HCL Domino 14.5.1 EA1 ClamAVサポート試用報告

Transcript

1. HCL Domino 14.5.1 EAP Drop1 ClamAV サポート 試用報告 中野晴幸 Haruyuki

   Nakano harunakano.blogspot.com (blog) @harunakano (X twitter) 2026年2月19日 第83回 のの会

2. Domino の ClamAV サポートとは • Domino 12.0.2 から ICAP プロトコルサーバーと連携させて

   メールにある添付ファイルをウイルススキャンさせることが可 能に • Domino 14.5.1 EAP1 で ICAP プロトコルのほか ClamAV (プロ トコル?)もサポート • ウイルスを含むメールの検出時に Domino が実行するアクショ ンを定義できる • ICAPサーバー経由でウイルススキャンするには TLS が必須だ が、ClamAV では TLS はオプション

3. ClamAV とは • 主にメールゲートウェイでの電子メールスキャンを目的に設計 されたオープンソース（GPLv2）のアンチウイルスツールキッ ト • 従来のアンチウイルスソフトやエンドポイントセキュリティス イートではない •

   柔軟かつスケーラブルなマルチスレッドデーモン、コマンドラ インスキャナ、自動データベース更新のための高度なツールな ど、多数のユーティリティを提供 • Tomaz Kojm らにより開発された • 現在は Cisco Systems, Inc から提供されている

4. ClamAV ダウンロード Windows版をダウンロードします

5. ClamAVNet https://www.clamav.net/

6. けれど公式サイトのリストに Windows Server は無い… 「Windows Server 2016 with ClamAV」の VM

   が Windows Marketplace にある Windows Server は 動作実績ありってことかな(汗)
7. None

8. 今回は clamav-1.5.1.win.x64.msi を選択しました

9. ClamAV インストール Hyper-V 上の Windows Server 2022 へインストールしました

10. ダウンロードしたファイルを実行する。

11. Welcome 画面が表示されるので Next を押す。

12. License Agreement を読み 「I accept the terms in the License

    Agreement」に チェックをつけて Next を押す。

13. インストールディレクトリをデフォルト（ C:¥Program Files¥ClamAV¥ ）のまま Next を押す。

14. Install を押す。

15. インストールは数秒で完了した。 Finish を押すと、画面が閉じる。

16. ClamAV 初期設定 まずは動くようにする

17. インストールディレクトリ配下の conf_example フォルダにある2つの.sampleファイル（ clamd.conf.sample freshclam.conf.sample ）をインストールディレクトリ直下へコピー

18. clamd.conf.sample freshclam.conf.sample コピーした2つのファイルにある “Example” をコメントアウト

19. コピーした2つのファイル名にある”.sample”を削除

20. ClamAV ウイルスデータベースの ダウンロードと更新 データベースは頻繁に更新されるようです

21. コマンドプロンプトを管理者として実行し インストールフォルダへ移動して freshclam コマンドを実行し、最新のファイルをダウンロードする

22. freshclam コマンドで「SSL peer certificate or SSH remote key was not

    OK」 の警告表 示。2度のリトライもNGでエラーになり daily.cvd がダウンロードできない。 アクセス先は「https://database.clamav.net」

23. ネットの情報をもとに freshclam.conf にある 「DatabaseMirror database.clamav.net」を変更し、 「DatabaseMirror http://database.clamav.net」としてみた

24. 再度 freshclam コマンドを実行し、 ３つのデータベース（ daily.cvd, main.cvd, bytecode.cvd ） のダウンロードとそれらのアップデートに成功した

25. 定期的に freshclam を自動実行する サービス「freshclam」の作成 ClamAVインストールフォルダへ移動し「freshclam –install-service」を実行 スタートアップの種類を「自動」に変更して起動しておく

26. HCL Domino 14.5.1 EAP Drop1 ClamAV support for Domino mail

    scan さっそく試してみました
27. None

28. Domino メールスキャンの ClamAV サポート Domino では、メール メッセージの添付ファイルのウイルス対策スキャン用に ClamAV プロトコルのサ ポートが追加されました。

    Domino のサードパーティ製ウイルス対策スキャナは、ICAP プロトコルまたは ClamAV プロトコルのいず れかをサポートするようになりました。以下の要件にご注意ください。 ⚫ ICAP サーバーを使用してウイルス対策スキャナーに接続するには、TLS が必要です。 ⚫ ClamAVはTLSを直接サポートしていないため、TLSはオプションです。ClamAVでTLSを使用するには、 サードパーティのプロキシサーバーが必要です。

