきい値を 131,072 bytes (128 KB) に引き上げます。

[MessageModule]
LimitBytesPerEntityHeader=131072

※ 「LimitEntities」「LimitHeaderParams」「LimitHeaders」のパラメータは imss.ini にすでに記述されていますので、任意の値に変更してください。

2. 検索サービス「Trend Micro IMSS Scan Service」を再起動します。



Premium
Internal
評価:
カテゴリ:
操作方法/設定
Solution Id:
1309337
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド