Безопасность : устройства безопасности электронной почты Cisco ESA

Как я тестирую сообщение или фильтр контента, чтобы гарантировать, что он работает, как разработано?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Томки Кэмпом и Энрико Вернером, специалистами службы технической поддержки Cisco.

Вопрос

Как я тестирую сообщение или фильтр контента, чтобы гарантировать, что он работает, как разработано?

Фильтры могут быть протестированы, чтобы гарантировать, что они работают должным образом путем отладки фильтра. Отладка фильтра является двухэтапным процессом, который требует системной карантинной области.

Создайте новый Системный Карантин в GUI под названием 'FilterDebug'. Карантин настроен под 'Монитором-> Карантин. Если вы имеете некоторое карантинное пространство в наличии, щелкните, 'Добавьте кнопка Карантина для настройки карантина FilterDebug. Если существует недостаточно доступного пространства, необходимо будет отредактировать некоторый другой карантин и понизить пространство, которое это использует для предоставления доступа к некоторому свободному месту доступным.

Создайте фильтр с правилами (критерии соответствия), вы ожидаете использовать и заставлять действие "Изолировать ('FilterDebug')".

Для отладки соответствующих правил включите фильтр на соответствующей Почтовой Политике (где вы предназначаете его для выполнения в производстве), и генерируйте трафик.

Сообщения, которые совпадают с правилами, войдут в карантин FilterDebug, где можно исследовать их и убедиться, что правила совпадают точно, что вы хотите. Освободите те сообщения от карантина, и они будут обычно отправляться. Если вы хотите наблюдать это некоторое время, установить карантинный период удерживания во что-то приемлемо короткое и исследовать карантин через определенные промежутки времени для наблюдения, какие виды сообщений совпадают с критериями.

Для отладки действий фильтрации создайте новую Почтовую Политику, которая имеет только одного тестового получателя. Отключите правило во всей другой Почтовой Политике и включите его в этой новой Почтовой Политике. Отредактируйте правило принять меры, которые вы хотите. Можно удалить Карантинное правило.

Генерируйте трафик и проверьте сообщение, поскольку это отправлено (или не, в зависимости от фильтра) тестовому получателю, чтобы проверить, что это - то, что вы хотите. Теперь можно включить завершенное правило в Почтовой Политике для развертывания на производстве и отключить его от тестовой политики получателя.

Подобная процедура может использоваться к фильтрам сообщения отладки. Начните путем построения критериев, которые вы хотите использовать в производстве:

RedirectEarningsReports:
if (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
 quarantine ("FilterDebug");
}

Это сделано в CLI:

smtp.example.com>filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
RedirectEarningsReports:
if (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
 quarantine ("FilterDebug");
}
.
1 filters added.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]>
smtp.example.com >commit
Please enter some comments describing your changes:
[]> add RedirectEarningsReports filter test actions (incomplete)
Changes committed: Wed Nov 24 12:00:10 2004 MST

Исследуйте изолированные сообщения с помощью GUI и сообщений RELEASE. Продолжите наблюдать поток сообщений таким образом, пока вы не будете удовлетворены. Затем, добавьте тестового получателя к правилам и измените действия на то, что вы хотите выполнить в производстве:

RedirectEarningsReports:
if (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings")
and (rcpt-to == "(?i)alan@exchange\\.scu\\.com$") {
 alt-rcpt-to ("sam@exchange.scu.com");
}

В CLI необходимо удалить и воссоздать фильтр:

smtp.example.com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> list
Num Active Valid Name
 1  N     Y  betatest
 2  N     Y  StripInboundExes
 3  Y     Y  RedirectEarningsReports
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> delete
Enter the filter name, number, or range:
[]> 3
1 filters deleted.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
RedirectEarningsReports:
if (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings")
and (rcpt-to == "(?i)alan@exchange\\.scu\\.com$") {
 alt-rcpt-to ("sam@exchange.scu.com");
}
.
1 filters added.
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]>
smtp.example.com> commit
Please enter some comments describing your changes:
[]> set RedirectEarningsReports to test recipient
Changes committed: Wed Nov 24 12:10:07 2004 MST

Проверьте, что действия делают то, что вы хотите. (В зависимости от фильтра можно также проверить некоторые действия в mail_logs.) Наконец, соединяет заключительный фильтр путем удаления тестового получателя:

RedirectEarningsReports:
if (recv-listener == "InboundMail")
and (subject == "(?i)quarterly earnings") {
 alt-rcpt-to ("sam@exchange.scu.com");
}

Одним потенциально запутывающим аспектом фильтров и карантина является обработка тел сообщения по сравнению с заголовками сообщения. В ESA с телом сообщения и заголовком имеют дело отдельно. При исследовании сообщений в карантине после применения действий вы не будете видеть манипулирования заголовком, сделанного к сообщению (но это будет завершено по доставке.) Это вызвано тем, что обработка заголовка сделана отдельно, параллельно, в то время как сообщение развивается через конвейер. Сообщение воссоединено с (потенциально модифицируемый) заголовок перед доставкой, но не замечено в карантине. Вы будете видеть любые изменения к телу сообщения, такие как присоединяемое разделение или штамповка нижнего колонтитула, в карантине.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.