安全 : Cisco IronPort Email 安全设备

识别和如何能论及在ESA的邮件环路情况?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何识别在电子邮件安全工具(ESA)的邮件环路。

贡献用Tomki阵营和恩里科沃纳, Cisco TAC工程师。

背景信息

邮件环路可以由注入超过3次与同样消息ID的消息表示。邮件环路能导致高CPU、缓慢的交付和整体性能问题症状通常不止一次被注入的消息ID将指示循环,但是他们不止一次有时被注入由于问题,或者它可能是继续注入与同样消息ID的同一个垃圾邮件消息的一散漫的垃圾邮件发送者。

邮件环路更加典型是由传送不断地赛跑在您的网络附近的同一消息或套信息从邮件服务器到邮件服务器的电子邮件基础设施问题引起的。 当这些消息能保持自己这样被招待在一非常很长时间时,它不是您的网络带宽或招致的ESA处理成本的一件好事。

解决方案

识别邮件环路,如果怀疑这可能是问题,通常是相当容易,虽然您将需要打量它。
登录系统的命令行界面(CLI)并且发出这些命令之一,或者两个,您查找最佳有益于您:

grep "Subject" mail_logs
grep "Message-ID" mail_logs

特别对于在消息ID的搜索,如果看到同一个ID循环实例然后您知道您有邮件环路。 然而有时这不是足够,因为召集上一步的其中一邮件服务器同一个消息也许是有益地更改或删除消息ID报头。 因此,如果没获得什么可识别与消息ID检查请继续并且尝试附属的检查。

假设,您设法由消息ID查找循环的消息您也将要发现关于消息和其parent连接(ICID)的其他信息。给消息ID和MID在同一条记录行您可实行:

grep -e "MessageID_I_found" -e "MID 123456" mail_logs

给产生的输出那里您可找到相关ICID和DCID和实行:

grep -e "MessageID_I_found" -e "MID 123456" -e "ICID 1234567" -e "DCID 2345767" mail_logs

现在您应该有完整连接消息处理,并且能看到何处来自,并且传送对的地方(如果那已经发生)。一旦识别循环的消息,您的下一步是看一看在消息,以便您能解决问题。 没有修复环路的原因,很可能此消息和其他将继续循环或问题很快将再发生。

创建消息过滤器类似于这一个:

loganddrop_looper:
if(header("Message-ID") == "MessageID_I_found") {
   archive("looper");
   drop();
}

现在请确认该更改并且发出此命令检查消息:

tail looper

有信息您能获取关于远程系统通过查看邮件日志,并且您能通过查看消息得的其他信息,您应该能确定您的问题哪里。

如何可以防止邮件环路发生?

在复杂环境这如何可以是困难-知道在您的环境的邮件流量,并且一新的网络更改,在ESA或对另一个设备,如何影响流量关键。逃亡邮件环路的一个常见原因是已接收报头的删除。 ESA将自动地检测并且制止邮件环路,当看到在消息的100个接收的报头,但是ESA允许此报头删除,经常导致一条坏邮件环路。 除非有*really*有说服力的理由对,请勿关闭已接收报头,否则请造成他们删除。

下面可帮助防止或修理邮件环路的过滤器示例:

External_Loop_Count:
if (header("X-ExtLoop1")) {
  if (header("X-ExtLoopCount2")) {
    if (header("X-ExtLoopCount3")) {
      if (header("X-ExtLoopCount4")) {
        if (header("X-ExtLoopCount5")) {
          if (header("X-ExtLoopCount6")) {
            if (header("X-ExtLoopCount7")) {
              if (header("X-ExtLoopCount8")) {
                if (header("X-ExtLoopCount9")) {
                   notify ('joe@example.com');
                   drop();
                }
              else {insert-header("X-ExtLoopCount9", "from
                   $RemoteIP");}}
            else {insert-header("X-ExtLoopCount8", "from $RemoteIP");}}
          else {insert-header("X-ExtLoopCount7", "from $RemoteIP");}}
        else {insert-header("X-ExtLoopCount6", "from $RemoteIP");}}
      else {insert-header("X-ExtLoopCount5", "from $RemoteIP");}}
    else {insert-header("X-ExtLoopCount4", "from $RemoteIP");}}
  else {insert-header("X-ExtLoopCount3", "from $RemoteIP");}}
else {insert-header("X-ExtLoopCount2", "from $RemoteIP");}}
else {insert-header("X-ExtLoop1", "1"); }


Document ID: 118522