はじめに
本ドキュメントでは、Mail LogsやMessage Trackingに出力されるICID lostのログについてご紹介いたします。AsyncOS14.0.1-033の動作を基に執筆しております。ESAのバージョンによって動作が異なる場合があります。
事象
Mail LogsやMessage Trackingの出力例は以下のようになります。
Mail Logs
Thu Oct 13 05:32:51 2022 Info: ICID 79 lost
Message Tracking
原因
SMTP通信はQUITコマンドで終了するのが一般的ですが、ESAがQUITを受け取らない状態で通信が終了した場合に、lostと出力されます。
例1: QUITを受け取らない状態で通信が終了した場合
Conversation Logs
Thu Oct 13 05:32:09 2022 Info: ICID 79 >> 220 esa.example.local ESMTP
Thu Oct 13 05:32:31 2022 Info: ICID 79 << mail from: test@example.local
Thu Oct 13 05:32:31 2022 Info: ICID 79 >> 250 sender <test@example.local> ok
Thu Oct 13 05:32:39 2022 Info: ICID 79 << rcpt to: test@example.local
Thu Oct 13 05:32:39 2022 Info: ICID 79 >> 250 recipient <test@example.local> ok
Thu Oct 13 05:32:42 2022 Info: ICID 79 << data
Thu Oct 13 05:32:42 2022 Info: ICID 79 >> 354 go ahead
Thu Oct 13 05:32:45 2022 Info: ICID 79 >> 250 ok: Message 78 accepted
Thu Oct 13 05:32:51 2022 Info: ICID 79 close
Mail Logs
Thu Oct 13 05:32:09 2022 Info: New SMTP ICID 79 interface Management (192.168.1.1) address 192.168.1.2 reverse dns host test.example.local verified yes
Thu Oct 13 05:32:09 2022 Info: ICID 79 ACCEPT SG None match ALL SBRS rfc1918 country not applicable
Thu Oct 13 05:32:31 2022 Info: Start MID 78 ICID 79
Thu Oct 13 05:32:31 2022 Info: MID 78 ICID 79 From: <test@example.local>
Thu Oct 13 05:32:39 2022 Info: MID 78 ICID 79 RID 0 To: <test@example.local>
Thu Oct 13 05:32:44 2022 Info: MID 78 IncomingRelay(192.168.1000004): Header Received not found
Thu Oct 13 05:32:45 2022 Info: MID 78 ready 132 bytes from <test@example.local>
Thu Oct 13 05:32:45 2022 Info: MID 78 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Oct 13 05:32:45 2022 Info: MID 78 queued for delivery
Thu Oct 13 05:32:51 2022 Info: ICID 79 lost
Thu Oct 13 05:32:51 2022 Info: ICID 79 close
-> lostの出力があります。
例2: QUITを受け取って通信が終了した場合
conversation logs
Thu Oct 13 05:54:14 2022 Info: ICID 80 >> 220 esa.example.local ESMTP
Thu Oct 13 05:54:26 2022 Info: ICID 80 << mail from: test@example.local
Thu Oct 13 05:54:26 2022 Info: ICID 80 >> 250 sender <test@example.local> ok
Thu Oct 13 05:54:36 2022 Info: ICID 80 << rcpt to: test@example.local
Thu Oct 13 05:54:36 2022 Info: ICID 80 >> 250 recipient <test@example.local> ok
Thu Oct 13 05:54:38 2022 Info: ICID 80 << data
Thu Oct 13 05:54:38 2022 Info: ICID 80 >> 354 go ahead
Thu Oct 13 05:54:41 2022 Info: ICID 80 >> 250 ok: Message 79 accepted
Thu Oct 13 05:54:43 2022 Info: ICID 80 << quit
Thu Oct 13 05:54:43 2022 Info: ICID 80 >> 221 esa.example.local
Thu Oct 13 05:54:43 2022 Info: ICID 80 close
Mail Logs
Thu Oct 13 05:54:14 2022 Info: New SMTP ICID 80 interface Management (192.168.1.1) address 192.168.1.2 reverse dns host test.example.local verified yes
Thu Oct 13 05:54:14 2022 Info: ICID 80 ACCEPT SG None match ALL SBRS rfc1918 country not applicable
Thu Oct 13 05:54:26 2022 Info: Start MID 79 ICID 80
Thu Oct 13 05:54:26 2022 Info: MID 79 ICID 80 From: <test@example.local>
Thu Oct 13 05:54:36 2022 Info: MID 79 ICID 80 RID 0 To: <test@example.local>
Thu Oct 13 05:54:40 2022 Info: MID 79 IncomingRelay(192.168.1000004): Header Received not found
Thu Oct 13 05:54:41 2022 Info: MID 79 ready 132 bytes from <test@example.local>
Thu Oct 13 05:54:41 2022 Info: MID 79 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Oct 13 05:54:41 2022 Info: MID 79 queued for delivery
Thu Oct 13 05:54:43 2022 Info: ICID 80 close
-> lostの出力がありません。
対応方法
ICID lostの出力が必ずしもメッセージを受信できなかったことを示すものではありませんので、メッセージの受信が問題なく完了しているのであれば対応は不要です。
もし、メッセージの受信が完了していない状態でICID lostの出力がみられるのであれば、送信元サーバ (または経路上の機器) が途中で通信を終了させている可能性が考えられます。それらの機器がQUITを送らずに通信を終了させた理由を、ESA側で明確に判断することは難しいものの、Conversation LogsやInjection Debug Logsを取得することで、SMTP Conversationのどの段階で通信が終了しているかを確認することができます。
参考ドキュメント
What does "ICID lost" or "ICID close" mean?
https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118579-qa-esa-00.html
ESA FAQ: What is a Message ID (MID), Injection Connection ID (ICID), or Delivery Connection ID (DCID)
https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118232-technote-esa-00.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
