Segurança : Cisco Email Security Appliance

Como eu testo uma mensagem ou o filtro do índice para assegurá-la está funcionando como projetado?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído pelo acampamento de Tomki e pelo Enrico Werner, engenheiros de TAC da Cisco.

Pergunta

Como eu testo uma mensagem ou o filtro do índice para assegurá-la está funcionando como projetado?

Os filtros podem ser testados para assegurar-se de que estejam trabalhando corretamente debugando o filtro. Debugar um filtro é um processo em duas etapas que exija uma área de quarentena do sistema.

Crie uma quarentena nova do sistema no “FilterDebug chamado GUI”. As quarentena são configuradas sob 'Monitor->Quarantines.  Se você tem algum espaço da quarentena disponível, clique sobre “adicionam o botão das quarentena” para configurar a quarentena de FilterDebug.  Se não há bastante espaço disponível, você terá que editar alguma outra quarentena e mais baixo o espaço que se usa para fazer algum espaço livre disponível.

Crie o filtro com as regras (critérios correspondentes) que você espera usar e ajustar a ação “para quarantine (“FilterDebug ")”.

Para debugar suas regras de harmonização, permita o filtro na política apropriada do correio (onde você a pretende ser executado na produção) e gere o tráfego.

As mensagens que combinam suas regras entrarão na quarentena de FilterDebug, onde você pode as examinar e se satisfazer que suas regras estão combinando precisamente o que você quer.  Libere aquelas mensagens da quarentena, e serão entregadas normalmente.  Se você quer olhar por um tempo este, ajuste o período de retenção da quarentena a algo aceitavelmente curto e examine a quarentena em intervalos regulares para ver que tipos de mensagem estão combinando seus critérios.

Para debugar suas ações do filtro, crie uma política nova do correio que tenha somente um receptor do teste. Desabilite sua regra em todas políticas restantes do correio, e permita-a nesta política nova do correio.  Edite sua regra para tomar as ações que você quer.  Você pode remover a regra da quarentena.

Gere o tráfego e verifique a mensagem como é entregada (ou não, segundo seu filtro) ao receptor do teste para verificar que este é o que você quer. Agora você pode permitir a regra terminada nas políticas do correio para sua distribuição do produto e desabilitá-la da política de receptor do teste.

Um procedimento similar pode ser usado para debugar filtros da mensagem.  Comece construindo os critérios que você quer se usar na produção:

RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
  quarantine ("FilterDebug");
}

Isto é feito no CLI:

smtp.example.com>filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script.  Enter '.' on its own line to end.
RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
  quarantine ("FilterDebug");
}
.
1 filters added.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]>
smtp.example.com >commit
Please enter some comments describing your changes:
[]> add RedirectEarningsReports filter test actions (incomplete)
Changes committed: Wed Nov 24 12:00:10 2004 MST

Examine as mensagens quarantined usando o GUI e os mensagens release.  Continue que olha o fluxo de mensagem desta maneira até que você estiver satisfeito.  Em seguida, adicionar seu receptor do teste às regras, e mude as ações ao que você quer executar na produção:

RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings")
and (rcpt-to == "(?i)alan@exchange\\.scu\\.com$")  {
  alt-rcpt-to ("sam@exchange.scu.com");
}

No CLI, você precisa de suprimir e recrear do filtro:

smtp.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> list
Num Active Valid Name
  1   N      Y   betatest
  2   N      Y   StripInboundExes
  3   Y      Y   RedirectEarningsReports
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> delete
Enter the filter name, number, or range:
[]> 3
1 filters deleted.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script.  Enter '.' on its own line to end.
RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings")
and (rcpt-to == "(?i)alan@exchange\\.scu\\.com$")  {
  alt-rcpt-to ("sam@exchange.scu.com");
}
.
1 filters added.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]>
smtp.example.com> commit
Please enter some comments describing your changes:
[]> set RedirectEarningsReports to test recipient
Changes committed: Wed Nov 24 12:10:07 2004 MST

Verifique que as ações fazem o que você quer.  (Segundo seu filtro, você pode igualmente verificar algumas das ações nos mail_logs.)  Último, una o filtro final removendo o receptor do teste:

RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
  alt-rcpt-to ("sam@exchange.scu.com");
}

Um aspecto potencialmente de confusão dos filtros e das quarentena é a manipulação dos corpos da mensagem contra cabeçalhos da mensagem.  No ESA, o corpo da mensagem e o encabeçamento são tratados separadamente. Se você examina mensagens na quarentena após ter aplicado ações, você não verá nenhuma manipulação do encabeçamento feita à mensagem (mas a ela será terminado em cima da entrega.)  Isto é porque o processamento do encabeçamento é feito separadamente, paralelamente, porque uma mensagem progride através do encanamento.  A mensagem é reunida com seu encabeçamento (potencialmente alterado) antes da entrega, mas não considerada na quarentena.  Você verá todas as mudanças ao corpo da mensagem, tal como o descascamento do acessório ou o pé de página que carimbam, na quarentena.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117902