外部メールサーバからPOPによる受信時にウイルスを削除した。
※外部POPサーバーからなので、Internal → ExternalにPOPをチェックするようプロファイルを作成してある。
メッセージ内容
Message meets Alert condition
Virus/Worm detected: W32/Agent.CYU!tr (見つかったウイルス)
Protocol: "pop3" (POP経由)
Source IP: 10.*.*.* (ローカルIP:受信者)
Destination IP: 61.*.*.* (グローバルIP)
Email Address From: "elyse.davie@***.at" (送信元メールアドレス※偽装の確立が高い)
Email Address To: "info@***.com" (受信メールアドレス)
http://www.fortinet.com/ve?vn=W32%2FAgent.CYU%21tr
2008-06-16 10:32:39
device_id=FGT*****
log_id=1
type=virus
subtype=infected (感染している)
pri=warning
vd=root
policyid=1 (ポリシーID1で検知された)
serial=1
user="N/A"
group="N/A"
src=10.*.*.*
sport=1074
src_int="internal"
dst=61.*.*.*
dport=110
dst_int="external"
service="pop3"
status=blocked (削除しました)
from="elyse.davie@***.at"
to="info@***.com"
file="xjolie.zip"
virus="W32/Agent.CYU!tr"
ref="http://www.fortinet.com/ve?vid=431097"
msg="File is infected."
------------------------------------------------------------------------------------
virus="Suspicious"という場合は疑いがあるということでその場合のほとんどが、
status=passthroughとなってそのまま通過します。
まぁ注意してくださいということですね。
0 件のコメント:
コメントを投稿