Segurança : Cisco Email Security Appliance

Como eu envio um exemplo de mensagem para se assegurar de que meu motor anti-vírus esteja funcionando em minha ferramenta de segurança do email de Cisco (ESA)?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como enviar um exemplo de mensagem para testar o motor anti-vírus que trabalha corretamente na ferramenta de segurança do email de Cisco (ESA).

Contribuído por Stephan Fiebrandt e por Sandeep Minhas, engenheiros de TAC da Cisco.

Solução

Enviando uma mensagem do vírus da falsificação da amostra com o ESA, nós podemos provocar o varredor anti-vírus de Sophos ou da McAfee. Primeiramente, você precisa de estabelecer sua política do correio recebido e de configurar os ajustes anti-vírus para deixar cair ou quarantine mensagens contaminadas. Você pode quarantine mensagens contaminadas para este teste específico. Nós estaremos usando um vírus do teste chamado “EICAR” encontrado em www.eicar.org.

Agora você pode iniciar uma sessão de Telnet a seu server ESA na porta 25 e copiar e colar a seguinte corda do teste EICAR na porção de dados de seu converstation S TP.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE
!$H+H*

Está aqui um exemplo em como fazer um teste:

220 example.com ESMTP
ehlo example.com
250-example.com
250-8BITMIME
250 SIZE 104857600
mail from:jms@example.com
250 sender <jms@example.com> ok
rcpt to:jms@example.com
250 recipient <jms@example.com> ok
data
354 go ahead
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
.
250 ok:  Message 25 accepted
quit
221 example.com

Em seu ESA CLI, ate os logs do correio ao mesmo tempo que você está enviando o mensagem de teste datilografando da “mail_logs cauda”.

Wed Jun 15 04:07:57 2005 Info: Start MID 25 ICID 14
Wed Jun 15 04:07:57 2005 Info: MID 25 ICID 14 From: <jms@example.com>
Wed Jun 15 04:08:02 2005 Info: MID 25 ICID 14 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 Message-ID '<45rovb$p@example.com>'
Wed Jun 15 04:08:19 2005 Info: MID 25 ready 70 bytes from <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Jun 15 04:08:19 2005 Info: MID 25 Brightmail negative
Wed Jun 15 04:08:19 2005 Info: MID 25 antivirus positive 'EICAR-AV-Test'
Wed Jun 15 04:08:19 2005 Info: Start MID 26 ICID 0
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 From: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 rewritten to 26 by antivirus
Wed Jun 15 04:08:19 2005 Info: Message finished MID 25 done
Wed Jun 15 04:08:19 2005 Info: MID 26 quarantined to "Virus" (a/v verdict:VIRAL)
Wed Jun 15 04:08:21 2005 Info: ICID 14 close

Neste sistema de teste, as mensagens AV-positivas quarantined e olha como a mensagem quarantined com sucesso. Se seu motor anti-vírus não prende a mensagem como viral, você precisará de fazer o seguinte:

  1. Estabelecer um cliente de e-mail externo configurado para enviar o correio ao ESA.
  2. Crie um arquivo de teste com a corda do teste EICAR posicionada primeiramente neste arquivo de teste.
  3. Compõe um mensagem de teste deste cliente de e-mail e inclua o arquivo de teste EICAR como um “acessório.”

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118175