メイン機能 |
Dr.Web for UNIX Mail Servers のメイン機能 1.脅威の検出と駆除。悪意のあるプログラム(メールファイルやブートレコードに感染するものを含むウイルス、トロイの木馬、メールワームなど)や不要なソフトウェア(アドウェア、ジョークプログラム、ダイアラーなど)を検索します。コンピューターの脅威の種類に関する詳細については、付録 A. コンピューター脅威の種類を参照してください。 脅威の検出方法: •シグネチャ解析。既知の脅威の検出を可能にします。 •ヒューリスティック解析。ウイルスデータベースに含まれていない脅威の検出を可能にします。 •クラウドベースの脅威検出テクノロジー。Dr.Web Cloudサービスを使用して、最近の脅威に関する最新情報を収集し、Dr.Web製品に送信します。 ヒューリスティックアナライザは誤検知を引き起こす可能性があることに注意してください。したがって、アナライザによって検出された脅威を含むオブジェクトは「疑わしい」と見なされます。このようなファイルを隔離し、解析のためにDoctor Webアンチウイルスラボに送信することをお勧めします。脅威を駆除する方法の詳細は、付録 B. コンピューター脅威の駆除を参照してください。 ユーザーの要求に応じてファイルシステムをスキャンする場合、ユーザーが利用できるすべてのファイルシステムオブジェクトのフルスキャン、または指定されたオブジェクトのみ(指定された基準を満たす個別のディレクトリまたはファイル)のカスタムスキャンが可能です。さらに、システム内で現在アクティブなプロセスをサポートするボリュームと実行ファイルのブートレコードを別々にチェックすることもできます。後者の場合、脅威が検出されると、悪意のある実行ファイルを駆除するだけでなく、選択的スキャンにより実行されているすべてのプロセスが強制的に終了されます。一連の異なるアクセスレベルを持つファイルへのアクセスの必須モデルを実装するシステムでは、現在のアクセスレベルでは利用できないファイルのスキャンは特別な自律コピーモードで行うことができます。 ファイルシステムで検出された脅威を含むすべてのオブジェクトは、自律コピーモードで検出された脅威を除いて、永久保存された脅威レジストリに登録されます。 Dr.Web for UNIX Mail Serversに含まれているDr.Web Ctlコマンドラインを使うと、SSHまたはTelnet経由でのリモート端末アクセスを提供するリモートネットワークホストの脅威ファイルシステムをスキャンできます。
2.メールメッセージのスキャン。Dr.Web for UNIX Mail Serversは、次のメールメッセージスキャンのモードをサポートしています。 •メールサーバー(MTA)に接続された外部フィルターのモード。Dr.Web for UNIX Mail Serversは、外部フィルター(Milter、Spamd、Rspamd)との接続用のインターフェースをサポートするメールサーバーに統合できます。フィルターモードでは、MTAが主導して、、メールサーバーに届いたすべてのメールが有効化されたインターフェースを経由してDr.Web for UNIX Mail Serversに送信され、スキャンされます。インターフェースの機能に応じて、フィルターとして動作するDr.Web for UNIX Mail Serversは次のことが可能です。 ▫メールスキャンの結果をサーバーに通知します。この場合、メールサーバーは受信した結果に従ってメールメッセージを個別に処理する必要があります(スキャン結果に脅威の存在に関する情報が含まれている場合は、配信を拒否する、ヘッダーを追加する、またはメールの内容を変更します)。 ▫メッセージを受信または拒否するコマンドをメールサーバーに送信します。 ▫指定されたヘッダーを追加するか、検出された悪意のあるコンテンツや不要なコンテンツを削除して、メールメッセージを変更します。削除された悪意のあるコンテンツは、パスワードで保護されたアーカイブとしてメールメッセージに添付されます。メールメッセージの受信者は、保護されたアーカイブを解凍するためのパスワードをメールサーバー管理者に要求できます。推奨されませんが、必要に応じて、管理者はパスワードで保護されていないアーカイブの使用を設定できます。
