anti-virus 対応 IPS（ISS、Cisco等）の動作について疑問があります。 [SMTPサーバA]--[インターネット]--[IDS/IPS]--[SMTPサーバB] という構成で、IPS が anti-virus 対応だったとします。 私の理解では以下（点線にかこまれた部分）のようになります。 -------------------------------- SMTPサーバAのユーザがウイルスに感染し、サーバAを使ってサーバBのユーザ宛ての感染メールを送信したとします。 まず、サーバBとSMTPのコネクションが生成されますが、dataを送る段階になった時に、 経路を監視している IPS がウイルスを含んだメールデータであることを検出しパケットをドロップします。 サーバAはサーバBからのTCPのackが帰ってこなくなるため、TCPレベルの再送を行いますが、IPSはそのたびにパケットをドロップします。 最終的にエラーとしてSMTPのコネクションがクローズし、メールはサーアBに到達しません。 サーバAはサーバBから適切なSMTPエラー応答を受け取ったわけではないため、メールの送信完了を確認できません。 結果的に、メールはサーバAの送信スプールに残り、設定された時間間隔で数度の再送を試みます。 多くの場合、１週間ほどたった後に、メールのErrors-Toヘッダのアドレスに対してbounce を通知するエラーメールが送られることなります。 -------------------------------- これだと、ウイルスの感染は防げますが、サーバAとサーバBの負荷（再送やスプールによる）が高まるような気がします。 経路上のanti-virus対応IPSは、実際にはどのような動作をしているのでしょうか？ また、理解が間違っている点があればご指摘いただけないでしょうか。