セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA メッセージ破棄の判別

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco E メール セキュリティ アプライアンス(ESA)のさまざまなコマンドから取得されるメール ログが付いているメッセージの開封を判別する方法を記述されています。

Nasir Shakour およびロバート Sherwin によって貢献される、Cisco TAC エンジニア。

前提条件

このドキュメントの情報は、次のハードウェアに基づくものです。

  • ESA
  • AsyncOS のすべてのバージョン

メッセージ トラッキング

電子メール バージョン 6.0 または それ 以降のための AsyncOS を実行する場合、特定のメッセージがどうなるか何かを判断するほとんどの効果的な方法は Monitor タブからのメッセージ トラッキング ページを使用することです。 これは使いやすい Webインターフェイスのいろいろなオプションと検索することを可能にします。

より古いバージョンを実行するか、またはトラブルシューティングを行うのに測程線すべてを収集する必要がある場合次の セクションで説明されているようにグレップfindevent コマンドを使用して下さい。

Findevent コマンド

電子メール バージョン 5.1.2 または それ 以降のための AsyncOS がある場合、CLI findevent コマンドは特定のメッセージを捜すこと簡単にします。 Findevent はエンベロープからの、エンベロープ受信者、またはメッセージ サブジェクトによって検索することを可能にします。 これはケースに関係なく同様にすることができます。 メッセージを見つければ、そのメッセージに関連した各測程線を返品できます。 引数を指定せずに findevent 実行する場合、プロセスによってガイドするためにウィザードを起動させます。 常にとして、略式を学ぶために help コマンドを使用できます:

> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name

表版は特定のエンベロープからの、ネームド log_name 内のにサブジェクト、またはエンベロープのための検索を行ない、メッセージID (MID)をその一致リストします。 - i フラグは非ケースに敏感な検索に使用することができます。

第 2 形式はある特定の MID のための測程線すべてを表示する。

より古いバージョンがある場合同じ事柄を達成するために、CLI grep コマンドは使用することができます。 ただし、grep コマンドの使用はより詳しい知識をどのようにの ESA ログメッセージ イベント必要とします。

Grep コマンド

メール ログを検索するとき最初のチャレンジはメッセージを見つけることです。 送信側、受信者、またはサブジェクトを捜す場合これをすることができます。 メッセージを見つけたら、メール ログがどのように編成されるか理解することは重要です。 コンテンツ セキュリティ メール ログ イベントは頭字語を与えられます。 最も重要なイベントは ICID、MID、RID および DCID です。

インジェクト 接続ID (ICID): リモートホストがアプライアンスへの接続を確立するとき、その接続 ICID は割り当てられます。 1 ICID は多くの MID を引き起こできます。

ICID 0 はそれ自身からインジェクトされたメッセージを定義します。 ICID か DCID がデバイスのローカル ループ アドレスに/から開いたセッションを示した後実際、数字 0。

MID: 接続が確立されれば、各々の正常な Simple Mail Transfer Protocol (SMTP) メールからの: コマンドは新しい MID を作成します。 単一 MID は多くの RID を引き起こできます。

受信者 ID (RID): 各受信者(に: Cc: または BCC は RID を得ます。 RID はソフト跳ね上がり(接続エラー)があり、場合その時だけ多重 DCIDs を引き起こ配達は再試行されます。

配信接続ID (DCID): 同じ宛先 ドメインに行く各受信者は受信 システムの制限まで同じ DCID を受け取ります。 従っての receipients が同じドメインにメッセージすべて行けば、そして RID すべてのための 1 DCID があります。 代りに、各 RID が別途のドメインに行けば、1対1の相関関係があります。

DCID 0 は決して送信 されなかった メッセージを定義します。 ICID か DCID がデバイスのローカル ループ アドレスに/から開いたセッションを示した後実際、数字 0。

通常メッセージを見つけるとき、MID を見つけます。 それから MID のためのグレップ ICID および RID を判別し。 ICID を使うと、送信側用の SenderBase 評判スコア(SBRS)を判別できます。 次に RID および DCID を使うと、ESA が配信を試みたときに何が起こったか判別できます。

: MID、ICID および DCID があれば、メッセージの原点が最も古いメール ログより古くない場合 1 グレップのそのメッセージのための行すべてを取得できます。

example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs

  1. メッセージ サブジェクトのための検索:

    example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> test
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
    Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
    'testdrop'
    Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
    Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
    Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
    Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
    Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
    Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
    Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
    Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'


    これはサブジェクトにテストを含む複数の一致を生成しました。 メッセージはおよそ 3:42pm で送信 されました、従って次の検索用のその MID を使用できます。

    質問について注意するべきいくつかの impotant ポイントはここにあります:

    • この検索に無感覚なケースでほしいですか。 [Y] >
      この質問にはい答える場合、ケースに関係なくエントリを検出します。

    • ログの後につきたいと思いますか。 [N] >
      この質問にはい答える場合、生成されると同時にだけ New エントリを見つけます。 それはログファイルすべてを検索しません。 ログすべてを検索するために『No』 を選択 して下さい。

    • 出力にページを付けたいと思いますか。 [N] >
      この質問にはい答える場合、エントリを 1 つのページ一度に表示する。 これは一般の検索をし、多くのエントリを取得すると期待する必要がある場合役立ちます。 これはディスプレイのスクロールからエントリを停止します。


  2. MID のための検索:

    mail.example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> MID 96
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
    Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
    Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
    <nasir@example.com>
    Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
    <4o8836$30@mail.example.com>
    Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
    Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
    <bob@example.net>
    Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
    per-recipient policy DEFAULT in the outbound table
    Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
    Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
    Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
    <4o8836$30@mail.example.com> Queued mail for delivery'
    Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done


    メッセージがどのように処理されるか MID エントリがについての詳細を提供することに注意して下さい。 MID エントリはまた ICID および DCID を参照します。 着信接続について詳細を知りたいと思う場合 ICID のためのグレップ。 ESA が配信を試みた時知り何が起こったかについて詳細をたいと思えば、DCID のためのグレップ

  3. メッセージがどこに提供されたか判別するために、DCID を捜して下さい。

    mail.example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> DCID 14
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
    address 10.1.1.112 port 25
    Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:11 2006 Info: DCID 14 close


    メッセージがポート 25 上の IP アドレス 10.1.1.112 が付いている 192.168.0.199 インターフェイスからホストに提供されたことに注意して下さい。

    配信が試みられなかったが、メッセージが配信のために並べられた場合、システムは宛先 サーバが付いている通信の問題があるかもしれませんことを示します。 受信者のホストのステータスがの下で発注された IP が宛先 ドメインのための SMTP ルーティングかパブリック MX レコードを、一致することを適当ように確認するためにあるかどうか見るために CLI からの hoststatus を使用でき。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117853