•SMTPプロキシモードは、1つまたは複数のMTAやMDAにさらに転送したSMTPトラフィックを迂回してスキャンします。実際には、このモードは前のモードと似ています。Dr.Web for UNIX Mail Serversが(Milter、Spamd、またはRspamdを使用して)MTA(たとえばPostfix)に接続され、このMTAは他のMTAにメールメッセージを送信するようにカスタマイズされています(たとえば、さまざまなドメイン宛てのメッセージルーティングの実行など)。 •メールプロトコルの透過プロキシモード。このモードでは、Dr.Web for UNIX Mail Serversは(SpIDer Gateコンポーネントを使用して)共有相手に対して透過的にMTAやMUAの間でデータを共有するためのチャネルに埋め込まれたプロキシサーバーの機能と送信済みメッセージのスキャナの機能を実装します。製品は主なメールプロトコル(SMTP、POP3、IMAP)に透過的に組み込むことができます。このモードでは、組み込まれているプロトコルにもよりますが、Dr.Web for UNIX Mail Serversが受信者にメールメッセージを送信(未変更、またはヘッダーの追加やリパックされたメールメッセージの形式で変更した状態で)する、あるいはその配信をブロックすることができます。これには送信者または受信者への適切なプロトコルエラーの返信も含まれます。
Dr.Web for UNIX Mail Serversはディストリビューションと設定に応じて、メールメッセージのスキャンを実行します。 ▫脅威を含む悪意のある添付ファイルの検出。 ▫悪意のあるWebサイトまたは望ましくないカテゴリーに属するWebサイトへのリンクの検索。 ▫フィッシングとスパムの兆候の検出(DKIMテクノロジー、スパムフィルタリングの自動的に更新されたルールデータベース、DNSxLブラックリスト内の送信者のアドレスの存在をチェックするメカニズムを使用)。 ▫メールシステムの管理者が独自に設定したセキュリティ基準への準拠(正規表現を使用したメッセージ本文とヘッダーのスキャン)。 メールメッセージに含まれている望ましくないWebサイトへのリンクの確認には、自動的に更新されるWebリソースカテゴリーのデータベースを使用します。Dr.Web for UNIX Mail Serversと共に配信されます。また、メールメッセージに記載されているWebソースが他のDr.Web製品によって悪意のあるものとしてマークされている場合、Dr.Web Cloudは情報の入手可能性を確認するように要求されます。 3.感染したオブジェクトや疑わしいオブジェクトを確実に隔離します。サーバーのファイルシステムで検出されたそのようなオブジェクトは、システムへの害を防ぐ特別なフォルダに移動され、隔離されます。隔離へ移動されたオブジェクトは、特別なルールに従って名前が変更され、必要に応じて、オンデマンドでのみ元の場所に復元できます。 メールメッセージ内のDr.Web MailDコンポーネントによって検出された脅威は、サーバー上の検疫に移動され、変更されたメールメッセージ内でユーザー受信者に送信されます。それは、パスワードで保護されたアーカイブにまとめられています。ユーザーは、Dr.Web for UNIX Mail Serversの管理者から受け取ったパスワードを指示するだけで、アーカイブの内容にアクセスできます。 4.マルウェアに対する高度な保護を維持するための、スキャンエンジン、ウイルスデータベース、Webリソースカテゴリーのデータベース、メールスパムフィルタリングのルールのデータベースの自動更新。 5.ウイルスイベントに関する統計の収集、脅威検出イベントのロギング。SNMPを介して検出された脅威に関する通知を外部のモニタリングシステムと集中管理サーバーに(Dr.Web for UNIX Mail Serversが集中管理モードで動作している場合はDr.Web Cloudにも)送信。 6.集中管理モードでの動作(Dr.Web Enterprise Serverなどの集中管理サーバーに接続されている場合、またはDr.Web AV-Deskサービスの一部として)。このモードによって、保護されたネットワーク内のコンピューターに統一されたセキュリティポリシーを実装することができます。企業のネットワーク、プライベートネットワーク(VPN)、またはサービスプロバイダーのネットワーク(インターネットサービスプロバイダーなど)のいずれかです。
|