Ethcaptureで障害解析

今日は不正接続検知／排除システム「IntraGuardian」の初期のお客さんから、検知メールがどうも最近届かないのだけど、とお問い合わせをいただき、メンバーは忙しい様子だったので、私がお客さんのところに伺い、解析をしました。

IntraGuardianはアプライアンスですので、実際にどんな動きをしているのかは解析が難しく、こういう時はパケットキャプチャだな、ということで、コンパクトパケットキャプチャ「Ethcapture」を持参し、

IntraGuardian＝Ethcapture=HUB＝社内LAN

という感じに接続して、実際に不正検知した際のSMTPのパケットをキャプチャして調べました。

その結果、検知メールを送信する時だけ、メールサーバから451のエラー応答がきているということがすぐにわかり、IntraGuardianの通知メールの内容が、メールサーバ側のフィルタか何かでエラーになっていると切り分けができました。

すでにIntraGuardianは新バージョンのIntraGuardian2が登場しており、できればそちらをご利用くださいとお願いしましたが、おそらく新バージョンなら大丈夫だろう、ということではなく、原因をきちんと把握した上で、新バージョンなら大丈夫、と説明できたことはとても良かったと考えています。

ちなみに、451エラーはメールサーバ側のローカルエラーで、具体的には、「Bare LFs in SMTP」という問題で、エラー通知メールの一部に、CRLFではなく、LFのみの部分があったため、メールサーバ側のフィルタか何かの処理ではじかれた、という問題で、IntraGuardianの初期バージョンの問題でした。お客さんからは、稼働通知メールなど、届くメールもあるが、検知通知だけ届かない、ということで、この春頃から届かなくなったと情報をいただいていました。後で伺うと、春頃にメールサーバ側の入れ替えがあったそうで、その際にフィルタなどが変わったのでしょう。いずれにしても製品側の問題でした。新バージョンでは問題ありません。

お客さん環境でもすぐに簡単確実にパケットをキャプチャできる、Ethcaptureの便利さをあらためて実感したのでした！