コンピュータがウイルスに感染した事例が数多く報告されています。 そしてその感染経路の90%以上が、電子メールによるものだと言われてます。 また、ウイルスに感染した電子メールを、それと知らずに送ってしまうと、ウイルスが様々な悪行をしでかし社内スタッフのみならず見ず知らずの外部の人々に多大な迷惑をかけるケースもあり、企業にとっては社会的責任を問われる場合もあります。 今や、コンピュータウイルス対策は常識となってきています。 「ギデオン アンチウイルス」は、メールサーバ上で、電子メールの送受信時にウイルスを検出します。 最大のウイルス感染経路であるメールを、リアルタイムにウイルスチェックし処理するという効果的な方法です。 既存のメールサーバに「ギデオン アンチウイルス」を導入するだけで、電子メールのウイルス検出が可能なので、社員一人一人のメールクライアントにアンチウイルスソフトウェアをインストールするよりも、管理コストを大幅に削減できます。

「ギデオン アンチウイルス」では、 メールサーバプログラム（sendmail、postfix、qmail）がインターネットまたは社内からメールを受け取り、メールサーバ上で処理するときに、ウイルスを検知・削除します。 したがって メール配送の処理が終わって各ユーザのメールボックスにメールが置かれるときにはすでにウイルスが除去されています。 ユーザはウイルスがついていない安全なメールをPOP/IMAPなどを通じて自分のメーラに受信します。 一方ゲートウェイ型の場合、メールサーバと各ユーザのPCの間に位置するプロキシサーバまたはゲートウェイ、つまりネットワークの途中経路上でアンチウイルスが機能します。 メールサーバはメール配送処理で特に何もしないので、ウイルス感染メールはそのままメールサーバ上の各ユーザのメールボックスに入り、ユー ザはそのメールを受信します。 ただしネットワークの途中にアンチウイルス機能をもつゲートウェイが介在しているので、受信中にウイルスを検知・削除します。 ただしここで問題になるのは、ユーザが物理的に別の場所からメールをダウンロードする場合、途中にアンチウイルス機能をもつゲートウェイを介さない場合、結果としてウイルス付きのメールを受信することになります。

メールの添付ファイルを検査し、ウイルス定義ファイルと照合してウイルスがあれば検出します。 さらに、ウイルスを検出した場合、該当メールに警告メッセージのみ、もしくはヘッダ情報を付加するといった選択ができます。

弊社のアンチウイルスと他社製品では、まったく異なるアプローチでウイルスを検出します。 他社製品は大半がSMTPのデータを解析してウイルス検出をおこない、MTA(sendmail/qmail/postfix)に送信する方法をとっていますが、「ギデオン アンチウイルス」ではMTA の内部で検出します。 この方法によって、より高速に実行されるだけではなく、セキュリティ面でも安全でかつ、通信トラフィックも軽減できます。 sendmailの場合、配信を最適化するためローカル配信およびリモート配信には、それぞれmail.local(procmail)やsmtpfeedを使って高速化を実現しています。 また、専用のウイルスサーバが不要で、一台のメールサーバに導入できるのも特徴といえます。

1. より確実に電子メール感染ウイルスが検出できる

メールサーバ内で検出されますので、クライアント側でチェックに漏れた場合や、外部から送られてきたメールを直接開いて感染する可能性が低くなります。

2. メールサーバ内で処理しますので安全です

従来のメールスキャン方式では、SPAM、リレー、DoS攻撃等に対するセキュリティが脆弱になる可能性がありました。 メールサーバ内で処理しますので、メールサーバ一台で済みます。他社の電子メール対応ウイルス検出には、別のサーバを設ける必要がありましたが、「ギデオン　アンチウィルス」ではその必要がありません。

3. ウイルス定義ファイルは自動更新されるので安心

ウイルスの定義ファイルは頻繁に更新されますが、毎日チェックし定義ファイルの更新を行います。

4. 経済的

100ユーザまで￥198,000円（初年度サポート付き）2年目からは￥99,000円とういう業界でも最も経済的なアンチウイルスソフトです。

下記で説明する方法で設定できます。sendmail版のみに適用されます。qmail,postfixはそれぞれのリモート配信エージェントでの設定を行ってください。

/etc/GwAV/GWAV.conf に以下のファイルを追加する必要があります。 SMTPFEED=/usr/local/gwav/smtpfeed -M /usr/local/gwav/SMTPFEEDmapfile

