― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 4 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2018年8月15日(水) 13:13 
Thunderbirdをmaildir形式で利用しています。

ウィルス対策ソフト(Kaspersky)で、悪意のあるファイルとして添付ファイルが検知されました。
ウィルス対策ソフトの機能で、検知されたファイルを削除しても大丈夫でしょうか?

検知されたファイルが複数あり、また
 Inbox\cur\1234567890123456/data0000/xxx.js
みたいな感じのため、Thunderbird上で該当メールを探すことが困難です。

お分かりの方がいらっしゃいましたら、お助け下さい。
よろしくお願いします。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年8月18日(土) 16:48 
※質問するときは、「フォーラムの利用に関するご案内」、とりわけ「質問するときは」に目を通し、OS の種類や Thunderbird のバージョン、アカウントの種類(IMAP か POP か)といった使用環境についての最低限の情報を書き添えることをお勧めします。

まこと3号 さんが書きました:
Thunderbirdをmaildir形式で利用しています。

ウィルス対策ソフト(Kaspersky)で、悪意のあるファイルとして添付ファイルが検知されました。
ウィルス対策ソフトの機能で、検知されたファイルを削除しても大丈夫でしょうか?

ご存知のように、電子メールの格納フォーマットの一種である maildir 形式は、1メール(本文、添付ファイルを含む)を1ファイルで保持・管理します。

maildir 形式でメールデータを保管なさっているのなら、ウィルス対策ソフトが1件のメールの添付ファイルを「悪意のあるファイル」として検知した場合、原理的にはそのメールに対応するファイルだけが駆除対象になるので、他のファイル(=メール)に影響は及びません。(下記「補足」参照)
(注意)
ご提示のお話では、削除を実行するのは Thunderbird ではなくウィルス対策ソフトのようです。確率的には低いかもしれませんが、もしも誤検知、誤動作などが起これば、正常なファイルが削除される、関連ファイルに何かしらの悪影響が及んでしまう、といったことがないとはいえません。このあたりはウィルス対策ソフト側の問題なので、Thunderbird 側で確実性のある事前対策をとるのは難しいと思います。

まこと3号 さんが書きました:
検知されたファイルが複数あり、また
 Inbox\cur\1234567890123456/data0000/xxx.js
みたいな感じのため、Thunderbird上で該当メールを探すことが困難です。

前提として、Thunderbird における maildir 形式は、Thunderbird の独自性を含んでいること、まだ十分にこなれているとは言い難い機能であることに、ご留意ください。(下記「補足」参照)

Thunderbird 上で、maildir 形式のアカウントを作り(仮に account A とする)、その [受信トレイ] 内に3件のメールが存在する場合、プロファイル内の [Mail] または [ImapMail] フォルダー配下の構造を略図にすると、だいたい次のようになります。
([ ] 付きはフォルダー、[ ] なしはファイル)
--------------------------------------------------
[account A]
 ├ Inbox.msf …… Inbox\cur 内のメールリスト(スレッドペイン表示用)
 └ [Inbox]
     ├ [tmp]
     └ [cur] …… 個々のメールの実体ファイルが配置される場所
       ├ 1234567890123000 …… a
       ├ 1234567890145000 …… b
       └ 1234567890167000 …… c
--------------------------------------------------
[cur] フォルダーの中に "数字 16 桁" で命名されている拡張子のないファイル(a 、b 、c)が、1件ごとのメールの実体で、それらはすべて単純なテキストファイルです。あるメールが添付ファイルを含んでいれば、そのファイル内に添付ファイルのデータ(エンコード済み)も含まれます。
仮に a に含まれる添付ファイルがウィルス対策ソフトで検知され、a だけが駆除されたのなら、b 、c に影響は及びません。

ところで、「Inbox\cur\1234567890123456/data0000/xxx.js」というのは、ウィルス対策ソフトの検知結果のレポート表示か何かでしょうか?
例えば、マルチパートで構成されるメール内の添付パートに含まれる JavaScript が、不正なコードとして引っかかったことを示しているとか...??

