Безопасность : устройства безопасности электронной почты Cisco ESA

Как я декодирую X-IronPort-AV заголовок на ESA?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Скоттом Роедером и Энрико Вернером, специалистами службы технической поддержки Cisco.

Вопрос

Как я декодирую X-IronPort-AV заголовок?

Поскольку часть антивирусного сканирования ESA добавит X-IronPort-AV заголовок, который кодирует подробные данные результата сканирования AV. Этот заголовок может быть отключен при желании как часть антивирусной конфигурации. Вот некоторые заголовки в качестве примера.

X-Ironport-AV: i=""3.84,87,1091404800"";
d=""scan'217,208""; a=""76:sNHT50174724""
X-Ironport-AV: i=""3.83,108,1088978400"";
d=""scan'208""; a=""0:sNHT0""
X-Ironport-AV: i=""3.83,93,1089000000"";
d=""scan'217,208""; a=""1233:sNHT25086908""
X-Ironport-AV: i="3.81R,139,1083556800"; e="0x80040202'u";
d="scan'217,208?doc'217,208,186,179,178,32";
a="2645030:sNHsT231932724"

Несмотря на то, что несколько содержавших кодов являются определенными для механизма Sophos и не задокументированы здесь, можно получить большую информацию от понимания структуры этого заголовка. Вот ключ для декодирования X-IronPort-AV заголовка:

Код

Значение

Содержание

яСведения о версии
  • product Version
  • количество ид
  • Последовательный IDE
eОшибки

Код ошибки (hex) плюс один из:

  • "i" проигнорированный
  • "u" неподдающийся сканированию
  • "e" зашифрованный
  • "t" таймаут
  • "f" фатальный
  • "j" savi-дефект (проигнорирован)
  • "s" (неподдающийся сканированию) savi-дефект
  • "z" неизвестный
vСписок вирусов
  • название вируса
  • шифр изделия
  • информации: "r" восстанавливают отбрасывание "d" "u", неподдающийся сканированию "e" зашифровал "v" вирусный
dПодробные данные файла
  • расширение
  • введите список кодов
оДействия сообщения
  • середина ':' (раздел действия)
  • "a" заархивированный?
  • "s" передаваемый | "d" отброшенный | "f" переданный
  • "x" определенные, некоторый ошибки (вызванный таймаут, rpc ведут сбои, и т.д.),
  • 'N' (раздел уведомления)
  • "s" отправитель
  • "r" получатель
  • "o" другой
  • 'H' (раздел заголовков)
  • "s" предмет модифицируется
  • "h" пользовательский заголовок модифицируется
  • "T" (раздел времени)
  • Время работы (астрономическое) NNNN

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.