/usr/local/gwav/SMTPFEEDmapfile にリレーするメールサーバを指定します。

smtpfeedマップファイルの設定について

ルーティングマップファイルの書式:
ドメイン名	宛先ホスト1:宛先ホスト2:... # コメント
宛先ホストには、hostname、[hostname]、A、MX 等が指定できる
hostname	ホスト名に対する MX を検索する
[hostname]	ホスト名に対する A を検索する
[IPaddress]	IP address を利用する
MX	 メールアドレスのドメイン部に対する MX
MX?	 MX と同じ (DNS が引けなかった場合は、後続する宛先ホストについても試行する)
A	 メールアドレスのドメイン部に対する A=domain	 エイリアスを適用した後 MX を検索
ドメイン部に対しては、メールアドレスのドメイン部に対して完全一致で比較するか、
部分一致で比較するかが選択できる
例)
# "sub.my.domain"のように完全に一致した場合 
# 例えば、"username@sub.my.domain"へのメールは「sub.my.domain」
# というサーバもしくは、「backup.server」というサーバに送る
sub.my.domain	A:[backup.server]
# ".co.jp"のようにサブドメインに部分一致した場合
# 例えば、".co.jp" のサブドメイン名をもつメールで、
# "username@xxx.yyy.co.jp"へのメールは「quick.relay.server」という
# サーバもしくは、".co.jp"のサブドメインに一致するメールサーバに送る
.co.jp	 quick.relay.server:MX
# エイリアスの場合
# 例えば、bitnet のサブドメイン名をもつメールで、
# "username@xxx.yyy.bitnet"へのメールは「bitnet.ad.jp」という
# メールサーバに送る
.bitnet =.bitnet.ad.jp
# メールサーバに送信が失敗した場合
# 例えば、".jp" のサブドメイン名をもつメールで、
# "username@xxx.yyy.co.jp"へのメールは".jp"のサブドメインに一致する
# メールサーバに送るが、そのメールサーバに送れなかった場合
# [fallback.mx]サーバに送る
.jp	 MX?:[fallback.mx]
# この設定ファイルを指定しない場合、下記の設定を指定する
# ことと同じになる
.	 MX	 # default

管理画面でプロキシ設定ができます。

以下の図を参考にしてください。

メールサーバの置き方は多種多様です。上述のようにゲートウェイメールサーバとして置く、外部・内部にそれぞれメールサーバを置く、部門ごとにメールサーバを置く、など考えられます。目的別としてはリレー専門とする、POPサーバも兼用する、などあります。いずれの場合でも、メールサーバとして正しく動作していれば、アンチウイルスをインストールすることができます。

メールサーバに「ギデオン　アンチウイルス」インストール後、実際に動作するかどうかの検証を行います。
同梱されているCDにはsampleディレクトリにウイルス検出用のサンプルウイルスファイルが同梱されています。このサンプルウイルスファイルは無害なファイルなのでウイルスには感染しませんが、検出用にはご利用できます。

ウイルスファイルは、検証を目的にのみご利用ください。その他の目的でご利用になられた場合、お客様の責任になりますので、ご注意ください。

「アンチウイルス」動作確認テスト

登録されているユーザアカウントへ以下のようにクライアントメーラから、サンプルウイルスファイルをメールに添付してアンチウイルス導入サーバへ送信してみてください。そのサーバでメールが受信できるようでしたら、クライアントのメーラから送信したメールアカウントでウイルス警告つきのメールが受信できます。

[クライアントメーラー] ─メール送信→ [アンチウイルス導入メールサーバ] ─メール送信→ [クライアントメーラー]

