Seguridad : Cisco Email Security Appliance

¿Cómo puedo identificar y dirigir una situación del loop del correo en el ESA?

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo identificar un loop del correo en el dispositivo de seguridad del correo electrónico (ESA).

Contribuido por el campo y Enrique Werner de Tomki, ingenieros de Cisco TAC.

Antecedentes

Los loopes del correo se pueden indicar por los mensajes con el mismo ID del mensaje que fueron inyectados más de 3 veces. Los loopes del correo pueden causar los síntomas de CPU elevada, la salida y los problemas de rendimiento general lentos. Los ID del mensaje inyectados más de una vez indicarían normalmente la colocación, pero se inyectan a veces más de una vez debido a los problemas, o podría ser un spammer descuidado que guarda el inyectar del mismo mensaje spam con el mismo ID del mensaje.

Un loop del correo es causado más típicamente por un problema de la infraestructura del correo electrónico que envíe el mismo mensaje o conjunto de los mensajes que compiten con alrededor de su red del mail server al mail server sin fin.  Mientras que estos mensajes pueden mantenerse entretenidos de esta manera por mismo un tiempo prolongado, no es una buena cosa para su ancho de banda de la red o el costo de procesamiento ESA contraído.

Solución

La identificación de un loop del correo, si usted sospecha que éste puede ser el problema, es generalmente bastante fácil aunque usted necesitará calcularlo visualmente.
El registro en el comando line interface(cli) del sistema y publica uno de estos comandos, o ambos como usted encuentra el mejor le benefician:

grep "Subject" mail_logs
grep "Message-ID" mail_logs

Determinado para la búsqueda en el ID del mensaje, si usted ve los casos que se repiten exactamente del mismo ID entonces usted sabrá que usted tiene un loop del correo.  No obstante éste no es a veces bastante, porque uno de la reunión de los servidores del correo apoya el mismo mensaje pudo ser útil cambiante o de eliminación de la encabezado del ID del mensaje.  Tan si usted no consigue cualquier cosa identificable con el control del ID del mensaje continúe e intente el control sujeto.

Si se asume que usted manejó encontrar el mensaje de colocación por el ID del mensaje le también querrá descubrir la otra información sobre el mensaje y su conexión del padre (ICID). Dado el ID del mensaje y un MEDIADOS DE en la misma línea del registro usted puede realizarse:

grep -e "MessageID_I_found" -e "MID 123456" mail_logs

Dado la salida resultante allí le puede encontrar el ICID y el DCID relevantes y realizarse:

grep -e "MessageID_I_found" -e "MID 123456" -e "ICID 1234567" -e "DCID 2345767" mail_logs

Ahora usted debe tener la transacción completa del mensaje de conexión y puede ver de adonde vino y al donde fue entregada (si ha ocurrido ésa ya). Una vez que usted ha identificado el mensaje de colocación, su siguiente paso es conseguir una mirada en el mensaje de modo que usted pueda reparar el problema.  Sin reparar la causa del loop, es probable que este mensaje y otros continúen colocando o que ocurrirá de nuevo el problema pronto.

Cree un filtro del mensaje similar éste:

loganddrop_looper:
if(header("Message-ID") == "MessageID_I_found") {
   archive("looper");
   drop();
}

Ahora confíe ese cambio y publique este comando de marcar hacia fuera el mensaje:

tail looper

Con la información usted puede ganar sobre el sistema remoto mirando los registros del correo, y la otra información que usted puede ganar mirando el mensaje sí mismo, usted debe poder determinar donde está su problema.

¿Cómo puede usted evitar que los loopes del correo ocurran?

En los entornos complejos esto puede ser difícil - entendiendo cómo los flujos de correo en su entorno y cómo un nuevo cambio del establecimiento de una red, en el ESA o a otro dispositivo, afectará que el tráfico es clave. Una causa común de los loopes del correo del fugitivo es el retiro de la encabezado recibida.  El ESA detectará y parará automáticamente un loop del correo cuando ve 100 encabezados recibidas en un mensaje, pero el ESA permite el retiro de esta encabezado, que llevan a menudo a un mún loop del correo.  A menos que haya una buena razón del *really* a, no apague por favor la encabezado recibida, o hágalas ser quitadas.

Abajo está un ejemplo del filtro que puede ayudar a prevenir o a reparar un loop del correo:

External_Loop_Count:
if (header("X-ExtLoop1")) {
  if (header("X-ExtLoopCount2")) {
    if (header("X-ExtLoopCount3")) {
      if (header("X-ExtLoopCount4")) {
        if (header("X-ExtLoopCount5")) {
          if (header("X-ExtLoopCount6")) {
            if (header("X-ExtLoopCount7")) {
              if (header("X-ExtLoopCount8")) {
                if (header("X-ExtLoopCount9")) {
                   notify ('joe@example.com');
                   drop();
                }
              else {insert-header("X-ExtLoopCount9", "from
                   $RemoteIP");}}
            else {insert-header("X-ExtLoopCount8", "from $RemoteIP");}}
          else {insert-header("X-ExtLoopCount7", "from $RemoteIP");}}
        else {insert-header("X-ExtLoopCount6", "from $RemoteIP");}}
      else {insert-header("X-ExtLoopCount5", "from $RemoteIP");}}
    else {insert-header("X-ExtLoopCount4", "from $RemoteIP");}}
  else {insert-header("X-ExtLoopCount3", "from $RemoteIP");}}
else {insert-header("X-ExtLoopCount2", "from $RemoteIP");}}
else {insert-header("X-ExtLoop1", "1"); }

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118522