SMTP および IMAP プロキシで APT Blocker を有効にして、メール添付ファイルとして送信されるゼロデイ攻撃からネットワークを保護するのに役立てることができます。ゼロデイ攻撃は、まだ分析および特定がされていない新しい攻撃です。
SMTP および IMAP プロキシで APT Blocker を有効にすると、それらのプロキシは APT Blocker により分析を受けるためにメール添付ファイルを送信し、検出された脅威レベルに応じて構成された APT Blocker アクションを取ります。
SMTP プロキシにおける APT Blocker
SMTP プロキシ アクションで APT Blocker を有効にすると、APT Blocker の分析を受けるため提出する必要があるメール添付ファイルを含んでいるメッセージの配送を SMTP プロキシがどのように扱うかを制御することができます。
SMTP プロキシで APT Blocker を有効にすると、APT Blocker 分析用に添付ファイルが送信されたらすぐにメッセージをリリースする オプションが既定で有効になります。このオプションが有効になっている場合、以前分析したファイルに一致しない MD5 値の添付ファイルを含むメッセージを SMTP プロキシが受信すると、APT Blocker 分析用のファイルを送信するのと同時にメッセージをリリースします。
このオプションを無効にした場合、以前分析したファイルに一致しない MD5 値の添付ファイルを含むメッセージを SMTP プロキシが受信すると、プロキシは APT Blocker の分析を受けるために添付ファイルを送信するのと同時にメッセージを保留します。すべての添付ファイルの APT Blocker 分析が完了後、SMTP プロキシは、その添付ファイルの APT Blocker 脅威スコアに基づいて構成された APT Blocker アクションを実行します。
SMTP プロキシは APT Blocker 分析用ファイルを 1 回に 1 つずつ送信します。複数の添付ファイルを含むメッセージの送信の遅延を減らすため、送信者は複数のファイルを単一のアーカイブ ファイルとして添付することができます。SMTP プロキシは、APT Blocker の分析用のすべての添付ファイルを、単一のアーカイブ ファイルとして送信します。
送信メール配送エージェント (MTA) がタイムアウトする前に SMTP プロキシが APT Blocker 分析からの結果を受信した場合は、プロキシは APT 脅威レベルに応じて構成された APT Blocker アクションを実行します。トランザクションが完了する前に送信 MTA がタイムアウトした場合は、メッセージは送信されず、送信 MTA は再試行する必要があります。送信 MTA がメッセージを再送信すると、SMTP プロキシは以前のファイル分析からの MD5 結果を使用してそのファイルの MD5 値をマッチし、構成された APT Blocker アクションを実行します。
Firebox がデータ センターに接続して APT Blocker 分析のためにファイルを送信できない場合は、APT Blocker はメッセージを許可します。
SMTP プロキシで APT Blocker を構成する方法の詳細については、次を参照してください:SMTP プロキシ:APT Blocker。
IMAP プロキシでの APT Blocker
IMAP プロキシで APT Blocker が有効化されていると、APT Blocker によりすべての添付ファイルが分析されるまで、プロキシはメッセージを取得しません。APT Blocker により分析されていない添付ファイルがメッセージにある場合は、ファイルを APT Blocker 分析のために送信中、IMAP プロキシがメッセージを保管します。1 つのメッセージに複数の添付ファイルがある場合は、IMAP プロキシは、APT Blocker による分析を受けるため、すべてのメッセージ添付ファイルを同時に送信します。APT Blocker 分析は、メッセージ取得にわずかな遅延をもたらす可能性があります。
SMTP プロキシとは異なり、IMAP プロキシでは、APT Blocker 分析のために添付ファイルが送信される際に常にメッセージが保持されます。
IMAP サーバーがタイムアウトする前に IMAP プロキシが APT Blocker 分析からの結果を受信した場合は、プロキシは APT 脅威レベルに応じて構成された APT Blocker アクションを実行します。トランザクションが完了する前に IMAP サーバーがタイムアウトすると、メッセージは取得されません。IMAP クライアントが後に再びメッセージの取得を試みると、IMAP プロキシは以前のファイル分析からの MD5 結果を使用してそのファイルの MD5 値をマッチし、構成された APT Blocker アクションを実行します。
Firebox がデータ センターに接続して APT Blocker 分析のためにファイルを送信できない場合は、APT Blocker はメッセージを許可します。
一部の電子メール クライアント (Outlook など) では、同期プロセス中は既定で接続が拒否されます。電子メール クライアントを再起動する必要があります。電子メール クライアントが再起動すると、同期プロセスが正常に完了し、電子メール クライアントで引き続きメッセージが送受信されるようになります。
IMAP プロキシで APT Blocker を構成する方法の詳細については、次を参照してください:IMAP プロキシ:APT Blocker。