※クライアントにウイルス対策ソフトが導入されている場合クライアントでの検出をOFFにしてからテストしてください。

動作検証プログラムを使った場合、導入サーバで以下のコマンドでサンプルウイルス送信テストができます。
#/usr/local/gwav/gwav-checker --virus-test name
この"name"にはローカルに存在する受信可能なメールアカウントを指定します。

メールログでの確認

上記の方法でメールを受信すると、メールログにも検出したログが記録されます。"SCANNED:3"という文字列を探し、そのあたり数行をご確認ください。下記のメールログをご参照ください。（ただし、ディストリビューションによってメールログファイルのある場所が異なる場合があります。）/var/log/maillog もしくは mail.log
以下のコマンドを実行した状態で上記のテストをすると、最新のログが順次画面に表示されます。
#tail -f /var/log/maillog

ギデオン　アンチウイルス　インストール中に正しくインターネットに接続していれば、インストール中に定義ファイルの更新を行いますが、インストール後にも継続的に定義ファイルおよびモジュールを最新にしていく必要があります。

通常は毎日1回（デフォルト）自動的に行いますが、この更新を手動で即時に行うには、root権限でログイン後以下のコマンドを実行してください。
# /usr/local/gwav/pavupdate
更新には多少時間がかかることがあります。サイトのトラフィックが多い場合や最大接続数を超えるアクセスがあった場合には正常に更新されない場合があります。 時間帯をずらして更新を試みてください。
正しく更新されたかどうかは定義ファイルやモジュールが更新されたかどうかの確認はどうすればいいですか？」 をご参照願います。
更新されない場合、アンチウイルス導入サーバから所定のHTTPサイトにアクセスできない環境である可能性があります。ネットワークの設定をご確認ください。

簡単な動作確認は TEST.in の中のアドレスを適当に変更した後、% /usr/local/gwav/smtpfeed -dA -lstderr < TEST.inを実行します。-dA は全てのデバッグ出力を得る指定、-lstderr はデバッグ出力を画面に送る指定です。

TEST.in ファイルの内容

	LHLO localhost
	MAIL FROM:user@domain1 ENVID=xyz
	RCPT TO:user@domain1 NOTIFY=never
	RCPT TO:user@domain2 NOTIFY=never
	RCPT TO:user@domain3 NOTIFY=never
	RCPT TO:user@domain4 NOTIFY=never
	RCPT TO:user@domain5 NOTIFY=never
	DATA
	This is a test delivery by smtpfeed.
	.
	QUIT
	

以下のような結果以下のようになれば OK です。

	> 3,0 user@domain
	rewrite: ruleset 3 input: user @ domain
	rewrite: ruleset 96 input: user < @ domain >
	rewrite: ruleset 96 returns: user < @ domain >
	rewrite: ruleset 3 returns: user < @ domain >
	rewrite: ruleset 0 input: user < @ domain >
	rewrite: ruleset 88 input: < smtpf : LMTP > . user < @ domain >
	rewrite: ruleset 88 returns: $# smtpf $@ LMTP $: user < @ domain >
	rewrite: ruleset 0 returns: $# smtpf $@ LMTP $: user < @ domain >
	

インストール、およびアンインストールの実行は予めメールサーバを停止して、メール処理が完了していることを確認した後、実行してください。 インストール、およびアンインストール処理では、まず最初にメールサーバを停止し、プログラムの実行後、メールサーバを起動しています。しかし、メールサーバの処理が多い場合などの理由でメールサーバの起動に失敗する可能性があります。 （完全に停止するまでに相当時間がかかる場合があり、起動に失敗することがあります） したがって、確実にインストール、およびアンインストールするためには、この実行前にメールサーバを停止することを推奨します。

sendmail 起動 | 停止 | 状態確認 コマンドの例

# /etc/rc.d/init.d/sendmail start|stop|status 　　　<== いずれか指定します。

※sendmailの停止が完全に停止したかどうかは、上記のsendmailの状態確認で行います。 ただし、ディストリビューションによってはコマンドが異なることがあります。`ps` コマンドでsendmailプロセスを確認することもできます。

