Segurança : Cisco Email Security Appliance

Como posso eu identificar e endereçar uma situação do laço do correio no ESA?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como identificar um laço do correio na ferramenta de segurança do email (ESA).

Contribuído pelo acampamento de Tomki e pelo Enrico Werner, engenheiros de TAC da Cisco.

Informações de Apoio

Os laços do correio podem ser indicados pelas mensagens com o mesmo ID de mensagem que foram injetadas mais de 3 vezes. Os laços do correio podem causar sintomas da alta utilização da CPU, da entrega lenta e das edições de desempenho geral. Normalmente os ID de mensagem injetados mais de uma vez indicariam dar laços, mas são injetados às vezes mais de uma vez devido aos problemas, ou poderia ser um spammer superficial que se mantivesse injetar a mesma mensagem do Spam com o mesmo ID de mensagem.

Um laço do correio é causado mais tipicamente por um problema da infraestrutura do email que envie a mesmo mensagem ou grupo de mensagens que competem em torno de sua rede do mail server ao mail server infinitamente.  Quando estas mensagens puderem se manter mantidos distraído desta maneira por muito um muito tempo, não é uma boa coisa para sua largura de banda de rede ou os custos de processamento ESA incorridos.

Solução

Identificar um laço do correio, se você suspeita que este pode ser o problema, é geralmente consideravelmente fácil embora você precisará do eye-ball.
O log no comando line interface(cli) do sistema e emite um destes comandos, ou ambos como você encontra melhor beneficiam-no:

grep "Subject" mail_logs
grep "Message-ID" mail_logs

Particularmente para a busca no ID de mensagem, se você vê exemplos de retorno exatamente do mesmo ID então você saberá que você tem um laço do correio.  Porém às vezes este não é bastante, porque um do reagrupamento dos server do correio suporta a mesma mensagem pôde ser utilmente em mudança ou de remoção o encabeçamento do ID de mensagem.  Assim se você não obtém qualquer coisa identificável com a verificação do ID de mensagem vá adiante e tente a verificação sujeita.

Supo-lo que você controlou encontrar a mensagem dando laços pelo ID de mensagem igualmente quererá encontrar a outra informação sobre a mensagem e sua conexão do pai (ICID). Dado o ID de mensagem e um MEADOS DE na mesma linha de registro você pode executar:

grep -e "MessageID_I_found" -e "MID 123456" mail_logs

Dado a saída resultante lá o pode encontrar o ICID e o DCID relevantes e executá-los:

grep -e "MessageID_I_found" -e "MID 123456" -e "ICID 1234567" -e "DCID 2345767" mail_logs

Agora você deve ter a transação completa do mensagem de conexão e pode ver de aonde veio e a onde esteve entregada (se aquela tem ocorrido já). Uma vez que você identificou a mensagem dando laços, sua próxima etapa é obter um olhar na mensagem de modo que você possa fixar o problema.  Sem fixar a causa do laço, é provável que esta mensagem e outro continuarão a dar laços ou que o problema reoccur logo.

Crie um filtro da mensagem similar a este:

loganddrop_looper:
if(header("Message-ID") == "MessageID_I_found") {
   archive("looper");
   drop();
}

Agora comprometa essa mudança e emita este comando verificar para fora a mensagem:

tail looper

Com a informação você pode ganhar sobre o sistema remoto olhando os logs do correio, e a outra informação que você pode ganhar olhando a mensagem própria, você deve poder determinar onde seu problema está.

Como pode você impedir que os laços do correio ocorram?

Nos ambientes complexos isto pode ser difícil - compreendendo como fluxos de correio em seu ambiente e como uma mudança nova dos trabalhos em rede, no ESA ou a um outro dispositivo, afetará que o tráfego é chave. Uma causa comum de laços do correio do fugitivo é a remoção do encabeçamento recebido.  O ESA automaticamente detectará e parará um laço do correio quando vê 100 encabeçamentos recebidos em uma mensagem, mas o ESA permite a remoção deste encabeçamento, que conduzem frequentemente a um laço ruim do correio.  A menos que houver um bom motivo do *really* a, por favor não desligue o encabeçamento recebido, ou faça com que sejam removidos.

Está abaixo um exemplo do filtro que possa ajudar a impedir ou fixar um laço do correio:

External_Loop_Count:
if (header("X-ExtLoop1")) {
  if (header("X-ExtLoopCount2")) {
    if (header("X-ExtLoopCount3")) {
      if (header("X-ExtLoopCount4")) {
        if (header("X-ExtLoopCount5")) {
          if (header("X-ExtLoopCount6")) {
            if (header("X-ExtLoopCount7")) {
              if (header("X-ExtLoopCount8")) {
                if (header("X-ExtLoopCount9")) {
                   notify ('joe@example.com');
                   drop();
                }
              else {insert-header("X-ExtLoopCount9", "from
                   $RemoteIP");}}
            else {insert-header("X-ExtLoopCount8", "from $RemoteIP");}}
          else {insert-header("X-ExtLoopCount7", "from $RemoteIP");}}
        else {insert-header("X-ExtLoopCount6", "from $RemoteIP");}}
      else {insert-header("X-ExtLoopCount5", "from $RemoteIP");}}
    else {insert-header("X-ExtLoopCount4", "from $RemoteIP");}}
  else {insert-header("X-ExtLoopCount3", "from $RemoteIP");}}
else {insert-header("X-ExtLoopCount2", "from $RemoteIP");}}
else {insert-header("X-ExtLoop1", "1"); }

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118522