anti-virus 対応 IPS の動作について

anti-virus 対応 IPS（ISS、Cisco等）の動作について疑問があります。

[SMTPサーバA]--[インターネット]--[IDS/IPS]--[SMTPサーバB]

という構成で、IPS が anti-virus 対応だったとします。
私の理解では以下（点線にかこまれた部分）のようになります。

--------------------------------
SMTPサーバAのユーザがウイルスに感染し、サーバAを使ってサーバBのユーザ宛ての感染メールを送信したとします。
まず、サーバBとSMTPのコネクションが生成されますが、dataを送る段階になった時に、
経路を監視している IPS がウイルスを含んだメールデータであることを検出しパケットをドロップします。
サーバAはサーバBからのTCPのackが帰ってこなくなるため、TCPレベルの再送を行いますが、IPSはそのたびにパケットをドロップします。
最終的にエラーとしてSMTPのコネクションがクローズし、メールはサーアBに到達しません。

サーバAはサーバBから適切なSMTPエラー応答を受け取ったわけではないため、メールの送信完了を確認できません。
結果的に、メールはサーバAの送信スプールに残り、設定された時間間隔で数度の再送を試みます。
多くの場合、１週間ほどたった後に、メールのErrors-Toヘッダのアドレスに対してbounce を通知するエラーメールが送られることなります。
--------------------------------

これだと、ウイルスの感染は防げますが、サーバAとサーバBの負荷（再送やスプールによる）が高まるような気がします。
経路上のanti-virus対応IPSは、実際にはどのような動作をしているのでしょうか？
また、理解が間違っている点があればご指摘いただけないでしょうか。

No.1 ベストアンサー 回答者： hetarepyon 回答日時： 2005/09/15 20:25

機器の実装にもよると思いますが、最近のアンチウイルスゲートウェイの SMTP プロキシはキチンと 5xx エラーを SMTP セッション中で返すと思います。

# この場合はご懸念のような状況にはならないですね。

また SMTP セッション中でエラーを返さずに TCP/IP のレベルで切る場合も、多分 RST パケットを送り返すなりなんなりして、drop して破棄してしまうことは無いのではないでしょうか。

実際には実装依存なので完全な回答は得られにくいと思いますが、大よそこんな感じではないかと思います。


なお余談ですがエラーメールは Errors-To に返るのではなく、一般的には Return-Path 宛です。一部の MTA は Errors-To に返すみたいですが、RFC 的には正しくないみたいですね。

この回答へのお礼

なるほど、実装依存ではあるものの、多くの製品でパケットドロップだけでなく再送を防ぐような適切な対応が考えられているわけですね。
ヘッダの件も含め、どうもありがとうございました。

お礼日時：2005/09/16 02:53