以下の形式に対応しています。
ZIP, ARJ, LZH, CAB, TAR, GZIP, BZIP2他、約1000種類の圧縮形式をサポートしています。

以下の図を参照してください。

はい、可能性があります。
ウイルスメールはRFCに準拠した形式で送付されない可能性があり、その場合検出しても不完全な形式で送付されることがあります。
そのため、ウイルス検出時に削除する設定があるにもかかわらず、削除されないことがあります。メールを開くだけで感染しないように別添付されますのでこのようなメールは削除することを推奨します。
またサブジェクトなどが書き換えられることで、日本語が文字化けしたりすることもあります。

ウイルスが検知された場合、以下の選択ができるようになっています。

• メールの送信者・受信者に警告メッセージを送付する
• 特定の管理者（postmaster や指定したメールアドレス）に警告メッセージを送付する

デフォルトではメールの受信者には必ず警告メッセージが送られます。

これらの設定は、管理画面より変更可能です。詳細は、『アンチウイルス メールサーバ Ver.3 製品マニュアル』の『3.9 メール設定』をご覧ください。

はい。管理画面から設定可能です。
詳細は、『アンチウイルス メールサーバ Ver.3 製品マニュアル』の『3.9 メール設定』をご覧ください。

はい。管理画面から設定可能です。
詳細は、『アンチウイルス メールサーバ Ver.3 製品マニュアル』の『3.8.1 共通設定/基本設定』をご覧ください。

こちらからご確認願います。

送信者、受信者、指定した管理者へそれぞれ以下のようなメッセージ・形式で送られます。以下の例は、
hogehoge@xxxxx.co.jp からhogehoge@xxxx.co.jpにサブジェクト： ウイルステスト
メール本文　：ウイルステスト
添付ファイルにウイルス検出テスト用のeicar.comを添付した場合の警告メッセージです。

受信者への警告メッセージ例

	From：MAILER-DAEMON 日時：2002/05/21 15:13:29 
	サブジェクト：Virus warning: ウイルステスト 
	To：hogehoge
	hogehoge@xxxx.co.jp has sent you a mail with virus attachment file(s),
	the original subject is
	ウイルステスト
	======== Virus file(s) ========
	eicar.com	infection: EICAR_Test_File ----------(1)
	------------------------------
	1 of above attached file(s) be 0 byte now ----------(2)
	===============================
	ウイルステスト
	添付書類： 
	FORWARDED_MSG_1.rfc822 eicar.com -----------(3)
	

解説：

(1)	ウイルス感染ファイル名　eicar.com が感染タイプ(infection) EICAR_Test_Fileであったことを表示しています。この感染タイプは新種の公表された命名でKlez,Mypartyなどのタイプが表示されます。
(2)	上記のeicar.com をメール本文から削除してゼロバイトにしたことを表示しています。 この他にウイルス感染を検出したが、削除に失敗した場合には「DELETE failed 」のメッセージが出ます。 ウイルス検出解析自体が失敗した場合には「** Virus scan failed **」　のメッセージが出ます。
(3)	ウイルスを検出し場合、直接添付ファイルを開くことがないように別ファイルにしています。 FORWARDED_MSG_1.rfc822はメール本文（削除指示があった場合添付ファイルを削除した本文） eicar.comはウイルス検出した添付ファイルで削除指示があった場合に0バイトのファイルになります。

送信者への警告メッセージ例

	From：MAILER-DAEMON@xxxx.co.jp 日時：2002/05/21 15:13:29 
	サブジェクト：*** You have sent a virus ! 
	To：hogehoge@xxxx.co.jp 
	Virus attachment file(s) found in your mail,
	the subject was
	ウイルステスト
	======== Virus file(s) ========
	eicar.com	infection: EICAR_Test_File
	===============================
	

管理者への警告メッセージ例

	From：MAILER-DAEMON@xxxx.co.jp 日時：2002/05/21 15:13:29 
	サブジェクト：*** VIRUS warning *** 
	To：hogehoge@xxxx.co.jp 
	Virus attachment file(s) found in a mail,
	Sender: hogehooge@xxxx.co.jp
	Receiver:
	hogehoge
	======== Virus file(s) ========
	eicar.com	infection: EICAR_Test_File
	------------------------------
	Above attached file(s) be 0 byte now
	===============================
	

