MTAでのウイルス検知時アクション、通常は駆除、駆除できなければ隔離、アラートメールの送信先は管理者のみ、としている。
アクションはいきなり削除、としてしまった方が楽? でも誤検知だったらどうする? ワームがばらまいたメールではなく、意図して送信した添付ファイルが感染していた場合、メール送信があった事実も葬り去る? 等々。
アラートメール、アウトバウンドメールなら送信者、インバウンドなら受信者、のみと設定できるなら送ってもいいかな。だって、
- アウトバウンドメールが感染していて、「添付ファイルが感染していたが駆除されました」メッセージが外部の受信者に送信されたら、自分がそれを受信したら「あなたのパソコン大丈夫?ちゃんと対策できてるの?信用できるの?」とか思うやん。
- インバウンドメールが感染していたのなら、その送信者って騙りばかりだから当然そこにアラート送っちゃだめでしょ(けっこうそうしてるところまだまだ多くて困ったものですが)。ウイルスを判断してアクション設定できるなら問題はないかもですが。
でもそう設定できない。それできればアクションも強行姿勢とれるかもしれないのに。
