ねっとでべろ

McAfee VirusScanの最新版（Ver9.0.10）でウィルスメールの受信テストを行った。

結論から言うとメール受信時のメールクライアントのセッション持ちきり問題は解消されている。

ウィルスはテスト用のeicar圧縮ファイルを利用。
まずeicar未圧縮ファイルはダウンロードすれば当然引っかかる。

上記のように未圧縮のウィルスはきちんと引っかかる。

がeicar圧縮ファイルはダウンロードに成功してしまう（ダウンロード時に圧縮ファイルも検査するようには変えられない）。
ただし圧縮ファイルからファイルを取り出そうとすると当然引っかかるので問題はない。

次にこのファイルをメールで受信する。
すると、

という感じでウィルスが除去される。（この間メールクライアントはセッションを張ったまま）
つまりメールに関しては圧縮ファイルの中も検査している。
McAfeeのオプション設定を推奨にするとこのダイアログはまったく出ずに自動で削除される。

その後、メールクライアントは受信を終了する。
受信されたメールにはテキストの添付ファイルがくっついていてその内容は以下のとおり。

           

ファイル名：McAfee_EmailScanReport.txt        ****************** McAfee VirusScan************************         ******* Wed, 13 Oct 2004 23:16:57 +0900 で警告が生成されました*********         *********************************************************************         McAfee VirusScan により、<***@****.****.***>         が送信したこの E メールから悪意のある脅威が検出されました。         各感染部分に次のアクションが実行されました。         <***@****.**.jp> にこのウイルス関連アクティビティを報告することを強くお勧めします。                 添付ファイル "eicarcom2.zip" は EICAR test file ウイルスに感染しています。         この添付ファイルは隔離されました。         添付ファイル "eicar_com.zip" は EICAR test file ウイルスに感染しています。         この添付ファイルは隔離されました。

という具合。

ちなみに送信時もチェックされる。（送信時も圧縮ファイル内を検査している）
その場合は（McAfeeプロセスから）妙な日本語で送信時に添付を削除した旨メールが来る。

---

ではプログラムがどうなっているのかチェック。

メールクライアント（Becky2）がPOP3で受信を開始すると以下のようになる。

                                                                                                                                                                                               

Proto	Local Address	Foreign Address	State	PID
TCP	127.0.0.1:1802	127.0.0.1:1803	ESTABLISHED	2032
TCP	127.0.0.1:1803	127.0.0.1:1802	ESTABLISHED	1156
TCP	自ホストのIP:1801	メールサーバIP:110	ESTABLISHED	2032

最後の数値はPID。PIDを調査すると、
　　　2032　= McVSEscn.exe
　　　1156　= B2.exe
である。

つまりどういうことかというと、

（ポート番号の1801～1803は動的に変更になる、はず）

という関係になっており、Beckyとメールサーバの間でMcAfeeが添付ファイルを削除して代わりに警告メールをつけている、と言う形になっているようだ。