Sécurité : Appareil de sécurité de courriel Cisco

Comment est-ce que je teste un message ou le filtre de contenu pour l'assurer fonctionne-il comme conçu ?

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par le camp et l'Enrico Werner de Tomki, ingénieurs TAC Cisco.

Question

Comment est-ce que je teste un message ou le filtre de contenu pour l'assurer fonctionne-il comme conçu ?

Des filtres peuvent être testés pour s'assurer qu'ils fonctionnent correctement en mettant au point le filtre. Le débogage d'un filtre est un processus en deux étapes qui exige une zone de quarantaine de système.

Créez une nouvelle quarantaine de système dans le « FilterDebug » appelé par GUI. Des quarantaines sont configurées sous 'Monitor->Quarantines.  Si vous avez un certain espace de quarantaine disponible, cliquez sur en fonction le bouton « ajoutent quarantaines » pour configurer la quarantaine de FilterDebug.  S'il n'y a pas assez d'espace disponible, vous devrez éditer une autre quarantaine et diminuer l'espace qu'elle l'utilise pour rendre un certain espace libre disponible.

Créez le filtre avec les règles (critères de correspondance) que vous prévoyez à utiliser-et placez l'action « de mettre en quarantaine (« FilterDebug ") ».

Pour mettre au point vos règles assorties, activez le filtre sur la stratégie appropriée de messagerie (où vous l'avez l'intention pour s'exécuter dans la production) et générez le trafic.

Les messages qui apparient vos règles entreront dans la quarantaine de FilterDebug, où vous pouvez les examiner et se satisfaire que vos règles s'assortissent avec précision ce que vous voulez.  Libérez ces messages de la quarantaine, et ils seront fournis normalement.  Si vous voulez observer ceci pendant un moment, fixer la période de validité de quarantaine à quelque chose acceptablement court-circuitez et examinez la quarantaine à intervalles réguliers pour voir quels genres de messages apparient vos critères.

Pour mettre au point vos actions de filtre, créez une nouvelle stratégie de messagerie qui a seulement un destinataire de test. Désactivez votre règle dans toutes autres stratégies de messagerie, et activez-la dans cette nouvelle stratégie de messagerie.  Éditez votre règle de prendre les mesures que vous voulez.  Vous pouvez retirer la règle de quarantaine.

Générez le trafic et vérifiez le message comme est il est fourni (ou pas, selon votre filtre) au destinataire de test pour vérifier ceci ce que vous voulez. Maintenant vous pouvez activer la règle terminée dans les stratégies de messagerie pour votre déploiement de production et la désactiver de la stratégie de destinataire de test.

Une procédure semblable peut être utilisée aux filtres de message de débogage.  Commencez en établissant les critères que vous voulez utiliser dans la production :

RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
  quarantine ("FilterDebug");
}

Ceci est fait dans le CLI :

smtp.example.com>filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script.  Enter '.' on its own line to end.
RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
  quarantine ("FilterDebug");
}
.
1 filters added.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]>
smtp.example.com >commit
Please enter some comments describing your changes:
[]> add RedirectEarningsReports filter test actions (incomplete)
Changes committed: Wed Nov 24 12:00:10 2004 MST

Examinez les messages mis en quarantaine utilisant les messages GUI et de release.  Continue observant le message couler de cette façon jusqu'à ce que vous soyez satisfait.  Ensuite, ajoutez votre destinataire de test aux règles, et changez les actions à ce que vous voulez exécuter dans la production :

RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings")
and (rcpt-to == "(?i)alan@exchange\\.scu\\.com$")  {
  alt-rcpt-to ("sam@exchange.scu.com");
}

Dans le CLI, vous devez supprimer et recréer le filtre :

smtp.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> list
Num Active Valid Name
  1   N      Y   betatest
  2   N      Y   StripInboundExes
  3   Y      Y   RedirectEarningsReports
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> delete
Enter the filter name, number, or range:
[]> 3
1 filters deleted.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script.  Enter '.' on its own line to end.
RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings")
and (rcpt-to == "(?i)alan@exchange\\.scu\\.com$")  {
  alt-rcpt-to ("sam@exchange.scu.com");
}
.
1 filters added.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]>
smtp.example.com> commit
Please enter some comments describing your changes:
[]> set RedirectEarningsReports to test recipient
Changes committed: Wed Nov 24 12:10:07 2004 MST

Vérifiez les actions font ce que vous voulez.  (Selon votre filtre, vous pouvez également vérifier certaines des actions dans les mail_logs.)  Dernier, remontez le filtre final en retirant le destinataire de test :

RedirectEarningsReports:
if  (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
  alt-rcpt-to ("sam@exchange.scu.com");
}

Un aspect potentiellement embrouillant des filtres et des quarantaines est la manipulation des corps du message contre des en-têtes de message.  Dans l'ESA, le corps du message et l'en-tête sont traités séparément. Si vous examinez des messages dans la quarantaine après application des actions, vous ne verrez aucune manipulation d'en-tête faite au message (mais à lui sera terminé sur la livraison.)  C'est parce que le traitement d'en-tête est fait séparément, en parallèle, en tant que progressions d'un message par le pipeline.  Le message est réuni à son en-tête (potentiellement modifiée) avant la livraison, mais n'est pas vu dans la quarantaine.  Vous verrez tous les changements au corps du message, tel qu'éliminer de connexion ou bas de page emboutissant, de la quarantaine.



Document ID: 117902