29. メッセージのウイルススキャン機能とは • メールの添付ファイルをウイルススキャンする • ウイルスが見つかった場合にDominoが実行するアクションを 定義することが可能 • Domino 12.0.2 以上

    • Windows, Linux, AIX でサポート • ICAPプロトコルまたはClamAVプロトコルのいずれかをサポー トするサードパーティー製のウイルス対策スキャナーが別途必 要

30. コンポーネント ウイルス スキャンには次のコンポーネントが含まれます。 ➢ Router タスク Domino メールルータータスクです。ウイルススキャンが有効になっている場合、ルーターはサーバー上の mail.box データベースを

    スキャンし、ウイルス検査が必要なメッセージを探し、それらをメールスキャンタスクのキューに入れて処理します。通常のルー ターによるメッセージ処理は、メールスキャンがメッセージを処理し、場合によっては変更するまで延期されます。 ➢ Mailscan タスク ウイルススキャンが必要なメッセージを処理し、ウイルス対策サーバーと通信して実際のウイルススキャンを実行し、結果を収集す る Domino タスクです。デフォルトでは、ウイルスに感染した添付ファイルとメッセージに関する情報がログに記録されます。感染 したメッセージを別のデータベースに隔離するように設定することもできます。 ➢ Domino コンテンツ スキャン構成 (cscancfg.nsf) ウイルス スキャンを構成するために使用される、メールスキャンによって作成されるドメイン全体のデータベースです。 ➢ Domino コンテンツ スキャン ログ (cscanlog.nsf) メールスキャンによって作成されるサーバー固有のデータベースで、サーバーのウイルス スキャンの結果をログに記録します。メー ルスキャンは、サーバーのウイルス対策構成を検出すると、このデータベースを作成します。 ➢ Domino コンテンツ スキャン検疫 (cscanquarantine.nsf) 管理者が選択した場合に、メールスキャンによって作成されるサーバー固有のデータベースで、元の感染メッセージがここに保存さ れます。メールスキャンは、サーバーのウイルス対策構成を検出すると、データベースを作成します。

31. スキャンの仕組み (1/2) 1. Domino は、ウイルス スキャンのために各受信メッセージを mail.box に保持します。 2. Domino

    は mail.box 内の各メッセージを評価し、次のいずれかの手順を実行します。 ⚫ メッセージが別のDominoサーバーで既にスキャンされている場合、サーバーがメッセージに設定し たセキュアトークンを検証します。トークンがドメイン内の信頼できるサーバーによって書き込ま れ、トークン内のウイルス定義シグネチャが現在のウイルス対策サーバーのウイルス定義シグネ チャと一致し、スキャンされたデータが変更されていない場合、 メッセージはルーティングされま す。 ⚫ メッセージに添付ファイルがない場合、メッセージはルーティングされます。 ⚫ メッセージに、Domino が解釈できずスキャンできない暗号化された添付ファイルが含まれている 場合、メッセージはルーティングされます。 ⚫ それ以外の場合、Domino サーバー上のメールスキャン タスクは、各メッセージの添付ファイルを ICAP サーバーに送信します。 3. ウイルス対策サーバーは各添付ファイルをスキャンし、添付ファイルにウイルスが含 まれているかどうかを Domino サーバーに応答します。 4. Domino は、添付ファイルにウイルスが含まれているかどうかを評価することで、 メッセージにウイルスが含まれているかどうかを判断します。

32. スキャンの仕組み (2/2) 5. メッセージにウイルスが含まれていない場合、Dominoは添付ファイルデータのハッ シュと、ウイルス対策サーバーから提供された最新のウイルス定義を識別するウイル ス定義シグネチャを含むセキュアトークンを作成します。その後、Dominoはトークン をメッセージの項目として追加し、メッセージをルーティングします。オプションで、 スキャンされたすべてのメッセージと添付ファイルの情報をcscanlog.nsfに記録する ように設定することもできますが、通常はウイルスが含まれている場合にのみログに 記録します。