「Inbox\cur\1234567890123456/data0000/xxx.js」に含まれる数字 16 桁が、Thunderbird の管理下にある maildir 形式のファイル名から引用されているのなら、Thunderbird のプロファイル内にある同じ数字の名称(1234567890123456)を持つファイルをテキストエディターで開くことで、中身を確認することはできるとは思います。

しかし、Thunderbird 上で表示される個々のメールと、数字 16 桁の名前が付いた個々の実体ファイルが、どのような対応関係にあるかを、Thunderbird 上で確認する方法は、いまの Thunderbird には実装されていません。なので、残念ながら「Thunderbird上で該当メールを探すことが困難です」が現状です。
(1メール1ファイルで管理するメールソフトの中には、個々のメールに対する個々の実体ファイルのナンバーを表示できるものもあります。)

とりあえず以上です。的外れな話になっていたらすみません。


(補足)---------------------------------------------------
日本語への翻訳が追いついていないようですが、次のようなサポート記事があります。
・Maildir in Thunderbird | Thunderbird ヘルプ
support.mozilla.org/ja/kb/maildir-thunderbird

そこに、maildir 形式のメリットのひとつとして
引用:
It is easier for anti-virus to scan emails in individual files, and infected mails can be removed without the loss of all the other mail in the folder, as often occurs today with anti-virus software which cannot handle multiple emails in one file.

とあります。(ネット上の翻訳サービスなどを使えば、概略を知ることはできると思います。)

Thunderbird 標準の mbox 形式は、メールソフト 上のフォルダー内のメール群を、システム上は1ファイルで管理します。
例えば、Thunderbird 上の [受信トレイ] に 10 件のメールが存在した場合、プロファイル内の Inbox ファイルに 10 件分のデータが格納されます。
その内の1件がウィルス対策ソフトの検知に引っかかったような場合、ウィルス対策ソフトによって Inbox ファイルが丸ごと削除されてしまうと、正常な他の9件も巻き添えをくって削除されることが起こりえます。
しかし、1メール1ファイルの maildir 形式では、原理的にはそういうことが起こらない、という話です。

上記の記事は、maildir 形式が初めて搭載された Thunderbird 38.0 のころの事情を背景に、実験的機能という点が強調されています。
現在のバージョンでは、38.0 のころに比べれば改善はそれなりに進んでいます。
しかしながら、mbox 形式と対等な水準で maildir 形式が選択肢になるかといわれれば、ユーザー環境や使い方によっては、まだ上記記事の注意書きが通用するところはありますし、開発途上の要素が残っている部分もあります(Thunderbird 上でメールの実体ファイルを把握する機能など...)。
Thunderbird における現状でのメッセージ格納形式の初期選択は、あくまで mbox 形式です。
上述のような事情を飲み込んだ上で、maildir 形式のメリットを活かしたい(試したい)場合は、ユーザーの判断で maildir 形式に切り替えることができる ―― そういうレベルの実装状況だと思います。(仕事で使うメインのメールアカウントで maildir 形式を常用するには、まだ不安が残るレベル、とでもいえばいいでしょうか...。もちろん、積極的に使ってバグ報告が寄せられれば、その分改善も進むとは思います。)

お使いの Thunderbird のバージョンが明記されていませんが、古いバージョンほど maildir まわりの不具合は多く残っているので、ご注意ください。

mbox 形式、maildir 形式、それぞれにメリットとデメリットがあり、ユーザーのニーズや運用スタイルも影響するため、一概にどちらが優れているとはいえません。ですが、いまの時点で Thunderbird の maildir 形式を「常用」するなら、開発途上の機能であることを理解し、一般的な maildir 形式の問題には対処できる程度の管理スキルは身につけておいたほうがいいように思います。
-----------------------------------------------------------