解説：

ウイルス感染メールでは、送信者を偽っているか、送信者が正しく解釈されないか、送信者がないことがあります。前述したケースでは、メールサーバ側でサーバ受信時に指定された送信者が使われます。

まず、第一に定義ファイルおよびモジュールは更新され最新のものになっているかどうか確認ください。
第二に、そのウイルスの対応が既に更新されているかどうかこちらでご確認ください。
もし、更新されているにもかかわらず検出に失敗した場合、以下の可能性があります。

1. ウイルスではあるが、実行できないので実際は無害であるケース
2. 擬似ウイルスで問題ないケース
3. 有効なウイルスであるケース

上記3の可能性があることが懸念される場合、こちらまでご連絡ください。

「アンチウイルス」では外部からのメールのFromアドレスはSMTP通信情報(エンベロップ)から取得しています。しかし、このFromアドレスは偽装アドレスもしくは空アドレス(<>)からでもメール送信が可能です。 また、同様にToアドレスも存在しないメールアドレスであることもあります。 BCCのメールアドレスが正しい場合、上記のようなメールアドレスで受信ができます。 ウイルス感染メールを受信した場合、管理者への警告メールにはSMTP通信から取得したFromアドレスを表示していますが、かならずしも正しい発信者ではないことがあります。 「アンチウイルス」で送信者への警告メール送信指示があった場合、想定しないアドレスへ警告メールを送ってしまうことがあります。このようなケースによる、第3者への迷惑を回避するには、送信者へ警告メッセージを出さない設定を推奨します。

注）：　
ウイルス警告メールで、エンベロップFrom が空(<>)の場合、メールサーバで設定された値を表示します。警告メールのカスタマイズで表示を変更できます。 初期設定値は、 sendmail版ではsendmail.cf マクロDnを参照し設定（通常はMAILER-DAEMON）されます。 他のMTAはインストール時に追加されないためroot になります。

まずは、お使いのサーバ上の定義ファイルが最新かどうかご確認ください。
また、メールサーバおよびアンチウイルスが正しく機能しているか、適切なユーザID・パスワードが登録されているかもご確認ください。

上記を満たしている場合、こちらまでご連絡ください。

root権限でログインし、以下のコマンドを実行することで確認できます。

# /usr/local/gwav/gwav-checker
---------------------------------------------------------
< VERSION >
GWAV version:
-rwsr-xr-x 1 root root 80744 Apr 28 13:25 /usr/local/gwav/gwav
Engine: 2.3.6 2009-03-03　<---　ウイルスエンジンのバージョン
Patch: gwav.base 1.1.0 20090610
gwav.gui 1.3.0 20090303
gwav.file 1.2.1 20090303
kav 5.5.2 20090610
gwav.mta 3.2.1 20090610
gas 1.0.0 20090303
gas.kas3.ver not found.
RPM: gav-kav-5.5.2-01 gav-gas-1.0.0-00 gav-common-3.0.1-00 gav-mta-3.0.1-00
Anti-virus version:
Virus database version: 1245139860 <---　定義ファイルのバージョン
----
Kaspersky Anti-Virus On-Demand Scanner for Linux. Version 5.5.2/RELEASE build #92, compiled May 23 2005, 19:19:43
Copyright (C) Kaspersky Lab, 1997-2005.
Portions Copyright (C) Lan Crypto

上記で出力された情報と、最新アップデート情報のサイトと比較してご確認ください。

新種のウイルスの対応は、数時間以内におこなわれており、この更新タイミングで定義ファイルが更新されます。頻繁な場合は、毎時間更新します。

ウイルス定義ファイルアップデートの更新スケジュールは、デフォルトでは1時間に1回となっております。ネットワークやCPUの負荷に影響がない限りは、デフォルト設定での運用をお勧めします。