    6. メッセージにウイルスが含まれている場合、Domino は感染したコンテンツが受信者 に配信されないようにし、感染したコンテンツに関する情報をログに記録するための アクションを実行します。 • cscancfg.nsf の設定に応じて、次のいずれかの手順を実行します。 • 通知付きでメッセージを破棄: メッセージの内容を削除し、管理者が設定した件名と本文の置き換えテキストを変更 してメッセージをルーティングします。 • メッセージをクリーンアップして配信: 感染した添付ファイルの内容を管理者が設定した添付ファイルのテキストに 置き換えてクリーンアップし、管理者が設定した件名を変更してメッセージをルーティングします。 • メッセージを黙って破棄: メッセージを削除し、ユーザーに通知を送信しません。 • Domino は、感染したメッセージと添付ファイルに関する情報を cscanlog.nsf に記録します。 • Domino は、cscancfg.nsf がそのように設定されている場合は、元のメッセージを cscanquarantine.nsf に隔離します。

33. ClamAV support for Domino mail scan を 有効にする ドメイン内で初めてウイルススキャンを有効にする

34. 概要 1. mailscan の最初の実行で cscancfg.nsf を自動作成する 2. cscancfg.nsf に設定文書を作成する 3.

    cscancfg.nsf にサーバー文書を作成する 4. mailscan タスクを実行する

35. 1. 初めて mailscan タスクを実行する

36. 作成された Cscan Config (cscancfg.nsf)

37. 2. cscancfg.nsf に設定文書を作成

38. Basics タブ Mail Scan タブ

39. Scan Config タブ ClamAV 選択時のデフォルト プライベートLANのIP「127.0.0.1」ポート 「3310」でTLSを使用しない設定

40. 3. cscancfg.nsf にサーバー文書を作成

41. 4. mailscan タスクを実行する ClamAV に接続できない… なぜなら ClamAV を実行していないから(笑) nmailscan: Cannot

    connect to ClamAV host [127.0.0.1], Port: 3310, SSL: 0. Error: Unexpected protocol stack error nmailscan: Critical Error: Anti Virus server Clam is not available, 0 messages waiting for scan. Connection attempt 1 Error: Unexpected protocol stack error Dominoコンソールで「load mailscan」を投入

42. ClamAVを実行する サービス「clamd」の作成 ClamAVインストールフォルダへ移動し「clamd –install-service」を実行

43. Windowsのサービスに「ClamAV Clamd」が スタートアップ「手動」で追加された。

44. ClamAVを実行する サービス「clamd」の実行 サービス「clamd」を実行するため「net start clamd」を投入

45. Dominoコンソールで「tell mailscan quit」を投入してタスクを終了 Dominoコンソールで再度「load mailscan」を投入して mailscan タスクがエラー無く起動した。

46. cscancfg.nsf ではサーバーのアイコン表示に変化あり

47. ClamAV support for Domino mail scan のテスト メールに添付したファイルをClamAVで処理することを確認しま す

48. まずは「ウイルスなし」のファイルを添付して送信します。 mailscan タスクがメールをスキャンした結果「*No Viruses Detected*」をコンソールに出力しました。 受信したメールの件名に [scanned] が追加されました。

49. テスト用ウィルス「EICAR」を ダウンロード ダウンロードするためにWindowsセキュリティのリアルタイム 保護を一時的にオフにしました。

50. 次にウイルスありのファイルを添付して送信します。 mailscan タスクがメールをスキャンした結果「detected virus Eicar- Test-Signature.」「*1 virus Detected*」をコンソールに出力しました。 Router タスクがトークンのベリファイでエラーを出力しましたがメー

    ルは届いたようです(汗)

51. ビューでは駆除されたメールであることを示すアイコンが表示され、 受信したメールの件名に [discarded] が追加され、 本文に添付した場所にはファイルが無くなり、 「Virus found! Message discarded.」の文字がありました。

52. メールの件名に追加する文言や 本文に添付した場所に表示する文言などは cscancfg.nsf で設定します

53. 非エンコードされたコンテンツを含むMIME メッセージにある（Notesで開くと添付ファ イルとして表示される）コンテンツを 「embedded attachments」と呼びます。こ こにチェックを入れることでウイルスス キャンがこのようなコンテンツをスキャン するよう設定可能です。

54. スキャンした結果は cscanlog.nsf に残ります Attachments ビューは添付ファイルごとの情報があります。 Messages ビューはメールごとの情報があります。

55. Attachment Log 文書を開き、ボタン VirusTotal Lookup を押す と検出したウイルスに関する情報を表示しました。

56. スキャン結果を書き込むログデータベースとそのオプションは cscancfg.nsf で設定します。

57. スキャンして感染を確認したファイルは cscanquarantine.nsf に隔離されます。 Quarantine: 検疫 日付別、送信者別、受信者別の ビューが用意されています。 文書を開こうとすると注意を促す メッセージが表示されました。

