はじめに
AsyncOS 14.3でContent ScannerのMaximum File Size Scan Limit に関して動作変更があります。
本ドキュメントではAsyncOS14.3.0-032の動作を基に具体的な変更点を紹介します。
概要
Content Scannerはファイルを展開し、テキストコンテンツ部分を抽出してからスキャンを実施するという動作になります。
動作変更前はファイルサイズが設定値を超えても、ESAでは抽出したテキスト全体をスキャンしようとします。
動作変更後はファイルサイズが設定値を超えた場合、設定値を超えた部分はスキャンされなくなります。
設定方法
管理GUI >セキュリティサービス >スキャン動作 >スキャンする最大添付ファイルサイズ
ログの出力例
添付ファイルのファイルサイズが設定値を超えない場合、mailログをDebugレベルに変更することでファイルスキャンが確認できます。
ーーーーーーーーー
Wed Feb 22 14:29:10 2023 Info: MID 84729 attachment 'Tac_Training - Read-Only.pptx'
Wed Feb 22 14:29:10 2023 Debug: scanning: MID 84729 scanned'Tac_Training - Read-Only.pptx' (m): bin 4656765B, text 4904C, id 47
ーーーーーーーーー
ファイルサイズが設定値を超えた場合、mailログでWarningメッセージが記録されます。
ーーーーーーーーー
Wed Feb 22 14:27:37 2023 Info: MID 84728 attachment 'Fun Ebook-FY22Q2.pdf'
Wed Feb 22 14:27:37 2023 Warning: MID 84728, Message Scanning Problem: Size Limit Exceeded
ーーーーーーーーー
複数の添付ファイルがある場合、Content Scannerは添付ファイルの合計サイズではなく、それぞれの添付ファイルのサイズによって、スキャンを実施するか否かを判断しています。設定値範囲内であるファイルはスキャンされますが、設定値を超えたファイルに対してWarningメッセージが出力されます。
ーーーーーーーーー
Wed Feb 22 14:31:10 2023 Info: MID 84730 attachment 'Tac_Training - Read-Only.pptx'
Wed Feb 22 14:31:10 2023 Debug: scanning: MID 84730 scanned'Tac_Training - Read-Only.pptx' (m): bin 4656765B, text 4904C, id 47
Wed Feb 22 14:31:10 2023 Info: MID 84730 attachment 'Fun Ebook-FY22Q2.pdf'
Wed Feb 22 14:31:10 2023 Warning: MID 84730, Message Scanning Problem: Size Limit Exceeded
ーーーーーーーーー
参考ドキュメント
https://www.cisco.com/c/dam/en/us/td/docs/security/ces/ces_14-3/release_notes/Secure_Email_Cloud_Gateway_14-3_Release_Notes.pdf