Seguridad : Cisco Email Security Appliance

¿Cómo envío un mensaje de ejemplo para asegurarme que mi motor antivirus está funcionando en mi dispositivo de seguridad del correo electrónico de Cisco (ESA)?

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo enviar un mensaje de ejemplo para probar el motor antivirus que trabaja correctamente en el dispositivo de seguridad del correo electrónico de Cisco (ESA).

Contribuido por Stephan Fiebrandt y Sandeep Minhas, ingenieros de Cisco TAC.

Solución

Enviando un mensaje del virus de la falsificación de la muestra con el ESA, podemos accionar el escáner de los contras virus de Sophos o del McAfee. Primero, usted necesita configurar su directiva del correo entrante y configurar las configuraciones de los contras virus para caer o para quarantine los mensajes infectados. Usted puede quarantine los mensajes infectados para esta prueba específica. Utilizaremos un virus de la prueba llamado “EICAR” encontrado en www.eicar.org.

Ahora usted puede iniciar a una sesión telnet a su servidor ESA en el puerto 25 y copiar y pegar la cadena siguiente de la prueba EICAR en la porción de datos de su converstation S TP.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE
!$H+H*

Aquí está un ejemplo en cómo hacer una prueba:

220 example.com ESMTP
ehlo example.com
250-example.com
250-8BITMIME
250 SIZE 104857600
mail from:jms@example.com
250 sender <jms@example.com> ok
rcpt to:jms@example.com
250 recipient <jms@example.com> ok
data
354 go ahead
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
.
250 ok:  Message 25 accepted
quit
221 example.com

En su ESA CLI, ate los registros del correo al mismo tiempo que usted está enviando el mensaje de prueba tecleando los “mail_logs de la cola”.

Wed Jun 15 04:07:57 2005 Info: Start MID 25 ICID 14
Wed Jun 15 04:07:57 2005 Info: MID 25 ICID 14 From: <jms@example.com>
Wed Jun 15 04:08:02 2005 Info: MID 25 ICID 14 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 Message-ID '<45rovb$p@example.com>'
Wed Jun 15 04:08:19 2005 Info: MID 25 ready 70 bytes from <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Jun 15 04:08:19 2005 Info: MID 25 Brightmail negative
Wed Jun 15 04:08:19 2005 Info: MID 25 antivirus positive 'EICAR-AV-Test'
Wed Jun 15 04:08:19 2005 Info: Start MID 26 ICID 0
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 From: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 26 ICID 0 RID 0 To: <jms@example.com>
Wed Jun 15 04:08:19 2005 Info: MID 25 rewritten to 26 by antivirus
Wed Jun 15 04:08:19 2005 Info: Message finished MID 25 done
Wed Jun 15 04:08:19 2005 Info: MID 26 quarantined to "Virus" (a/v verdict:VIRAL)
Wed Jun 15 04:08:21 2005 Info: ICID 14 close

En este sistema de prueba, los mensajes AV-positivos quarantined y parece el mensaje quarantined con éxito. Si su motor antivirus no puede atrapar el mensaje como viral, usted necesitará hacer el siguiente:

  1. Configure a un cliente de correo electrónico externo configurado para enviar el correo al ESA.
  2. Cree los archivos de prueba con la cadena de la prueba EICAR colocada primero en estos archivos de prueba.
  3. Componga un mensaje de prueba de este cliente de correo electrónico e incluya el archivo de prueba EICAR como “conexión.”

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118175