実際にウイルスを用いて正常にスキャンが行われるかテストしてみました。トロイの木馬が組み込まれた.exeファイルを添付可能な拡張子 .zip に圧縮して送ってみました。
postmaster宛ての警告メール
Administrator Email Reply Address: postmaster
Email sent to: korogi@my.domain.net
Inflex ID: 0411093920411
Report Details -----------------------------------------------
AntiVirus Results...
SWEEP virus detection utility
Version 3.68, April 2003 [Linux/Intel]
Includes detection for 80976 viruses, trojans and worms
Copyright (c) 1989,2003 Sophos Plc, www.sophos.com
System time 09:39:56, System date 11 April 2003
Command line qualifiers are: -archive -all -rec -sc
IDE directory is: /usr/local/sav
Using IDE file baris-ag.ide
Using IDE file bibrogb.ide
Using IDE file cult-a.ide
Using IDE file cult-b.ide
Using IDE file deborm.ide
Using IDE file frethemt.ide
Using IDE file ganda-a.ide
Using IDE file hawawi-a.ide
Using IDE file lovgatee.ide
Using IDE file morx-a.ide
Using IDE file oror-t.ide
Quick Sweeping
00:02 _headers_00:02 textfile000:02 textfile100:02
xxxxx_webupdate_patch.zip00:02
xxxxx_WebUpdate_patch.exe>>> Virus 'Troj/PMK-0.9' found in file
/usr/local/inflex/tmp/inf_0411093920411/unpacked/photo.zip/adobe.exe
00:02 textfile2
5 files swept in 2 seconds.
1 virus was discovered.
1 file out of 5 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
End of Sweep.
File NAME/TYPE Scan Results
0411093920411 from:warez@warez.com to: korogi@my.domain.net
END OF MESSAGE.
End.
# tail -f /usr/local/inflex/inflex.log
postmaster宛にInflexから届いた警告メールです。この警告からwarez@warez.comから送られたメールに添付されたファイル photo.zip に含まれる adobe.exe にトロイの木馬ウイルス Troj/PMK-0.9 が含まれていたため、メールを弾いたことが分かります。ちょっと感動です。
Command line qualifiers are: -archive -all -rec -sc
この部分でsweep がどのようなオプションで実行されているかが分かります。-archive により、適切に圧縮アーカイブのスキャンが行われている事が確認できました。ちなみにクライアント側のNorton AntiVirus2002ではこのウイルスは検知出来なかったことから、かなり強力なツールといえそうです。
ちなみにS/MIME、PGP暗号メールのスキャンした場合、含まれるウイルスも暗号化される訳で当然の事ですが検出は出来ません。 今回のInFlexの導入で 自メールサーバーへ届くメール、配送されるメールをサーバー側でスキャンが可能になりました。