安全 : Cisco IronPort Email 安全设备

如何传送示例消息保证抗病毒引擎工作在思科电子邮件安全工具(ESA) ?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何传送示例消息测试正确地工作在思科电子邮件安全工具(ESA)的抗病毒引擎。

贡献用斯蒂芬Fiebrandt和Sandeep Minhas, Cisco TAC工程师。

解决方案

通过发送一个示例伪造品病毒消息通过ESA,我们能触发Sophos或McAfee防病毒扫描仪。首先,您需要设置您的流入的邮件策略和配置抗病毒设置丢弃或检疫被传染的消息。您能检疫此特定测验的被传染的消息。我们使用呼叫“”测验病毒被找到的EICAR的在www.eicar.org

现在您能启动远程登录会话到您的ESA服务器在端口25和复制和插入在您的SMTP converstation数据部分的以下EICAR测验字符串。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE
!$H+H*

这是关于怎样的一示例进行测验:

220 example.com ESMTP
ehlo example.com
250-example.com
250-8BITMIME
250 SIZE 104857600
mail from:jms@example.com
250 sender <jms@example.com> ok
rcpt to:jms@example.com
250 recipient <jms@example.com> ok
data
354 go ahead
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
.
250 ok:  Message 25 accepted
quit
221 example.com

在您的ESA CLI,请盯梢邮件日志您通过键入‘尾标mail_logs’同时发送测试消息。

Wed Jun 15 04:07:57 2005 Info: Start MID 25 ICID 14
Wed Jun 15 04:07:57 2005 Info: MID 25 ICID 14 From: <jms@example.com>
Wed Jun 15 04:08:02 2005 Info: MID 25 ICID 14 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 Message-ID '<45rovb$p@example.com>'
Wed Jun 15 04:08:19 2005 Info: MID 25 ready 70 bytes from <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Jun 15 04:08:19 2005 Info: MID 25 Brightmail negative
Wed Jun 15 04:08:19 2005 Info: MID 25 antivirus positive 'EICAR-AV-Test'
Wed Jun 15 04:08:19 2005 Info: Start MID 26 ICID 0
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 From: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 rewritten to 26 by antivirus
Wed Jun 15 04:08:19 2005 Info: Message finished MID 25 done
Wed Jun 15 04:08:19 2005 Info: MID 26 quarantined to "Virus" (a/v verdict:VIRAL)
Wed Jun 15 04:08:21 2005 Info: ICID 14 close

在此测试系统上, AV正消息被检疫,并且看起来象消息顺利地被检疫。如果您的抗病毒引擎不能设陷井消息如病毒,您将需要执行以下:

  1. 设置一个外部电子邮件客户端配置发送邮件到ESA。
  2. 创建有首先在此测试文件安置的EICAR测验字符串的一个测试文件。
  3. 撰写从此电子邮件客户端的一个测试消息并且包含EICAR测试文件作为“附件”。


Document ID: 118175