在 InterScan Messaging Security Virtual Appliance (IMSVA) 中,客戶可以使用雲端截毒掃瞄 (Smart Scan) 來掃瞄電子郵件。
VSAPI引擎使用本機雲端病毒碼 (Smart Scan Agent Pattern) 來檢查信件中是否包含惡意檔案並取得清除資訊。如果內容相當可疑,但使用本機雲端病毒碼無法偵測和清除可疑檔案,則會計算其內容初始部分的循環冗餘校驗 (Cyclic Redundancy Check, CRC) 總和,並將該總和送交全域檔案信譽伺服器 (global File Reputation Server) 以在惡意檔案資料庫中查詢符合的 CRC。檔案信譽伺服器將提供 VSAPI 引擎對應該 CRC 的資訊,以偵測並清除惡意檔案。
有時在使用雲端截毒掃瞄的情況下,用戶可能會遇到查詢逾時的問題,在 log.imss.yyyymmdd.xxxx 可以發現下方的錯誤訊息:
2015/04/14 12:08:53 GMT+02:00 [12335:4015381392] [NORMAL][iCRC] ICRC_QUERY_ERR_NETWORK_TIMEOUT (../src/VirusFilter.cpp:1057)
2015/04/14 12:08:53 GMT+02:00 [12335:4015381392] [NORMAL][iCRC] try to insert tb_smartscan_query_error with error_time(1429006133), error_type(1) (../src/VirusFilter.cpp:1803)
2015/04/14 12:08:53 GMT+02:00 [12335:4015381392] [DEBUG]TmDBConnection::createOdbcEnv
2015/04/14 12:08:53 GMT+02:00 [12335:4015381392] [DIAGNOSTIC][iCRC] success to insert tb_smartscan_query_error (../src/VirusFilter.cpp:1843)
這是因為 iCRC 模組的查詢會在 1.5 秒後逾時。當 IMSVA 掃瞄電子郵件時,若花費超過 1.5 秒的時間查詢 iCRC 伺服器,由於查詢逾時,電子郵件將被取消掃瞄。
在這種情況下,您可以於 ICRCHdler.ini 檔案中修改雲端截毒掃瞄的行為:
1. 在 /opt/trend/imss/bin 目錄下建立 ICRCHdler.ini 檔案。
# touch /opt/trend/imss/bin/ICRCHdler.ini
2. 修改 ICRCHdler.ini 的擁有者和權限。
# chown imss:imss /opt/trend/imss/bin/ICRCHdler.ini
# chmod 755 /opt/trend/imss/bin/ICRCHdler.ini
3. 編輯 ICRCHdler.ini,並添加下列項目。
[Default]
TaskTimeout=5000
4. 重新啟動 IMSVA 服務。
# /opt/trend/imss/script/imssctl.sh restart
後續查詢逾時的門檻值將變為 5 秒,如果網路不穩定,此步驟有可能解決逾時問題。