58. cscanquarantine.nsf に隔離されたファイルは Quarantine 文書の欄外に添付されています。

59. 感染したファイルの検疫の有無、 検疫する場合のデータベースは cscancfg.nsf で設定します。

60. ClamAV support for Domino mailscan タスクの tell コマンド 「tell mailscan

    help」でコマンド一覧をチェック

61. アンチウイルスサーバーへの接続テスト tell mailscan test connection

62. mailscan タスクのステータス tell mailscan status > tell mailscan status >

    [1D40:0004-06AC] mailscan Server Data: [1D40:0004-06AC] Server name: CN=1451ea/O=labo [1D40:0004-06AC] Configuration database: cscancfg.nsf [1D40:0004-06AC] Status: Scanning Enabled [1D40:0004-06AC] Logging level: normal [1D40:0004-06AC] Logging to: Console log [1D40:0004-06AC] Configuration name: scan#1 [1D40:0004-06AC] mailscan Configuration Data: [1D40:0004-06AC] Virus detected action: Discard message with notification [1D40:0004-06AC] Scan options: Scan normal attachments [1D40:0004-06AC] Quarantine action: Quarantine original message [1D40:0004-06AC] Message log option: Log attachments with viruses only [1D40:0004-06AC] Log database: cscanlog.nsf [1D40:0004-06AC] Quarantine database: cscanquarantine.nsf [1D40:0004-06AC] Log retention (days): 40 [1D40:0004-06AC] Quarantine (days): 40 [1D40:0004-06AC] Subject prefix scanned: [scanned] [1D40:0004-06AC] Subject prefix virus: [virus found] [1D40:0004-06AC] Subject prefix discarded: [discarded] [1D40:0004-06AC] Virus attachment text: Virus found! Attachment text replaced. [1D40:0004-06AC] Maximum scan size (MB): 100 [1D40:0004-06AC] Clam server name: 127.0.0.1 [1D40:0004-06AC] Clam TLS server port: 3310 [1D40:0004-06AC] Clam service name: [1D40:0004-06AC] Disabled preview: [1D40:0004-06AC] Virus name formula: @If ("" = CLAM_Response; @Return("No Virus Information");""); @Trim(@LeftBack (@Right(CLAM_Response; "stream: ":"STREAM: "); " FOUND":" found")) [1D40:0004-06AC] TLS options: [1D40:0004-06AC] Certificate subject: [1D40:0004-06AC] Cert expiration warning: 21 [1D40:0004-06AC] mailscan Summary: [1D40:0004-06AC] Messages processed: 1 [1D40:0004-06AC] Messages infected: 0 [1D40:0004-06AC] Messages not infected: 1 [1D40:0004-06AC] Message errors: 0 [1D40:0004-06AC] Attachments processed: 1 [1D40:0004-06AC] Attachments infected: 0 [1D40:0004-06AC] Attachments not infected: 1 [1D40:0004-06AC] Total data scanned (MB): 0 [1D40:0004-06AC] Clam server connections: 0 [1D40:0004-06AC] Clam connection failures: 0 [1D40:0004-06AC] Issue command "show stat mailscan.*" for full statistics.

63. キューの表示 tell mailscan show queue

64. 気づいたことなど

65. 送信者自身のメールボックスに保存され るメールはスキャンしない • 自身のメールボックスを開き、新規メールを作成して第三者を 指定して送信ボタンを押した場合、自身のメールボックスに保 存されるメールは mail.box へ入らない。そのため第三者へ届く メールはスキャンされるが、送信者自身のメールボックスにあ るメールはスキャンされない。

66. スキャン済みのメール文書には 「$$CScanToken」としてセキュアトークンが セットされていました。 添付が無いメールはスキャンしないためセキュ アトークンは無し。

67. メール文書の「_ViewIcon」アイテムに数値 をセットするとビューのアイコンを指定でき る？（未確認)

68. [0670:0005-2264] 2026/02/07 11:50:43 nmailscan: Set current ClamAV virus signature string

    to ClamAV 1.5.1/27891 [13F0:0005-1FC8] 2026/02/07 14:47:44 nmailscan: Set current ClamAV virus signature string to ClamAV 1.5.1/27904 freshclam コマンドで更新後、mailscan タス クは再起動なしで更新を自動認識した

69. スライドの最後