例えば、以下のケースなどあります。

* sendmail.cf で"Dj"マクロでホスト名を指定した場合、sendmailだけの使用であれば、EHLOで使用されるホスト名はそこで指定したホスト名ですが、アンチウイルスをインストールするとsmtpfeedが実装されます。EHLOに使用する公式ホスト名はsmtpfeedで取得するホスト名となり、この場合システムに正しく設定されたホスト名になります。ホスト名の設定が /etc/sysconfig/network（RH系）や /etc/hosts で正しく設定されていない場合、localhost.localdomain として表示されてしまいますので、リレーするメールサーバによっては受け付けない場合があります。ホスト名を正しく設定してください。

* アンチウイルスインストール後、手書きでsendmail.cfを編集したのが原因で動作しなくなった場合、弊社側では解析できませんので、まずは以下の手順でアンインストール・インストールをやり直してください。

1. 念のため、/etc/GwAV や /etc/mail* などのバックアップをとっておいてください。
2. メールサーバを停止してください（sendmail/postfix/qmail）。処理中のメールがすべて終息したか確認してください。
3. アンチウイルスをアンインストールしてください（rpm -e もしくは dpkg -r など）
4. アンチウイルスがインストールされていない状態で、メールサーバの再設定をして、期待する動作で正しく動くことを確認してください。
5. メールサーバプログラムの設定に問題がある場合、この時点↑で特定できます。
6. メールサーバの挙動に問題がないことを確認した上で、アンチウイルスをインストールしてください（rpm -ivh もしくは dpkg -i など）
7. メールが正しく届くか、およびアンチウイルスが正しく動作するか確認してください。

これでも正しく動作しない場合は導入後技術サポート窓口にお問い合わせください。

root権限で、サーバにコンソールログインし、以下のウイルス定義ファイルの再初期化コマンドを実行してください。

/usr/local/gwav/ave/ave-initialize.sh

その後、次回のウイルス定義ファイル更新時にもエラーになるようであれば、サポートセンターにご連絡ください。

通常のメールサーバだけで処理する場合に比べ、ウイルス検出をする分だけ時間がかかります。おもに下記の要素により負荷が左右されます。過去に社内でウイルスが蔓延した経験をお持ちの方は、大きな負荷がサーバの運用に障害をきたす場合がありますので、最初から十分なハードウェアスペックを確保しておくことをお奨めいたします。

• CPU（スキャンにはCPUリソースが必要）、ディスクI/O、メモリ（プロセスが常駐したり一時ファイルが使用）
• メールサーバプログラムおよびメーリングリスト運用状況、メール利用ユーザ数
• スキャンするメール添付ファイルの種類（圧縮ファイルなど）
• OS側のシステム設定

以下にべンチマークテスト結果の一例をあげます。１回のメール処理に必要なメモリは数メガバイト程度です 。ただし、添付ファイルがないメールの送信ではアンチウイルスプログラムが起動しませんので、負荷は増えません。

【ベンチマーク実行環境】

• PentiumIII 860MHz
• メモリ256MB
• sendmail ver8.9.3
• gwav ver2.0.9
• fsav ver4.14

【ベンチマークテスト】

22.7KB(ウイルスファイル22.1KBを添付した)サイズの100件を一括してローカルにメール送信。ウイルス検出しない場合、ウイルス検出した場合で警告メールをだす場合と出さない場合でそれぞれ所要時間から負荷を測定した。（送信開始からメールを受信完了するまでの時間から測定）

【ベンチマーク結果】

ウイルス検出しない場合	処理メール数　約1000通/分

ウイルスを検出する場合
ウイルスに感染していない添付ファイルの場合	処理メール数　約200通/分
ウイルスに感染してた添付ファイルで警告メールをpostmasterに出す場合	処理メール数　約100通/分
ウイルスに感染してた添付ファイルで警告メールをpostmaster＋送信者に出す場合	処理メール数　約60通/分

サン・コバルトQube3の例　(CPU: AMD-K6-III 450MHz メモリ: 128MB)
テキストのみのメール送信(22KB)	260メール/分
ウイルスに感染していないファイルを添付したメール送信(22KB)	60メール/分
ウイルスに感染しているファイルを添付したメール送信(22KB)	36メール/分 ただし、この場合は管理者に別途メールが送信されます）