(おことわり)
現在、健康上の制約により不定期な書き込みしかできなくなっています。すぐに応答できない場面がかなり多くなりますことを、ご容赦ください。

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年8月20日(月) 09:43 
偶然的通行人 様
ご返信ありがとうございます。

「Inbox\cur\1234567890123456/data0000/xxx.js」は、ウィルス対策ソフトの検知結果のレポート表示から引用しています。
「/」以降は、メールを解析して表示していると思いますが、詳細は分かりません。

また、自動更新に設定していますので、現在は52.9.1を使用しています。

ウィルス対策ソフトからメールを削除した場合、Thunderbirdの持つデータベースの情報と、実際のメール(ファイル)に差ができてしまい、不具合が発生しないかが気になっています。
フォルダーの修復で、この差を解消できればいいのですが、以前、maildir形式でのフォルダーの修復に不具合があると見たことがあり、それも出来ないのかなと・・・

ちょっと試してみましたが、削除したメールを選択した際に「ファイルが見つかりませんでした」と表示されるだけで、特にフリーズとかはなさそうです。
ですが、そのメールを含むフォルダ移動などは出来ないようです。

どうするか、もう少し考えてみます。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年8月29日(水) 17:11 
素早い応答ができなくて申し訳ありません。

まこと3号 さんが書きました:
ウィルス対策ソフトからメールを削除した場合、Thunderbirdの持つデータベースの情報と、実際のメール(ファイル)に差ができてしまい、不具合が発生しないかが気になっています。

「Thunderbirdの持つデータベースの情報」と仰っているのは、「グローバル検索」の索引データベースのことでしょうか?
mialdir 形式で「グローバル検索」がどう働くかについては、当方には長期の使用経験はありません。
短期的にテスト運用したときの経験に限っていえば、いちおう maildir 形式で設定したアカウントのメールも索引データベースに拾い上げられ、更新もおこなわれ、検索もとくに違和感がない結果でした。

まこと3号 さんが書きました:
フォルダーの修復で、この差を解消できればいいのですが、以前、maildir形式でのフォルダーの修復に不具合があると見たことがあり、それも出来ないのかなと・・・

もしかしたら次の過去トピックのことでしょうか。
(参考)
・maildir方式でフォルダの修復をするとThunderbirdがクラッシュ
forums.mozillazine.jp/viewtopic.php?f=3&t=16771

必ず発生するものではなく、"特定の環境条件下で" と理解していただいたほうがいいと思います。

「Thunderbirdの持つデータベースの情報」と仰っているのが、スレッドペインに表示するとき使われる要約情報のことであれば、基本的な仕組みは mbox 形式と同じく、maildir 形式でも msf ファイル(前便「略図」)が実体ファイルの要約情報(サマリー、インデックス)を保持しており、これがスレッドペインに読み込まれます。

maildir 形式で作ったアカウント配下のフォルダーでも、フォルダーのプロパティを開くことはでき、[フォルダを修復] を実行できます。
このとき、当該フォルダー配下の [cur] フォルダー内にある実体ファイル群の現状から、msf ファイルが再構築されます。

mbox 形式では、Thunderbird 上の1フォルダーに対応するのは1つの実体ファイルだけなので、当該フォルダーへの個々のメールの出入りや、タグやマーク付けなどが変更されるたびに、実体ファイルが変更され、それに応じて1対1の関係で msf ファイルが更新されます。
一方、maildir 形式はメールの数だけファイルがあります。新しいメールの受信や、移動・削除は、実体ファイルの数の増減になり、多対1の関係で msf ファイルが更新されます。個々のメールへのタグやマーク付けなどは、それぞれの実体ファイル内の管理用ヘッダの変更という形で反映されます。

通常、Thunderbird の機能でそれらが処理されている間は、msf ファイルへも変更結果が自動的に反映されますが、Thunderbird が関与しない変則的な形で実体ファイルが追加・移動・削除されたような場合、msf ファイルにその結果が反映されないことがあります。これは、mbox 形式でも起こりうることですが、本件のように maildir 形式で保存された実体ファイルのひとつがウィルス対策ソフトによって削除された場合も、その例に漏れません。

