セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA 中心になるポリシー、ウイルスおよび発生検疫(PVO)は有効に することができません

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 28 日) | フィードバック

概要

この資料は Enable ボタンが選択不可能になり、問題にソリューションを提供するので中心になるポリシー、ウイルスおよび発生検疫(PVO)が Cisco E メール セキュリティ アプライアンス(ESA)で有効に することができないところで直面する問題を記述したものです。

著者:Cisco TAC エンジニア、Enrico Werner

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • セキュリティ マネジメント アプライアンス(SMA)の PVO を有効に する方法。
  • 各々の管理された ESA に PVO サービスを追加する方法。
  • PVO の移行の設定方法。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • SMA バージョン 8.1 および それ 以降
  • ESA バージョン 8.0 および それ 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ESA のある特定のフィルター、ポリシーおよび走査操作によって処理されるメッセージは検疫に一時的にそれ以上の操作のためにそれらを保持するために置くことができます。 場合によっては SMA で正しく設定され、移行 ウィザードが使用されたが PVO が ESA で有効に することができない、ようです。 ESA のこの機能を有効に する ボタンはまだ通常 ESA がポート 7025 の SMA に接続できないので選択不可能になります。

問題

ESA で、Enable ボタンは選択不可能になります。

SMA が非アクティブではない必要なサービスおよび操作を示します

解決策

ここに解説されている複数のシナリオがあります。

シナリオ 1

SMA で、アプライアンスを確認するために CLI の status コマンドをありますオンライン状態に実行して下さい。 SMA がオフ・ラインである場合、PVO は ESA で接続が失敗するので有効に することができません。

sma.example.com> status

Enter "status detail" for more information.

Status as of:                  Mon Jul 21 11:57:38 2014 GMT
Up since:                      Mon Jul 21 11:07:04 2014 GMT (50m 34s)
Last counter reset:            Never
System status:                 Offline
Oldest Message:                No Messages

SMA がオフ・ラインである場合、cpq_listener を開始するそれにオンラインを思い出させるためにレジューム コマンドを実行して下さい。

sma.example.com> resume

Receiving resumed for euq_listener, cpq_listener.

シナリオ 2

SMA の移行 ウィザードを使用した後、変更を保存することは重要です。 [イネーブル…] ESA のボタンは変更を保存しない場合選択不可能にされて残ります。

  1. 管理者 アカウント、ないオペレータ(または他の勘定科目の種類)との SMA および ESA にログイン すれば セットアップは実行されたことができます[イネーブル…] ボタンは ESA 側で選択不可能になります。

  2. SMA で、管理 アプライアンス > 中央 集中型 サービス > ポリシー、ウイルスおよび発生検疫を選択して下さい。

  3. 起動移行 ウィザードをクリックし、移行 方式を選択して下さい。

  4. 変更を入れ、保存して下さい

シナリオ 3

別のサブネットにまたは常駐するかので ESA が deliveryconfig コマンドによってデフォルト配信インターフェイスで設定されたらおよびそのデフォルト インターフェイスに SMA の方の接続がなければそこにルートでなければ、PVO は ESA で有効に することができません。

インターフェイスするためにデフォルト配信インターフェイスが設定されている ESA はここにあります:

mx.example.com> deliveryconfig

Default interface to deliver mail: In

インターフェイスからの ESA 接続テストは SMA ポート 7025 にここにあります:

mx.example.com> telnet

Please select which interface you want to telnet from.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 2

Enter the remote hostname or IP address.
[]> 10.172.12.17

Enter the remote port.
[25]> 7025

Trying 10.172.12.17...
telnet: connect to address 10.172.12.17: Operation timed out
telnet: Unable to connect to remote host

この問題を解決するために、ESA が正しいインターフェイスを自動的に使用する自動にデフォルト interace を設定して下さい。

mx.example.com> deliveryconfig

Default interface to deliver mail: In

Choose the operation you want to perform:
- SETUP - Configure mail delivery.
[]> setup

Choose the default interface to deliver mail.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 1

シナリオ 4

中央集中型検疫への接続は Transport Layer Security (TLS デフォルトで暗号化される) -です。 ESA のメール ログファイルを検討し、配信接続ID (DCIDs)を SMA のポート 7025 に捜す場合、TLS がエラーこれのような失敗したことを見るかもしれません:

Mon Apr 7 15:48:42 2014 Info: New SMTP DCID 3385734 interface 172.16.0.179
address 172.16.0.94 port 7025
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS failed: verify error: no certificate
from server

Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS was required but could not be
successfully negotiated

ESA CLI の tlsverify を実行するとき、同じを見ます。

mx.example.com> tlsverify

Enter the TLS domain to verify against:
[]> the.cpq.host

Enter the destination host to connect to.  Append the port (example.com:26) if you are not
connecting on port 25:
[the.cpq.host]> 10.172.12.18:7025

Connecting to 10.172.12.18 on port 7025.
Connected to 10.172.12.18 from interface 10.172.12.17.
Checking TLS connection.
TLS connection established: protocol TLSv1, cipher ADH-CAMELLIA256-SHA.
Verifying peer certificate.
Certificate verification failed: no certificate from server.
TLS connection to 10.172.12.18 failed: verify error.
TLS was required but could not be successfully negotiated.

Failed to connect to [10.172.12.18].
TLS verification completed.

これに基づいて、SMA とネゴシエートするために使用された ADH-CAMELLIA256-SHA 暗号により SMA はピア 認証を示さないために。 より詳しい調査はすべての ADH 暗号がピア 認証を提供しない匿名認証を使用することを明らかにします。 ここの修正は匿名暗号を除去することです。 これをするために、HIGH:MEDIUM:ALL:-aNULL:-SSLv2 に発信暗号リストを変更して下さい。

mx.example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]>

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> HIGH:MEDIUM:ALL:-aNULL:-SSLv2

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: HIGH:MEDIUM:ALL:-aNULL:-SSLv2

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

mx.example.com> commit

ヒント: またこれらが同様に不確かな暗号であるので -SSLv2 を追加して下さい。

シナリオ 5

PVO は有効に することができないし、このエラーメッセージの種別を示します。

Unable to proceed with Centralized Policy, Virus and Outbreak Quarantines 
configuration as host1 and host2 in Cluster have content filters / DLP actions
available at a level different from the cluster Level.

エラーメッセージはホストのに DLP Feature 鍵応用がないし、DLP が無効であることを示すことができます。 ソリューションは加えられるフィーチャーキーがある抜けたフィーチャーキーを追加し、ホストでように同一の DLP 設定を加えることです。 この Feature 鍵不一致は発生フィルタ、Sophos アンチウィルスおよびその他の機能キーの同じ効果をもたらすかもしれません。

シナリオ 6

PVO のための Enable ボタンは、クラスタ設定でコンテンツのためのマシンまたはグループ レベル 設定があれば、メッセージ フィルタリングしましたり、DLP および DMARC 設定選択不可能になります。 この問題を解決するために、すべてのメッセージおよびコンテンツ フィルターはマシンかグループ レベル クラスタ レベル、また DLP および DMARC 設定から移る必要があります。 また、完全にクラスタからのマシン レベル設定があるマシンを取除くことができます。 CLI コマンド clusterconfig > removemachine を入力し、次にクラスタに戻ってクラスタ設定を受継ぐために加入して下さい。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118026