メールデータの実体とその要約情報の間に乱れが生じた場合、[フォルダを修復] を実行することで、msf ファイルの内容を強制的に更新することができます。
maildir 形式でも、過去トピックにあるような特殊な条件下でなければ、まず問題なく [フォルダを修復] は実行されるはずです。

(補足)
詳細は忘れましたが、maildir のアカウント配下のフォルダーに [最適化] を実行してしまったきのトラブルも耳にしたことがあります。
[最適化] と [フォルダを修復] はまったく異なる動作です。maildir 形式では原理的に [最適化] の必要はありませんから、maildir 形式のフォルダーに対してコンテキストメニューに [最適化] はありません。しかし、Thunderbird 52.9.1 では [ファイル] メニューから [フォルダーを最適化] を実行することが可能な状態です。

まこと3号 さんが書きました:
ちょっと試してみましたが、削除したメールを選択した際に「ファイルが見つかりませんでした」と表示されるだけで、特にフリーズとかはなさそうです。
ですが、そのメールを含むフォルダ移動などは出来ないようです。

ウィルス対策ソフトによって、当該メールの実体ファイル(例:1234567890123456)が削除されたあと、Thunderbird の msf ファイルが更新されていなければ、スレッドペインには削除済みのメールもリスト表示されます。
この状態で、そのメールを選択しても、実体ファイル(1234567890123456)は削除されているため、「ファイルが見つかりませんでした」が表示されるのは自然な結果でしょう。
(そもそも、実体ファイルが削除されているのに、スレッドペインの一覧にそのメールが表示されていることが、Thunderbird 的に正常な状態とはいえません。msf ファイルが、実体ファイルの変化に応じて更新されていないからです。)

このような状態になってしまったとき、スレッドペインの一覧に表示されている「削除したメールを選択」して他のフォルダーに移動・コピーすることは不可能です(実体が削除済みなので)。
スレッドペインから複数のメールを選択して他のフォルダーに移動させようとした場合、削除された実体と、その情報だけが残っている msf ファイルの不整合により、実在はするが移動されないメールが出てくるなど、移動結果に乱れが生じることがあります。

[フォルダを修復] を実行すれば、削除後の [cur] フォルダーの最新状態が msf ファイルに反映されるので、ウィルス対策ソフトに削除された実体ファイル(1234567890123456)に対応するメールの情報は msf ファイルからも削除され、Thunderbird 上で表示されなくなるはずです。

(補足)
[フォルダを修復] を実行することに不安があるなら、プロファイルあるいはメールデータのバックアップをとってから、実行してください。
msf ファイルが何らかの障害を抱えれば、スレッドペイン上の表示が実体ファイルの実情と合致しなくなり、そうした不整合が蓄積されたまま使い続けるほうが、後のち不測のトラブルを発生させる危険が増すと思います。最終手段としては、実体ファイルはそのままに、msf ファイルだけを削除して Thunderbird を起動すると、その時点の実体ファイルの状態を拾い上げた msf ファイルが生成されます。なので、[cur] フォルダ内の実体ファイル群が無事で、msf ファイルにだけ問題があるのなら、復旧はそれほど難しくありません。(逆はありません。実体フィル群に問題が起こっているなら、正常な msf ファイルがあっても、そこから実体ファイルを修復することはできません。)

【注意】
プロファイル内を手動で操作するときは、必ず Thunderbird を終了させた状態でおこなってください。
Thunderbird を起動したままプロファイル内をいじり回すと、予期せぬトラブルを呼び込んでしまうことがあります。
手をつけずに観察するだけなら、とくに問題はありません。

とりあえず以上です。訳に立たない話だったらすみません。


(おことわり)
現在、健康上の制約により不定期な書き込みしかできなくなっています。すぐに応答できない場面がかなり多くなりますことを、ご容赦ください。

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0


通報する
ページトップ
  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 4 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[42人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean